Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 3월 27일] 주요 보안 이슈
작성일 2017-03-27 조회 1326

1. [기사] 중국 해커 공격 영향? 3월 국내 웹사이트 디페이스 공격↑
[http://www.boannews.com/media/view.asp?idx=53974&kind=1]
3월 국내 웹 사이트를 대상으로 디페이스 공격(웹사이트 변조)이 증가하면서 악성코드 유포를 위한 사전 작업도 준비 중인 것으로 확인됐다. 특히, 대량 악성코드 감염 극대화를 위해 실시간 전국 날씨 정보를 제공하는 위젯(widget) 내 접속자 정보를 수집하는 주소가 삽입된 것으로 확인되었는데 문제가 되는 것은 다양한 웹사이트에서 해당 위젯을 사용하고 있어 위젯을 통해 악성코드 유포가 발생한다면 위젯을 사용한 웹사이트가 악성코드 유포지로 변할 수 있다는 점이다. 해당 위젯 업체는 오래전부터 악성코드 유포에 빈번하게 악용됐으나 근본적인 문제점을 해결하지 못하고 있는 상태다. 

 

2. [기사] 숙박어플 ‘여기어때’ 해킹...중국 해커들 공격의 신호탄?
[http://www.boannews.com/media/view.asp?idx=53969&kind=1]
‘여기어때’로 잘 알려진 국내 종합숙박 O2O 기업 위드이노베이션이 해킹으로 일부 고객의 정보가 유출됐다고 밝혔다. 조사과정에서 해킹에 이용된 IP가 중국인 것으로 밝혀져 3월 말 한국 공격을 예고한 중국 해커들의 공격이 아닌지 우려가 커지고 있다. 현재 밝혀진 여기어때의 유출 고객정보는 이메일, 연락처, 이름 등이며 유출이 확인된 것은 4천여명이다. 

 

3. [기사] AdGholas와 Neutrino EK에서 CVE-2017-0022 윈도우 제로 데이 취약점 사용
[http://www.securityweek.com/windows-zero-day-exploited-adgholas-neutrino-ek?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
지난 달 마이크로 소프트가 패치한 윈도우 제로 데이 취약점 중 하나가 사이버 범죄자들에 의해 악용됐다고 트렌드 마이크로가 금요일 밝혔다. 추적된 결함은 CVE-2017-0022로 대상 사용자가 특수하게 조작된 링크를 클릭하도록하여 Internet Explorer를 통해 악용될 수있다. 또한 XML Core Services 정보를 유출 취약점으로 설명하였다. Trend Micro에 따르면 2016 년 7월부터 AdGholas malvertising 캠페인에서 제로 데이 결함이 사용되었으며 2016 년 9월 Neutrino exploit kit에 추가되었다고 한다. 전문가들은 CVE-2016-3298과 CVE-2016-3351이 사이버 범죄자들이 연구자를 피하기 위해 활용했다는 것을 몇 달 전에 밝혔는데 CVE-2017-0022도 비슷한 용도로 사용되었다. Trend Micro 위협 분석가는 "이 취약점을 성공적으로 악용하면 사용자 시스템에 있는 파일에 대한 정보에 사이버 범죄자가 액세스 할 수 있다. 특히 공격자는 시스템이 특정 보안 솔루션, 특히 멀웨어를 분석하는 솔루션을 사용하고 있는지 여부를 감지 할 수 있다."라고 했다.

 

4. [기사] 중국에서 악성코드 전파하는 가짜 모바일 기지국 발견
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=19225]
중국 피싱 그룹들이 텍스트 메시지로 멀웨어를 전파시키기 위해 가짜 모바일 기지국을 배포하고 있는 것으로 드러났다. ‘Swearing(욕설) 트로이목마’로 알려진 안드로이드 scrumware가 확산되고 있는 것은 중국에서 새로운 현상은 아니다. 코드에 욕설을 포함시킨 트로이목마 제작자들은 이미 체포된 것으로 알려졌다. 하지만 체크포인트(Check Point)에 따르면 이들은 가짜 모바일 기지국이라는 새로운 벡터를 만들었다. 가짜 기지국들은 차이나 텔레콤(China Telecom) 또는 차이나 유니콤(China Unicom)에서 보낸 것으로 위장하고, 운영자가 보증한 것처럼 보이는 악성 URL을 포함한 SMS 메시지를 보낸다. 체크포인트는 중국 텐센트(Tencent)가 감염된 애플리케이션에서 더 편리한 멀웨어 드로퍼를 이미 발견했다고 언급했다. 해당 트로이목마는 기존 안드로이드 SMS 애플리케이션을 대체해 은행 토큰같은 메시지 기반 이중 인증을 훔칠 수 있으며, 감염된 사용자를 통해 피싱 메시지를 보내 전파된다.

 

5. [기사] Brute-Force 공격으로 기프트 카드 판단하는 GiftGhostBot
[https://www.bleepingcomputer.com/news/security/almost-1-000-online-stores-under-attack-from-giftghostbot-botnet/]
[http://thehackernews.com/2017/03/GiftGhostBot-gift-cards.html]
기프트 카드 사기 전문 botnet은 합법적 인 카드 소유주를 사기 위해 약 1,000 개의 웹 사이트 인프라를 사용하여 여러 종류의 전자 기프트 카드 잔액을 확인한다. 봇 공격 탐지, 모니터링 및 완화 전문 기업인 Distil Networks는 올해 2월 26일에 GiftGhostBot이라는 별명을 가진 봇넷이 공격을 시작했다고 전했다.이 봇넷의 운영자는 일부 대상 웹 사이트에 포함 된 인프라 스트럭처에 대한 공격을 목표로 했으며, 대부분 온라인 쇼핑몰이었다. 이 웹 사이트는 고객이 기프트 카드를 사용하여 제품을 구입할 수 있게 하며 카드 발급자와 상호 작용할 수있는 엔드 포인트를 지원한다. GiftGhostBot 봇넷 운영자는 이러한 엔드 포인트에 대해 무차별 대입 공격을 했다. 그들의 공격은 임의의 기프트 카드 번호를 쿼리하는데 의존한다. "그 정보로 기프트 카드 계좌 번호는 물건을 구입하거나 유료로 판매 될 수 있다"라고 Distil Networks의 보안 분석가는 말한다. 평균 공격은 시간당 170 만 건으로 일부 공격은 잠재적으로 웹 사이트의 서버에 웹 사이트의 호스팅 대역폭에 따라 쓸모없는 요청으로 속도 저하 또는 중단 시간을 초래할 수 있다. 기록 된 통계에 따르면, 공격자는 평균적으로 시간당 6,400 개가 넘는 고유 한 장치 지문을 사용하고 IP 주소를 재사용 할 수 있기 때문에 분산 공격을 추적 할 때는 장치 지문이 더 정확하다. GiftGhostBot 공격을 막기 위해 전문가는 웹 사이트 소유자가 CAPTCHA 시스템을 구현하거나 "기프트 카드 확인"페이지 / 요청에 속도 제한을 추가 할 것을 권장했다.

 

6. [기사] Clickjacking, Pastejacking, Self-XSS가 결합된 새로운 공격 'XSSJacking'
[https://www.bleepingcomputer.com/news/security/new-attack-xssjacking-combines-clickjacking-pastejacking-and-self-xss/]
보안 연구원 인 딜런 아이리 (Dylan Ayrey)는 지난 주 부주의 한 사용자의 데이터를 훔치기 위해 Clickjacking, Pastejacking 및 Self-XSS와 같은 세 가지 기술을 결합한 XSSJacking이라는 새로운 웹 기반 공격에 대해 자세히 설명했다.  XSSJacking 공격은 쿠키를 덤프하고 사용자 데이터를 훔칠 수 있다. 악의적인 공격자는 XSSJacking 공격을 통해 쿠키, 받은 편지함 메시지를 훔치고 프로필 설정 (전화 번호, 이메일 등)을 변경하거나 프로필 세부 정보를 훔치거나 다른 악의적인 행동을 취할 수 있다고 Ayrey는 Bleeping Computer에 전했다

 

7. [기사] 구글 크롬 잘못발급된 시만텍 SSL 30000건 신뢰치 않기로
[http://thehackernews.com/2017/03/google-invalidate-symantec-certs.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29]
구글은 지난 몇년간 지속된 시만택의 3만건에 이르는 적절치못한 EV(Extended Validation) 인증서 발급행태를 지적하며, 이 인증서를 점차적으로 신뢰하지 않는 방향으로 시만택을 처벌(punish)하는 계획을 발표했다.
EV 인증서는 최고레벨의 인증과 신뢰도를 제공하기 위한 용도로 사용된다. 인증서를 발급하기 전 인증기관은 반드시 요청 entity 의 법적 적합성과 신원을 확인해야한다. 이에대해 시만텍은 구글의 주장은 과장됐고 오해의 소지가 있다고 발표했다.

 

첨부파일 첨부파일이 없습니다.
태그