Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 11월 13일] 주요 보안 이슈
작성일 2017-11-13 조회 72

1. [기사] 새로운 Cobra Crysis 랜섬웨어 변종 발견
[https://www.bleepingcomputer.com/news/security/new-cobra-crysis-ransomware-variant-released/]
지난 주, ID-Ransomware의 Michael Gillespie는 Crysis/Dharma 랜섬웨어 변종이 자신의 웹 사이트에 업로드된것을 발견했다. 이 새로운 변종은 암호화된 파일의 확장자 명을 .cobra로 변형시키는것이 확인되었다. 현재 이 랜섬웨어 변종이 어떤 방식으로 배포되고 있는지 알려지지 않았지만, 지난 Crysis 랜섬웨어가 일반적으로 Remote Desktop Services를 하이재킹하여 수동으로 랜섬웨어를 설치함으로 배포된것을 바탕으로 같은 방식이 추정되고 있다. 불행하게도, 현재시점에서 암호화된 파일을 복호화하는 방법은 없으며, 유일한 방법은 백업으로 사용자들의 백업 일상화가 요구되고있다.

 

2. [기사] Microsoft사, DDE 공격을 완화하는 가이드 제공
[https://threatpost.com/microsoft-provides-guidance-on-mitigating-dde-attacks/128833/]
Dynamic Date Exchange 필드를 악용하는 상당한 공격에도 불구하고, MS는 DDE를 취약점으로 취급하지않고 제품 특징이라 의견을 고수하고 있다. 하지만 지속적인 공격으로 인해 당사는 지난 수요일, 안전하게 옵션을 세팅함으로써 해당 기능을 disable로 변형하는 가이드를 제공했다. 이들이 제공한 가이드는 DDE를 악용할 수 있는 자동 업데이트 기능의 옵션을 disable로 바꿈으로써 해결하는 방식이다. MS는 레지스트리를 통한 비활성화를 설정할 시 더이상 자동 업데이트를 통해 최신버전으로 이용할 수 없으며, 수동으로 업데이트를 진행해야한다고 말하고 있다.

 

3. [기사] 록키 랜섬웨어, 새로운 방식으로 배포 시작
[http://www.boannews.com/media/view.asp?idx=57992&mkind=1&kind=1]
록키(Locky) 랜섬웨어가 한 번 더 진화했다. 현재 이 버전의 록키는 MS 워드나 리브레 오피스 문서로 위장한 악성 첨부파일 형태로 돌아다니고 있다. 보안 업체 아비라(Avira)의 연구원들이 발견했으며, 또 다른 업체 피시미(PhishMe)가 지난 10월 발견한 때와 마찬가지로 .asasin이란 확장자를 파일에 붙인다. 차이점이 있다면 첨부파일을 열 때 다음과 같은 안내 메시지가 화면에 나온다는 것이다. 해당 문서는 ‘보안 문서’이므로 열려면 사람의 추가 조치가 필요하다는 내용이다. 그러면서 가운데 이미지를 더블클릭해야만 한다고 안내한다. 이 이미지를 더블클릭할 경우 여러 프롬프트 화면에 나오는데, 결국 이를 쭉 따라가다 보면 시스템 내 파일들이 암호화된다. 협박편지 내용이 담긴 파일들이 디스크 내에 작성되기도 한다. 아비라의 연구원들이 분석한 결과 이 이미지는 LNK 파일과 연결되어 있었다. 원래 LNK는 윈도우 바로가기에 부착되는 확장자이다. 이 LNK 파일의 기능은 파워쉘 스크립트를 다운로드 받아 실행하는 것이다. 이 파워쉘 스크립트가 실행되면 인터넷을 통해 또 다른 윈도우 실행파일이 다운로드 된다. 이 실행파일에는 여러 코드 난독화 기술이 덧입혀져 있어 피해자 스스로 시스템을 복원시킨다거나 분석가가 랜섬웨어를 분석하기 힘들다. 이 새 록키 랜섬웨어는 피해자의 기기에 장착되는 순간부터 OS 정보를 수집해 암호화시킨 후 C&C 서버로 전송한다. C&C 서버는 암호화키를 되돌려 보내준다. 

 

4. [기사] 망분리 된 PLC 시스템 공격하는 방법, 또 나왔다
[http://www.boannews.com/media/view.asp?idx=57985&mkind=1&kind=1]
망분리를 극복할 수 있는 해킹 기법이 또 하나 개발됐다. 이 방법을 통해 인터넷에 연결되지 않은 지멘스의 PLC 시스템으로부터 민감한 공장 단지 관련 데이터를 훔쳐낼 수도 있었다. 그리고 무선 주파수 통신을 통해 훔쳐낸 정보를 다른 곳으로 전송할 수도 있었다. 이를 국가가 후원하는 해커들이 악용할 경우 커다란 피해를 일으키는 것도 가능하다. 망분리를 극복할 방법을 개발한 보안 업체 사이버엑스(CyberX)의 조지 라센코(George Lashenko) 분석가와 데이비드 앗치(David Atch) 부회장은 “산업 시설에서 망분리를 궁극의 보안 방어책이라고 생각하고, 적극 도입하고 있는 것으로 알고 있다”며 “그런 ‘무조건적인 신뢰’의 맹점을 짚어내고 싶었다”고 설명한다. 망분리가 ‘절대적인 방어법’이 아니라는 건 과거에도 익히 증명된 바 있다. 그 유명한 스턱스넷(Stuxnet)은 USB 스틱을 통해 망분리 된 시스템을 공략했다. 그 외에도 여러 대학 연구 기관에서 음파, 라디오 주파수 등을 통해 망분리를 무력화시킬 수 있다는 걸 증명해 발표한 바 있다. 이스라엘의 벤구리온 대학이 이런 방면에서 특히 많은 성과를 거뒀다.

 

5. [기사] APT 공격자 오션로터스, 거대 인프라 구축
[http://www.boannews.com/media/view.asp?idx=57984&page=1&kind=1]
이른바 ‘오션로터스(OceanLotus)’라는 APT 공격자 조직이 지금까지 감염시킨 웹사이트들로 거대한 공격 인프라를 구축한 사실이 포착됐다. 오션로터스는 지난 수년 간 베트남 정부의 이익에 부합하는 디지털 감시 공격을 정교하게 펼쳐왔다. 오션로터스는 ‘APT32’라는 이름으로도 알려져 있다. 보안 업체 볼렉시티(Volexity)는 오션로터스를 추적해왔다. 볼렉시티는 최근 오션로터스가 감염시킨 웹사이트들로 하나의 네트워크를 구축한 뒤 피해자를 프로파일링하고 첩보를 수집하는 데 사용하고 있다는 사실을 발견했다고 밝혔다. 침해된 웹사이트들은 무분별하게 선택됐다기보다 베트남 정부가 요주의 인물로 가려낸 사람들이 자주 방문하는 웹사이트들로 특정하게 선별된 것으로 추정된다.오션로터스는 100개가 넘는 웹사이트를 감염시켰다. 이 웹사이트들의 대부분은 베트남 정부에 비판적인 조직 및 개인들에 속하는 것으로 나타났다. 나머지 웹사이트들은 베트남과 국경을 맞대고 있는 국가들에 속한 것들이었다. 침해된 웹사이트들은 정부기관, 군대, 시민사회 단체, 인권단체, 언론사와 연관된 조직 등에 속하는 것으로 나타났다.

첨부파일 첨부파일이 없습니다.
태그