Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 11월 14일] 주요 보안 이슈
작성일 2017-11-14 조회 97

1. [기사] 온라인 게임 테라에서 RCE 취약점 발견... 패치 완료
[https://www.scmagazine.com/tera-video-game-patched-after-report-of-rce-bug-in-chat-feature/article/706870/]

한국 게임 개발 업체인 블루 홀(Bluehole, Inc.)은 게임의 HTML 기반 채팅 기능이 악성 코드 확산에 악용 될 수 있음을 보여주는 보고서가 발행된 이후, 인기 게임 테라(TERA)에 대한 패치를 발표했다. 일련의 포럼 게시에서 Bluehole 자회사 및 북미 출판사 En Masse는 MMORPG(대규모 멀티 플레이 온라인 롤 플레잉 게임)에 대한 긴급 업데이트를 수행 할 것을 경고했다. 패치가 발표되기 이전에 해커가 채팅 서비스를 악용하는 것을 방지하기 위해 모든 채팅(길드 채팅이라는 기능 제외)을 일시 중지했으며 Bluehole은 이 문제를 조사했다. 이 취약점을 발견한 En Masse는 게이머를 위한 음성 및 문자 채팅 앱인 Discord뿐만 아니라 TERA 서브 레딧에 대한 취약점을 먼저 발견했다고 전했다. 플레이어 자체가 작성한 취약점 공개 보고서에 따르면 TERA의 게임 내 채팅 오류로 인해, 클라이언트의 컴퓨터에서 원격 코드 실행이 가능해져 공격자가 악성 코드를 실행할 수 있었다. 또한 다른 게이머의 항목 및 캐릭터 삭제, 클라이언트 충돌 및 플레이어의 IP 주소 조회와 같은 다른 악의적인 활동도 가능하게 하는 것으로 밝혀졌다. 따라서 사용자는 빠른 시일내에 패치를 적용해야 한다.


2. [기사] 3D 프린팅으로 iPhone X 얼굴 인식 통과
[https://gbhackers.com/hackers-breaked-iphone-x-face-id/]
[https://www.bleepingcomputer.com/news/apple/apple-faceid-tricked-with-150-mask/]
[https://thehackernews.com/2017/11/iphone-face-id-unlock-hack.html]
[http://feedproxy.google.com/~r/Securityweek/~3/OjIsDqYsjLs/iphone-xs-face-id-bypassed-mask]

iPhone X Face ID를 사용하면 얼굴 인식을 통해 안전하게 휴대 전화를 잠금 해제할 수 있다. Face ID가 사용하고 있는 인공 지능은 화장품 및 얼굴 패치 착용과 같은 시나리오에서 외모의 변화에 맞게 자동으로 조정된다. 런칭 이벤트에서 애플은 Face ID가 인공 지능을 통해 인간의 진짜 얼굴과 마스크를 구별 할 수 있다고 주장했다. 하지만, 3D프린팅을 이용해 iPhone X의 얼굴 인식을 통과할 수 있다는 실험 결과가 발표되었다. 베트남계 보안 업체인 Bkav가 블로그와 비디오를 통해 그들이 어떻게 얼굴 ID를 획득했는지를 밝히면서, 아이폰 페이스 아이디를 속이려는 해커들 사이에 관심이 집중되고 있다. 그들은 아이폰 X가 릴리스된지 1주일 안에 페이스 ID를 속일 수 있었다. 이는 Face ID가 효과적인 보안 수단이 아니라는 것을 의미한다. 그들은 3D 프린팅으로 가짜 마스크를 만들었고 제작 비용은 단지 150 달러에 불과했다. 그들은 3D 프린터와 수제 아티스트가 디자인한 코를 사용했고, 피부는 애플의 인공 지능을 속이기 위해 손수 제작했다. Bkav의 사이버 시큐리티 담당 부사장인 Ngo Tuan Anh는 "3D 프린팅과 메이크업 및 2D 이미지를 결합하여 특별한 마스크를 만들었다. 그 결과 얼굴 인식을 통과할 수 있었다." 고 발표했다.


3. [기사] 워너크라이에 가려졌던 2분기...익스플로잇 심각성은 역대 최고
[http://www.boannews.com/media/view.asp?idx=58003&mkind=1&kind=1]

2017년 2분기는 워너크라이와 낫페트야에 가려 잘 알려지지 않았지만, 무려 1,840억 건의 익스플로잇과 6,200만 건의 멀웨어, 그리고 29억 건의 봇넷이 감지됐다. 2017년 4월부터 6월까지 포티넷이 감지한 익스플로잇은 모두 1,840억 건으로, 일평균 18억 건이 공격했으며, 기업당 평균 익스플로잇 감지도 무료 250만 건에 달한다. 특히, 기업의 69%에서 심각한 공격이 발견됐다. 포티넷은 모든 익스플로잇이 공격에 성공했거나 표적이 된 취약성이 환경에 존재한다는 뜻은 아니라면서도, 그 심각성에 대해서는 주목해야 한다고 강조했다. 특히, 2017년 2분기에 기업의 2/3 이상이 높은 수준 혹은 치명적인 익스플로잇을 경험했으며, 기업의 90%에서 3년 이상 된 취약성에 대한 익스플로잇이 발견됐다고 지적했다. CVE(공개적으로 알려진 소프트웨어의 보안 취약점)가 공개된 지 10년이 넘었지만, 여전히 대부분의 기업이 CVE 관련 공격을 경험하고 있다는 것이다. 보고서는 오늘날 보안업계에서 가장 간과되는 요소가‘네트워크 및 장치 상태 관리’라면서, 워너크라이는 MS가 2개월 전에 패치한 취약성을 표적으로 삼았으며, 워너크라이가 전 세계를 강타했음에도 불구하고 낫페트야 역시 똑같은 취약성을 악용했다고 설명했다. 이 때문에 사용자들은 중요한 패치나 업데이트에 관심을 갖고, 공격 전 정찰 징후나 익스플로잇 동향에 대한 정보를 모니터링 할 것을 권유했다. 또한, 보고서는 샘플에 포함된 기업 대다수가 항상 1~2개의 봇넷이 활동하고 있다면서, 이런 기업 대다수가 외부 호스트와 자주 통신한다고 설명했다. 때문에 지능적 도구와 좋은 정보를 조합해 네트워크의 주요 길목에서 이러한 통신을 감지하고 차단할 수 있는 역량을 키우는 것이야말로 확실한 보안 투자라고 강조했다. 


4.[기사] 보잉 757 비행기 해킹
[http://securityaffairs.co/wordpress/65463/hacking/dhs-boeing-757-hacking.html]

연구원 및 민간 업계 전문가이 DHS 관계자와 함께 애틀랜틱 시티의 공항에 주차된 보잉 757 비행기를 원격으로 해킹했다. 팀은 비행기에 실제로 접근할 수 없었기 때문에 전문가들은 "무선 주파수 통신"을 통해 항공기의 시스템과 원격으로 상호 작용했다. 실험은 2016년 9월에 진행되었으며 조종사에게는 진행중인 사이버 공격에 대한 정보가 제공되지 않았다. 불과 2일 만에 목표는 달성되었지만 해킹의 세부 사항은 공개되지 않았었다. 하지만 지난 주 버지니아에서 열린 사이버 서밋 (CyberSat Summit)에서 실험과 그 결과가 공개되었다. 이 테스트는 국토안보과학기술부(S & T) 이사회의 사이버 보안 부서의 항공 프로그램 관리자인 로버트 히키(Robert Hickey)에 의해 수행되었던 것으로 밝혀졌다. 많은 항공 전문가들은 히키(Hickey)와 그의 팀이 비행기를 해킹할 수 있었던 결함에 대해 인지하고 있다고 말했지만, 아메리칸 항공과 델타 항공의 조종사 7명은 이 브리핑을 발표할 때 해당 문제에 대해 전혀 인지하지 못했다. 2004년 이래로 보잉 757은 생산이 중단되었지만 여전히 많은 회사에서 사용되고 있으며, 도널드 트럼프 (Donald Trump)의 개인용 비행기 또한 보잉 757인 것으로 밝혀졌다. 실제로 사용중인 상용 비행기의 90% 이상을 차지하는 레거시 항공기는 설계 방식에 의한 보안으로 구축된 최신 항공기에 의해 보안 보호 기능을 다르게 적용하지 않는다. 비행기에서 취약점이 발견되면 패치에 드는 비용과 시간이 만만치 않기 때문에 패치 관리는 항공 전자 산업에서 커다란 문제이다.


5. [기사] 한국 제작 추정 ‘오픈소스 랜섬웨어’...암호화 하지만 금품요구 없어
[http://www.boannews.com/media/view.asp?idx=58006&mkind=1&kind=1]
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=25818]

이스트시큐리티(대표 정상원)는 한국인 개발자가 제작한 것으로 추정되는 새로운 형태의 랜섬웨어가 발견됐다고 13일 밝혔다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 새롭게 발견된 랜섬웨어가 해외에서 교육용으로 공개된 오픈소스 랜섬웨어인 ‘히든 티어(Hidden Tear)’를 활용해 닷넷 기반으로 제작된 것으로 분석했다. 제작자는 이 랜섬웨어를 ‘블랙리스트CP(BlackListCP)’로 명명하고 있으며, 금전 갈취를 목적으로 하는 기존의 랜섬웨어와 달리 비트코인 등을 요구하지는 않지만 문서, 사진 등 PC에 저장된 파일을 암호화시키는 악성 동작은 정상적으로 수행한다. 해당 랜섬웨어는 사용자의 착각을 불러일으키기 위해 PDF 문서 아이콘으로 위장하고 있으나 실제로는 윈도 OS 실행 파일인 ‘EXE’ 확장자를 가지고 있으며, 사용자가 아이콘을 실행하면 DOC, PPTX 등 흔히 사용되는 158종의 확장자를 가진 파일을 암호화시킨다. 또한 암호화가 완료되면 바탕화면 경로에 ‘notice.txt’라는 이름의 랜섬노트를 통해 한국어와 영문으로 감염 사실을 안내하는 동시에, 제작자의 계정으로 추정되는 'SkyDragon7845' 라는 아이디와 특정 웹사이트 주소(URL)를 보여준다. 이 주소에 접속하면 유튜브(Youtube), 트위치(Twitch) 등 랜섬웨어 제작자가 운영하는 것으로 보이는 스트리밍 동영상 서비스에 접속할 수 있는 링크(Link)가 나타나며, 해당 동영상 사이트에는 'BlackListCP' 랜섬웨어 감염 동영상과 함께 전 세계적으로 이슈가 된 바 있는 'WannaCry', 'Petya’ 등 다른 랜섬웨어의 감염 동영상도 공개돼 있는 것을 확인할 수 있다.


6. [기사] 구글, 접근성 서비스를 제공하는 안드로이드 앱 금지
[http://www.securityweek.com/google-ban-android-apps-misusing-accessibility-service?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://www.bleepingcomputer.com/news/security/google-addresses-androids-biggest-security-problem-accessibility-services/]

접근성 서비스를 남용하는 Android 악성 코드 및 애드웨어가 증가한 이후 Google은 해당 기능을 오용하는 모든 앱에 대해 조치를 취하기로 결정했다. Google Play 스토어로 가져 오는 애드웨어 및 멀웨어의 대부분은 BIND_ACCESSIBILITY_SERVICE 권한을 악용했다. 이 권한은 앱이 장애가 있는 사용자를 도울 수 있도록 설계되었지만, 맬웨어 개발자는 이를 통해 장치 관리자 권한을 얻고 악용할 수 있는 방법을 발견했다. 악용을 방지하기 위해, 해당 권한을 사용하는 개발자는 기능에 대해 Google Play에 승인을 받아야 한다. 구글 측은 "모든 위반 사항이 추적된다. 기능을 반복적으로 악용하면 개발자 계정이 해지되고 관련 Google 계정이 조사 및 종료 될 수 있다."고 발표했다. 많은 사용자와 개발자는 합법적인 앱을 구현하기가 어려워질 수 있다고 지적하면서 Google의 결정에 대한 우려를 제기했다.

첨부파일 첨부파일이 없습니다.
태그 Hidden Tear  Face ID