Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 12월 06일] 주요 보안 이슈
작성일 2017-12-06 조회 62

1. [기사] 대량의 데이터 침해사고 가상 키보드로부터 발생
[https://thehackernews.com/2017/12/keyboard-data-breach.html]
대부분의 사람들이 자신이 원하는 앱을 자신의 휴대폰에 설치하는 동안 얼마나 많은 정보가 유출되는지 잘모르지만 확실한 것은 사용자가 상상하는 이상이 유출된다. 오늘 날 많은 개발자들은 정해진 규칙을 정하지 않고 정보를 채집하는데 최근 가상 키보드 앱이 이를 잘 설명해준다. Kromtech Security Center의 보안연구원들은 약 3100만명의 해당 앱 사용자의 개인 정보를 수집한것으로 알려졌다. 이는 잘못 설정된 MongoDB 데이터베이스로부터 해당 앱을 작동시키는데 전혀 필요하지 않은 개인 정보 약 577GB를 유출되었다. 유출된 내용은 사용자 이름, 휴대전화 번호, 이메일 주소, 장치명, 해당 장치 안드로이드 버전, IP 주소 및 GPS 위치 등이다. 더욱이 가상 키보드 앱은 사용자의 연락처 목록을 통해 타인의 정보까지 훔친것으로 확인되었다. 이에 따라 연구원들은 사용자의 앱 설치시 주의를 요구하고 있다.

 

2. [기사] MailSploit - 이메일 스푸핑 취약점이 30개 이상의 인기 있는 메일 클라이언트에 영향
[https://www.bleepingcomputer.com/news/security/mailsploit-lets-attackers-send-spoofed-emails-on-over-33-email-clients/]
[https://thehackernews.com/2017/12/email-spoofing-client.html]
독일 보안 연구원 Sabri Haddouche는 사용자 이메일을 스푸핑하여 일부의 경우에는 악의적으로 조작된 코드를 실행시킬 수 있도록 만들 수 있는 취약점을 발견했다고 전해진다. 그는 이 취약점을 Mailsploit이라 지칭하며 현대 스푸핑 방지 메카니즘인 DMARC ( DKIM/SPF) 또는 다양한 스팸 필터를 무용지물로 만든다는 점을 강조했다. 그는 Mailsploit 결함이 얼마나 많이 영향을 미쳤는가에 대해 조사하기 위해 피해자 개개인들에게 연락하여 조사했으며 현재까지 약 33개의 버그중 8개만 패치된것으로 확인했다. 자세한 영상 설명은 BleepingComputer URL을 통해 확인할 수 있다.

 

3. [기사] 이력서와 택배로 위장한 가상화폐 채굴 악성코드 주의
[http://www.boannews.com/media/view.asp?idx=58412&mkind=1&kind=1]
최근 졸업 및 취업시즌을 맞아 ‘입사 지원, 중고 물품 구매, 택배 배송’ 등의 내용으로 가상화폐를 채굴하는 악성코드가 발견됐다. 유포되고 있는 악성코드는 실제 기업의 인사담당자에게 이력서로 위장한 메일을 보내거나, 현재 중고 물품을 파는 판매자에게 ‘구매 의사가 있다’는 내용인 수신인 맞춤형으로 메일을 발송했다. 따라서 이용자들의 각별한 주의가 필요하다. 5일 보안전문기업 하우리에 따르면 “메일에 첨부된 압축파일(egg)은 실행 파일과 바로가기 파일로 구성되어 있다”며 “해당 악성 파일들은 작년 연말부터 올해 상반기까지 ‘2016년도 연말정산, 사내내부지침사항’ 등으로 유포된 비너스락커 랜섬웨어와 8월에 유포된 입사지원 위장 메일의 유포 방법 및 악성코드 형태가 매우 유사하다”고 밝혔다. 악성코드를 실행할 경우 자신을 숨기기 위해 ‘wuapp.exe’, ‘svchost.exe’ 등 윈도우 정상프로세스를 실행하고 악성코드를 인젝션한 후 모네로(Monero) 코인을 채굴한다. 

 

4. [기사] 토렌트서 살포중인 가짜 HWP2018 파일은 해킹 프로그램…주의 
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=26562]
지난 12월 3일부터 동일한 공격자로 추정되는 인물이 불특정 다수를 대상으로 한글문서 파일처럼 위장해 새로운 악성파일을 토렌트로 유포시키고 있어 각별한 주의가 필요한 상황이다. 공격자는 마치 최신 HWP2018 의 무설치 인증판 파일처럼 위장해 ‘Orcus RAT’ 원격 해킹 기능 악성파일을 토렌트 사이트에서 유포하고 있는 것으로 확인됐다. 현재 해당 파일은 토렌트 인기자료 2순위에 등록되어 있을 정도로 많은 이용자들이 다운로드하고 있는 상태이며, 정상적인 프로그램처럼 위장하기 위해 나름 1.3G 정도의 대용량 파일크기로 만들어져 있다. 이용자가 'HWP2018 무설치 인증판.torrent' 파일을 이용해 프로그램을 다운로드하면 실제로 약 1.33G 크기의 폴더가 생성된다. 폴더 내부에는 다양한 파일과 하위 폴더가 포함되어 있으며 가장 상위 경로에 'HWP2018.exe' 실행 파일을 보여줘 이용자가 바로 실행하도록 현혹하고 있다. 

 

5. [기사] SambaCry를 사용하여 NAS 장치를 감염 시키는 StorageCrypt 랜섬웨어
[https://www.bleepingcomputer.com/news/security/storagecrypt-ransomware-infecting-nas-devices-using-sambacry/]
최근 BleepingComputer는 Western Digital My Cloud와 같은 NAS 장치를 대상으로하는 StorageCrypt라는 새로운 ransomware에 대한 지원 요청을 받았다. 피해자는 NAS 장치의 각 공유에 Autorun.inf 파일과 Beauty and the beast로 번역된 Windows 실행 파일인 美女与野 .exe가 포함되어 있었다고 말했다. BleepingComputer가 받은 샘플에서 이 Autorun.inf는 NAS 장치의 폴더를 여는 다른 컴퓨터에 실행 파일을 전파하였다. SambaCry는 악용될 때 공격자가 영향을 받는 장치에서 명령 셸을 열 수 있는 Linux Samba 취약점을 가지고 있다. StorageCrypt를 사용하여 NAS 장치를 감염시키는 방법은 이전에 사용된 Elf_Shellbind 변형과 같다. 이번에는 공격자가 이 취약점을 이용하여 컴퓨터에 StorageCrypt라는 ransomware를 설치한다. 이 실행 파일이 StorageCrypt를 설치하거나 나중에 액세스 할 수 있도록 백도어로 사용되는지 여부는 현재 알 수 없다. Samba 프로토콜은 SambaCry가 Samba 프로토콜의 취약점을 대상으로하므로 NAS 장치를 인터넷에 직접 연결하지 않는 것이 중요하다. 장치가 인터넷에 연결되어 있으면 파일을 스트리밍하고 액세스 할 수있는 동안 공격자가 악의적으로 사용할 수 있다. 때문에 NAS를 방화벽 뒤에 두고 네트워크에 VPN을 구성해야 한다. 이를 통해 NAS 및 NAS에 저장된 파일에 안전하게 액세스 할 수 있다.

첨부파일 첨부파일이 없습니다.
태그