Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 12월 07일] 주요 보안 이슈
작성일 2017-12-07 조회 84

1.[기사] 원격 데스크톱 서비스를 통해 설치되는 HC7 GOTYA Ransomware
[https://www.bleepingcomputer.com/news/security/hc7-gotya-ransomware-installed-via-remote-desktop-services-spread-with-psexec/]

HC7이라는 새로운 ransomware는 원격 데스크톱 서비스를 실행하고 있는 Windows 컴퓨터를 해킹할 수 있다.
만약 이 랜섬웨어에 감염 되면, 해당 네트워크의 모든 액세스 가능한 기기에 랜섬웨어가 설치된다. 이것은 Python-exe 실행 파일이므로 스크립트가 추출되면 Ransomware 제작자인 Michael Gillespie가 해독 가능함을 확인하고 해독기를 릴리스했다. 하지만 개발자는 해독할 수 없는 HC7이라는 새 버전을 출시했다. 현재 공격자는 노출된 원격 데스크톱 서비스를 해킹하고 PsExec을 사용하여 네트워크의 다른 컴퓨터에 ransomware를 설치한다.  공격자가 ransomware를 실행하면 AES-256 암호화를 사용하는 암호화 키를 제공한다. 또한 암호화 파일 확장자는 .GOTYA 확장자를 사용한다. 예를 들어, test.jpg 파일은 암호화되어 test.jpg.GOTYA로 이름이 바뀌게 된다. 컴퓨터를 암호화하는 동안, ransomware는 파일이 암호화 된 각 폴더에 RECOVERY.txt라는 이름의 랜섬노트를 생성한다. 여기에는 ransomware 개발자에게 연락하는 데 사용할 수 있는 비트 코인 주소, 피해자 ID, 지불 지침 및 전자 메일 주소가 포함되어 있다. 암호화 키가 ransomware 원본에 하드 코딩되지 않지만 보안 컨설턴트는 활성 메모리의 스냅 샷을 작성하고 그 안에 있는 명령 줄을 검색하여 복구 방법을 파악할 수 있었다. 공격자가 원격 데스크톱 서버를 대상으로 하므로 공격을 예방하기 위해서는 모든 서버가 방화벽을 사용하고, VPN을 사용하지 않는 것이 중요하다. 원격 데스크톱 서버를 인터넷에 직접 연결한 상태로 두면 다른 기기로부터 해킹 당할 수 있다.


2.[기사] Air-Gapped 산업용 네트워크에서 PLC를 통해 테이터 도용 가능 해
[http://www.securityweek.com/hackers-can-steal-data-air-gapped-industrial-networks-plcs?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]

연구자들은 해커들이 프로그래머블 로직 컨트롤러(PLC)가 방출하는 무선 주파수(RF) 신호를 조작하여 에어 갭이 있는 산업 네트워크의 데이터를 추출할 수 있는 방법을 발견했다. 팬. AirHopper라는 PoC (proof-of-concept)맬웨어 중 하나는 컴퓨터의 그래픽 카드에서 방출되는 전자기 신호를 사용하여 주변 수신기에 데이터를 전송한다. 한 보안 연구원은 에어 갭이 있는 산업 네트워크의 시스템에 유사한 데이터 추출 방법을 적용하는 방법을 발견했다. 이 방법은 지난 10월ICS Cyber ​​Security Conference에서 처음 공개되었다. 이 기술은 PLC와 RF 신호가 방출하는 방식에 의존한다. 테스트는 Siemens S7-1200 PLC 제품을 사용하여 수행되었지만, 전문가들은 이 공격이 다른 공급 업체의 PLC에서도 가능하다고 주장한다. 연구원들은 데이터가 장치의 메모리에 기록될 때 주파수가 변하는 것을 발견했다. 만약 공격자가 이 주파수를 조작할 수 있다면 비트 단위로 데이터를 추출할 수 있다. 대상 조직의 시스템, 특히 산업용 컨트롤러에 액세스 할 수 있는 공격자는 악의적인 래더 다이어그램을 PLC에 업로드하고 데이터를 추출하거나 변경할 수 있다. 연구원은 이러한 유형의 공격은 일반적으로 PLC에서 실행되는 보안 솔루션이 없기 때문에 탐지하기가 어렵다고 경고했다. 


3.[기사] 비트코인과 관련된 사이트 중 74%가 DDoS 공격 당해
[https://www.bleepingcomputer.com/news/security/74-percent-of-all-bitcoin-related-sites-suffered-a-ddos-attack/]
[http://www.boannews.com/media/view.asp?idx=58442&mkind=1&kind=1]

비트코인 가격이 상승하면서 온라인 암호화폐 거래소 및 유사 서비스가 우후죽순 늘어났다. 그러면서 시작된 또 다른 현상이 있으니, 이러한 암호화폐 거래소를 노리는 디도스 공격 또한 증가했다는 것이다. 세계에서 가장 큰 비트코인 거래소 중 하나인 비트피넥스(Bitfinex)는 이번 주 월요일 디도스 공격을 당했다고 발표했다. 보안 업체 임퍼바(Imperva)는 “고객사들 중 비트코인 거래소가 27곳 있는데, 그중 3/4가 3사분기 동안 디도스 공격을 경험했다”고 말하기도 했다. 실제로 3사분기 내 디도스 공격을 가장 많이 당한 산업 10개 중 하나가 비트코인 산업이다. 보안 전문가는 디도스 공격은 돈을 노리는 사이버 범죄자들이 실시하는 가장 기본적인 형태의 공격이라고 설명한다. 가장 간단한 공격 방법으로는 디도스 공격을 가지고 한창 거래가 활발히 일어나는 시점에 공격하겠다고 협박해서 돈을 뜯어내거나, 그게 아니라면 공격자 자신이 비트코인을 구매하고, 디도스 공격으로 시세에 변화를 준 다음 유리한 조건에서 비트코인을 거래할 수도 있다. 현재의 비트코인은 가격 변동이 매우 심하고, 작은 요인에도 크게 요동치는 것으로 유명하다. 그러니 일부 공격자들이 디도스 공격 같은 일들을 일으켜 가격 변동을 꾀하려는 것이다. 비트코인은 아직 통제의 대상이 아니라서 많은 사람들의 관심을 끌기도 한다. 사실 위에서 말한 가격의 심한 요동이 통제 장치의 부재 때문에 나타나는 현상이기도 하다. 규정이나 통제 장치가 없기 때문에 누군가 아주 큰 금액을 사거나 팔려는 의지만 나타내도(거래가 실제로 발생하기 직전에 취소해도), 비트코인 전체 생태계의 가격이 바뀐다. 즉 가격 조작이 쉽다는 것이다. 지난 분기에 비트코인 환경을 겨냥한 디도스 공격이 급증한 것에는 다 이유가 있다. 범죄자들이 ‘확실한 수익을 낼 수 있다’는 걸 파악했기 때문이다. 그저 거래소 한 곳 잡아서 협박금을 뜯어내는 게 아니라 거래 환경 자체를 조작하는 것으로 큰 수익을 발생시킬 수 있으며, 실제로 공격자들은 그런 행위를 하고 있는 것으로 보인다.


4.[기사] 北 추정 해커, 지인인 척 카톡으로 악성파일 유포
[http://www.boannews.com/media/view.asp?idx=58445&mkind=1&kind=1]

북한 추정 해커들이 카카오톡 등 SNS를 활용해 다각도의 사이버공격을 감행하고 있다. 카카오톡과 페이스북 등 계정을 도용해 PC 메신저 이용자 대상으로 문서 파일을 전송해 악성코드 감염을 유도하고 있는 정황이 포착돼 이용자들의 각별한 주의가 필요하다. 6일 보안업계에 따르면 북한 추정 해커가 다양한 방법으로 휴대폰 번호를 입수해 카카오톡에 등록한 후, 프로필 사진과 이름을 도용하고 있으며 도용한 계정으로 지인들에게 접근해서 카카오톡 PC 메신저를 대상으로 문서 파일을 보내서 악성코드를 감염시키고 있다.  따라서 이용자는 카카오톡에서 지인이 메시지를 전송하거나 말을 걸면 지인이 맞는지 확인과정을 거치는 것이 바람직하다. 특히, 계정 도용의 경우 이용자의 사진과 이름이 똑같기 때문에 지인이 정말 맞는지 추가적으로 확인할 필요가 있다. 


5.[기사] 스팸 봇넷 통해 무작위로 유포되는 랜섬웨어 발견
[http://www.boannews.com/media/view.asp?idx=58443&mkind=1&kind=1]

불특정 다수를 대상으로 스팸 봇넷을 통해 이메일로 무작위로 배포되는 최신 변종 랜섬웨어 ‘글로브임포스터(GlobeImposter)’가 발견됐다. 이번에 발견된 랜섬웨어는 ‘글로브임포스터(GlobeImposter)’의 최신 변종 랜섬웨어로, 11월 중순 무렵부터 유포되기 시작하여 지금까지 활발히 유포 중이다. 기존에 록키(Locky), 재프(Jaff) 등의 랜섬웨어 유포에 활용된 ‘네커스(Necurs)’ 봇넷을 이용하여 유포되고 있다. 네커스 봇넷은 주로 악성파일이 첨부된 스팸메일을 불특정 다수에게 발송하여 전파하는데 활용되는 봇넷으로, 이번에 발견된 글로브임포스터 랜섬웨어는 록키 랜섬웨어처럼 메일에 첨부된 ‘VBS’ 스크립트를 실행하면 감염되는 것으로 알려졌다. 해당 랜섬웨어에 감염될 경우 사용자 PC에 존재하는 파일들을 암호화한 후 ‘..doc’ 확장자를 붙이며 ‘Read__ME.html’ 파일명의 랜섬노트를 생성하여 사용자가 몸값 비용을 낼 수 있도록 안내한다.  하우리 CERT실은 “이메일 첨부파일을 통한 랜섬웨어 유포 사례가 끊이질 않고 있다”며, “출처를 알 수 없는 이메일에 첨부된 파일은 절대 열람하지 않고 반드시 확인하는 습관을 지녀야 예방할 수 있다”고 밝혔다. 


6.[기사] NiceHash 해킹 된 최대 Cryptocurrency Mining Market
[https://www.bleepingcomputer.com/news/security/largest-cryptocurrency-mining-market-nicehash-hacked/]

해커들은 Cryptocurrency Mining Market 사이트를 뚫고 모든 Bitcoin을 주요 지갑에서 훔쳤다고 전했다. NiceHash는 사용자가 등록 및 임대하거나 cryptocurrency 마이닝/해싱 능력을 구입할 수 있게 해주는 서비스이다. 사용자는 자체 채굴 장비(클라우드 컴퓨팅 서버)를 임대하거나 다른 사람으로부터 장비(클라우드 컴퓨팅 서버)를 임대하여 이익을 분배할 수 있다. 사용자는 적립된 화폐를 외부 지갑으로 보내거나 로컬에 저장할 수 있는 방식이다. NiceHash 네트워크에서 발생한 해킹 사고는 로컬에 저장된 화폐에도 영향을 미친 것으로 보인다. 이에 따라 많은 사용자들이 NiceHash 지갑에서 Bitcoin을 잃어버린 것에 대해 항의하고 있다. 사이트 운영자는 현재 Bitcoin 펀드의 현황을 파악하기 위해 노력하고 있는데, 현재 Bitcoin 가격으로 6,260 만 달러가 넘는 것으로 추정된다. 사이트 운영자는 사용자로 하여금 암호를 변경하도록 권유하고 있다.

첨부파일 첨부파일이 없습니다.
태그 HC7 GOTYA Ransomware  GlobeImposter