Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 4월 16일] 주요 보안 이슈
작성일 2018-04-16 조회 209

1. [기사] Windows 10의 업데이트, 랜섬웨어 보호 섹션 추가
[https://www.bleepingcomputer.com/news/microsoft/ransomware-protection-section-included-in-windows-10s-spring-creators-update/]

 Microsoft는 다가오는 Spring Creators Update에서 Windows Defender 보안 센터 설정에 Ransomware Protection 섹션을 추가했습니다. 새로운 Ransomware Protection 섹션은 Windows Defender 보안 센터의 "바이러스 및 위협 방지" 설정 아래에 있습니다. Ransomware 보호 섹션에 들어가 보면 '제어된 폴더 액세스' 도구를 볼 수 있습니다. '제어된 폴더 액세스'는 특정 폴더의 파일을 알 수없는 응용 프로그램으로 인해 수정될 수 없도록 보호 할 수있는 기능입니다. 이렇게하면 이러한 폴더 내의 파일이 ransomware 감염으로 암호화되지 않도록 보호할 수 있습니다. '제어된 폴더 액세스'를 활성화하면 보호 할 폴더를 구성하고 CFA를 우회하여 응용 프로그램을 허용 할 수있는 추가 설정이 나타납니다.

 

2. [기사] 오래된 JavaScript 암호화 결함으로 Bitcoin 자금이 위험에 처해 있음
[https://www.bleepingcomputer.com/news/security/old-javascript-crypto-flaw-puts-bitcoin-funds-at-risk/]
 브라우저 또는 자바 스크립트 기반의 응용프로그램을 통해 생성된 Bitcoin 주소는 공격자로부터 개인 키를 무차별공격 당함으로써 사용자의 wallet은 제어 당하고 자금을 도난당할 수 있다고 경고합니다. 해당 취약점은 임의의 Bitcoin 주소와 인접한 개인 키 (암호와 동일)를 생성하는 JavaScript SecureRandom() 함수의 사용에 있습니다. 전문가에 따르면 SecureRandom()은 구식 RC4 알고리즘을 통해 얻은 숫자를 실행하는데 엔트로피가 적기때문에 알고리즘을 쉽게 예상할 수 있다고 설명합니다. 그 결과  SecureRandom() 함수를 사용하여 생성 된 모든 Bitcoin 주소가 계정의 개인 키를 추측 할 수있는 무차별 공격에 취약하다는 것입니다. 전문가는 사용자들이 공격에 노출되기 전에 하루 빨리 새 계정으로 자금을 이동하는 것이 좋다고 권고합니다.

 

3. [기사] Drupalgeddon2, 해커가 Drupal RCE 취약점을 이용하기 시작
[https://thehackernews.com/2018/04/drupal-rce-exploit-code.html]
 최근 드루팔에서 취약점 공격 코드가 공개 된 직후에 공격자들은 이를 악용하기 시작했습니다. 2주 전에 Drupal 보안팀 은 콘텐츠 관리 시스템 소프트웨어에 Drupalgeddon2 라고하는 매우 중요한 원격 코드 실행 취약점을 발견 하였고 이는 공격자가 취약한 웹 사이트를 완전히 장악할 수 있다는 것을 확인 했습니다. 연구원에 따르면 해당 취약점은 FAPI(Form API) AJAX요청을 통해 전달된 입력값이 불충분한 유효값을 갖고 있기 때문에 해당 취약점이 존재한다고 설명합니다. 결과적으로 공격자는 악의적인 페이로드를 내부 양식 구조에 삽입할 수 있었으며 이로 인해 드루팔은 사용자 인증없이 실행하게 된 것입니다. 해당 취약점을 해결하기 위해 회사는 즉시 Drupal CMS의 업데이트된 버전을 릴리스하고 취약점에 대한 기술적인 세부 사항을 공개하지 않았으며 백 만개이상의 사이트에 문제를 해결할 수있는 충분한 시간을 제공했습니다. 취약한 버전의 Drupal을 여전히 실행중인 사이트 관리자는 익스플로잇을 피하기 위해 CMS를 가능한 한 빨리 Drupal 7.58 또는 Drupal 8.5.1로 업데이트하여 취약점을 패치하는 것이 좋습니다.

 

4. [기사] 쿼드마이너, 해킹공격 히스토리 추적 '네트워크 블랙박스' 출시
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=33090]
 쿼드마이너는 네트워크 보안 메커니즘을 완성할 수 있는 네트워크 보안 솔루션인 '네트워크 블랙박스'를 출시했습니다. 회사 측은 해당 솔루션 도구를 통해 네트워크 포렌식 솔루션 영역과 네트워크 DLP 영역을 부분적으로 커버할 수 있으며 침해사고 분석에 있어서 탁월한 효과를 보고 있다고 설명합니다. 또한 네트워크 상의 모든 패킷을 저장하고, 정보를 전수 조사해 분석해 악성코드를 식별하고 해킹경로, 피해 영향, 악성코드 위치 등 해킹공격의 히스토리를 추적한다고 설명합니다. 이 외에도 다양한 기능이 존재하며 글로벌 TOP3 SIEM 제품과 연동함으로써 보안 위협에 대한 신속한 대응까지 가능하다고 전했습니다.

 

5. [기사] UPnP를 사용하는 공유기 65,000대로 구성된 Proxy Botnet 발견

[https://securityaffairs.co/wordpress/71338/breaking-news/proxy-botnet-upnp.html]
 Akamai의 보안 연구원은 범용 플러그 앤 플레이 (UPnP) 프로토콜을 통해 인터넷에 노출 된 65,000대 이상의 라우터로 구성된 프록시 봇넷을 발견했습니다. Akamai가 발견 한 악의적인 봇넷은 악의적인 NAT 주입을 비롯한 취약한 장치로 구성되어있으며 라우터를 프록시로 전환하기 때문에 전문가는 주입된 장치를 UPnProxy라고 부릅니다. 대부분의 주입은 TCP 53, 80 및 443번 포트를 대상으로 하며 광범위한 기기가 영향을 받는다고 설명합니다. 시만텍 조사에 따르면 APT 그룹이 사용 하는 "Inception Framework"에 대해 조사하면서 프록시 봇넷의 일부는 시만텍의 연구원에 의해 이미 발견 되었기 때문에 UPnProxy 인스턴스가 운영자의 실제 위치를 확인하지 못하도록 한다는 것을 발견했습니다. UPnProxying에 대해 라우터가 손상되었는지 확인하려면 엔드 포인트를 검사하고 NAT 테이블 항목을 감사하면 됩니다. 

첨부파일 첨부파일이 없습니다.
태그 Drupalgeddon2  네트워크 블랙박스  UPnProxy