Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 4월 24일] 주요 보안 이슈
작성일 2018-04-24 조회 1091

1. [기사] 한국서 악명 높은 공격툴 CK VIP, 최신 취약점 탑재해 ‘공습’
[http://www.boannews.com/media/view.asp?idx=68693&page=1&mkind=1&kind=1]
 최근 한국에서 가장 악명 높은 공격툴인 CK VIP(공다팩 변형) 익스플로잇킷이 최신 플래시 취약점을 탑재해 유포되는 악성코드가 기승을 부리고 있습니다. 해당 CK VIP를 분석한 결과, 다수의 익스플로잇킷에서 사용되는 플래시 취약점인 'CVE-2018-4878'을 사용함으로써 패치가 아직 되지 않은 사용자를 대상으로 악성코드 감염이 이루어지고 있습니다. 악성코드 유포 방법 중 하나인 드라이브 바이 다운로드 방식을 이용하여 취약한 버전의 응용프로그램(Internet Explorer, Flash, Java, Silverlight 등)을 방문하는 것만으로도 감염되도록 합니다. 취약점을 이용해서 쉘코드를 성공적으로 실행시킨 후 악성코드 사이트에서 악성코드를 다운로드 받게하여 그 악성코드를 실행하도록 합니다. 해당 악성코드는 자기 자신을 숨기기위해 실행 후 자기 자신을 스스로 삭제하며, 명령제어 서버로부터 암호된 dll파일을 다시 다운 받아 이를 복호화 후 실행하는 것으로 분석됐습니다. 악성 행위로는 키로깅, 화면 정보 탈취 ,자동 실행 등록, 정보탈취 등을 수행하며 그것을 바탕으로 추가적인 악성 행위를 수행하기도합니다. 이처럼 익스플로잇킷이 최신 취약점을 탑재해 감염 능력을 향상시키는 경향이 증가하고 있으며 이에 대응하기위해 응용 프로그램들의  최신 버전 업데이트가 필요합니다. 

 

2. [기사] X-Ray와 MRI 기기를 감염시키는 Orangeworm
[https://thehackernews.com/2018/04/healthcare-cyber-attacks.html]
 보안연구원은 전세계의 의료기관 및 관련 분야를 겨냥하여 기업 간첩 행위를 수행하는 새로운 해킹그룹 'Orangeworm'을 발견했습니다. 시만텍의 보고서에 따르면 이들은 2015년부터 활동해왔으며 미국, 유럽 및 아시아에 본사를 둔 주요 국제 기업의 시스템을 대상으로 하고 있습니다. 해당 해킹 그룹은 X-Ray 및 MRI 시스템과 같은 첨단 이미징 장치를 제어하는데 사용되는 컴퓨터에 웜 트로이 목마를 설치합니다. 네트워크에 침입한 공격자들은 훼손된 컴퓨터에 백도어를 열어 공격자가 원격으로 장비에 액세스하고 중요한 데이터를 도용할 수 있는 Kwampirs라는 트로이목마를 설치합니다. 해당 멀웨어는 해시기반 탐지를 피하기 위해 무작위로 생성된 문자열을 기본 dll페이로드에 삽입하고, 재부팅된 후에도 계속해서 서비스가 유지되도록 합니다. 또한 손상된 시스템에 대한 정보를 수집하여 C&C 서버로 보내 해킹 된 시스템이 연구원이나 가치가 높은 대상에 사용되는지 결정합니다. Orangeworm 해킹 그룹의 정확한 동기는 명확하지 않으며 정부의 지지를 받는 그룹도 아니며 단순히 상업적 목적을 위해 행위하는 것으로 보입니다. 

 

3. [기사] Google Project Zero 연구원 Windows 10 잠금정책 우회가능 취약점 공개
[https://securityaffairs.co/wordpress/71689/hacking/windows-lockdown-policy-0day.html]
 Google은 사용자 모드 코드 무결성(UMCI)이 활성화된 시스템에서 Windows 잠금정책을 무시하고 대상 시스템에 임의의 코드 실행할 수 있는 Windows10 제로데이 취약점을 공개했습니다. 해커 James Forshaw는 Google 공개 정책에 따라 90일 동안 취약점이 수정되지않아 공개적으로 이 문제를 공개했습니다. 해당 결함은 .NET COM 개체가 인스턴스화될 때 WLDP COM 클래스 잠금 정책이 작동하는 방식과 관련이 있습니다. .NET COM 개체가 인스턴스화 될 때 mscoree의 DllGetClassObject에 전달 된 CLSID가 HKCR의 등록 정보를 조회하는 데만 사용되며 CLSID는 버려지고 .NET 개체가 만들어 짐을 발견했습니다. 즉, 침입자는 HKCU를 포함하여 신뢰할 수있는 CLSID 중 하나에서 임의의 COM visible class를 로드하는 레지스트리 키를 추가 할 수 있습니다. 이것은 클래스 정책에 직접적인 영향을 주어 .NET은 특정 GUID가 있는지 여부에 상관없이 부트스트랩 임의의 코드 실행을 사용할 수 있게됩니다.

 

4. [기사] MUHSTIK 봇넷, Drupal 취약점 이용
[https://threatpost.com/muhstik-botnet-exploits-highly-critical-drupal-bug/131360/]
 공격자들은 Drupal의 CMS 플랫폼에서 발견된 매우 치명적인 취약점을 적극적으로 악용하여 가상화폐 마이너를 설치하고 손상된 시스템을 통해 DDOS공격을 시작하고 있다고 경고합니다. 연구원들은 Drupal 버그를 이용하는 Muhstik이라 불리는 봇넷을 발견했으며 공격자가 URL에 액세스한 다음 악용 코드를 주입함으로써 취약점을 악용하고있다고 밝혔습니다. 이로인해 공격자들은 Drupal을 실행하는 대상 서버에서 명령을 실행할 수 있습니다. Netlab에 따르면 Muhstik은 감염된 Linux서버 및 Linux기반 IoT 장치로 봇넷을 만드는 악성 프로그램인 Tsunami의 변종으로 오픈 소스, p2p cryptocurrency를 마이닝하기 위해 XMRig (XMR)와 CGMiner라는 2개의 코인마이너를 설치합니다. 또한 11개의 명령 및 제어 도메인과 IP 주소에 의존하고 IRC 통신 프로토콜을 사용하여 봇넷에 대한 명령을 호출합니다. IRC프로토콜 자체의 특성때문에 현재 어떤 C2 서버에서 열려있는지는 확인할 수 없습니다. 마지막으로 aiox86 스캐닝 모듈을 사용하여 취약한 서버 응용 프로그램을 검사할 수 있는 기능을 갖고 있어 TCP 포트 80, 8080, 7001, 2004을 스캔하고 각 포트에서 다양한 페이로드를 시도합니다. 아직 이전버전을 사용하는 사용자는 가능한한 빨리 Drupal 7.58 또는 8.5.1로 업데이트 할 것을 권장합니다.

 

5. [기사] 동남아시아와 동아시아 지역 내 가짜 트위터 계정 급증
[http://www.boannews.com/media/view.asp?idx=68709&page=1&mkind=1&kind=]
 동남아시아와 동아시아 지역에서 익명의 트위터 계정들이 급증하고 있는 소식이 들리면서 소셜미디어를 이용한 불법적이고 비윤리적인 행위가 급증할 것으로 예상됩니다. 이러한 현상을 제일 먼저 발견한 캄보디아 출신 마야 길리스챕만은 최근 팔로워가 277% 증가하였는데 들어가보면 제대로된 사진도 없고 글도 없는 의심스러운 계정들이 많았습니다. 이상하게 여겨 이를 온라인 공간에 알리자 이와 같은 사람들이 많은 것으로 드러났습니다. 의심스러운 계정들은 일반적으로 유명한 사업가들, 학자 및 교수, 연예인, 기자 등 유명한 사람들을 대상으로 팔로우하고 있습니다. 전문가에 따르면 이러한 계정은 모두 봇이며 정치적 행위와 연관이 있다고 추정합니다. 필리핀 대통령 선거때에도 봇과 사이버 트롤링 행위로 한 후보자를 지지하는 쪽으로 성행하였고 결국 그 후보자가 당선이 되었습니다. 이 외에도 미얀마에서 정부를 비난하는 사건이 있었을 때, 정부를 지지하는 트위터 활동들이 급증한 적이 있습니다. 몇몇 동남아시아 국가에서 2년 내에 큰 선거를 앞두고 있는 것으로 미루어 보아 이 지역들에 봇들이 성행하고 있는 것으로 보입니다. 여론 조성을 하는데 기여를 하는 봇에 대한 조치가 제대로 이루어지지 않고 있으며 트위터는 곤란한 입장에 처해있습니다.

첨부파일 첨부파일이 없습니다.
태그 CK VIP  Orangeworm  MUHSTIK