Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2018년 5월 11일] 주요 보안 이슈
작성일 2018-05-11 조회 1071

1. [기사] 모바일 사용자, 멀웨어보다 피싱 공격에 더 주의할 것
[http://www.boannews.com/media/view.asp?idx=69261&page=1&mkind=1&kind=1]
 보안 업체 완데라(Wandera)에 따르면 모바일 사용자는 멀웨어 공격보다 피싱 공격의 노출에 18배나 높다고 발표했습니다. 기업이나 기관 등에서 의심스러운 링크나, 파일을 열지 말라는 경고를 지속적으로 함으로써 이를 지키는 사람들이 늘어나고 있지만 한편으로는 문자 메시지나 SNS와 같은 환경으로 옮겨지면 위험 사실을 잊어버리는게 현실이라고 말합니다. 현대인들은 모바일을 통한 소통이 차지하는 비율이 높기 때문에 공격자들은 이 점을 노리고 텍스트나 그림, 영상을 동원하여 사용자들의 심리를 자극시킵니다. 조직 입장에서 모바일 기기는 직원들의 개인정보와 기업의 지적재산 및 민감한 정보들이 모여있는 장비인데, 사람들이 모바일 보안에 대해서는 느슨하게 관리하고있는 점 또한 원인입니다. 보안 업체는 모바일 피싱 공격이 대세인 것은 사용자들의 안일함을 증명하는 것이라며 기업과 조직들은 이 문제에 대해 더욱 고민해보고 신경을 써야한다고 설명합니다.

 

2. [기사] Microsoft IIS 6.0 취약점을 노리는 이더리움 마이닝
[https://www.darkreading.com/partner-perspectives/f5/electroneum-cryptomining-targets-microsoft-iis-60-vulnerability-/a/d-id/1331752]
 Electroneum 가상화폐를 채굴하기 위해 Microsoft Internet Information Service(IIS) 6.0 서버의 1년 된 취약점을 악용한 새로운 캠페인이 최근 주목됐습니다. 이번 공격은 북한 정부의 해커로 널리 알려져있는 악명 높은 Lazarus 그룹에 의한 표적 공격으로 보고있습니다. 해당 캠페인의 공격은 2017년 3월에 발표 된 원래의 POC 익스플로잇과 동일하지만 공격자는 명령을 실행하기 위해 다른 쉘 코드를 포함합니다. 쉘 코드 자체는 ROP(Return-Oriented Programming) 체인을 포함하는 ASCII 쉘 코드입니다. ASCII 쉘 코드는 숫자 또는 유니 코드 문자로만 구성된 기계어 코드로, 공격자가 입력 제한을 우회 할 수 있습니다. ROP 개발 기법은 추가 외부 코드를 작성하고 메모리로 실행하는 대신 "가젯"이라고 불리는 메모리에 이미 로드 된 명령어에서 쉘 코드를 작성합니다. 이를 통해 공격자는 공간 보호 및 코드 서명과 같은 보안 메커니즘을 우회 할 수 있습니다. 이 셸 코드를 실행하면 악의적인 원격 서버에 대한 역방향 셸이 열립니다. 역방향 셸은 대상 컴퓨터가 공격자의 원격 컴퓨터와 통신하여 공격자가 셸 명령을 보낼 때까지 기다리는 셸 유형입니다. 손상된 서버가 공격자의 원격 시스템에 연결되면 자동으로 두 개의 명령을 수신하고 실행합니다. 해당 공격에 대응하기 위해서는 EOL 소프트웨어를 사용하지 않는 것이 좋으며, 패치가 릴리즈되자마자 패치하는 것이 좋습니다. 또는 WAF를 이용해 공격을 차단하는 방법이 있습니다.

 

3. [기사] FBI 인터넷범죄신고센터, “랜섬웨어 줄고 BEC 여전”
[http://www.boannews.com/media/view.asp?idx=69256&page=2&mkind=1&kind=1]
 FBI 인터넷범죄신고센터(IC3)에 따르면 2016년에 비해 랜섬웨어의 신고 비율이 줄었지만 이를 통해 랜섬웨어 공격이 줄었다고는 보기 힘들다고 설명합니다. 랜섬웨어의 타겟이 개인에서 기업이나 조직으로 바뀌면서 개인이 원활하게 신고한 것과는 다르게 신고하는 일이 드물다고 전했습니다. 대기업의 경우 굳이 신고하여 사법기관의 도움을 받지 않아도 피해를 해결할 수 있는 자원들이 있기 때문에 공격 현황 보고를 생략하는 곳이 많다고 합니다. 결론적으로 신고율이 줄은 것이지 랜섬웨어 공격 비율 자체가 줄은 것은 아닌 것입니다. 또한 채굴 코드의 인기가 랜섬웨어의 사용률을 떨어뜨린 것도 사실이라고 덧붙였습니다. 한편으로 기업 이메일 침해라 불리는 BEC 공격과 이메일 계정 침해인 EAC 공격은 가장 큰 피해를 입힌 공격으로 피해가 막대하며 한 해동안 90% 성장률을 보였습니다. 이에 따라 IC3은 신고를 통해 데이터를 보다 많이 입수하고 분석할 수록 더 많은 가치를 창출할 수 있으며 대중들의 보안 인식을 제고하고, 후에 있을 공격을 더 효과적으로 방어할 수 있다고 덧붙였습니다. 

 

4. [기사] 사용자를 악성사이트로 리다이렉트시키는 구글맵 취약점
[https://www.hackread.com/google-maps-flaw-redirect-malicious-sites/]
 IT 보안 회사인 소포스(Sophos)에 따르면 사이버 범죄자는 "maps.app.goo.gl"서비스에 영향을 미치는 오픈 리다이렉션 취약점을 통해 사용자를 피싱 또는 악성 코드 사이트로 리다이렉션하는데 악용할 수 있다고 밝혀졌습니다. 사이버 범죄자들은 URL 축약서비스를 통해 악성코드나 피싱사이트를 숨겨 링크 클릭 시 피해자가 러시아의 사기 페이지로 리다이렉션 하도록 악용했습니다. 그 후 악의적인 링크들은 구글 맵을 통해 공유되었습니다. 또한 구글 맵의 URL 공유 기능은 공식 제품이 아니기 때문에 악의적인 링크와 리뷰 수집 그리고 가짜 URL을 구성하는 것에 대한 대응 메커니즘이 없었습니다. 악용되는 것을 피하기 위해 리디렉션을 수행하는 코드는 특정 패턴이나 링크 목록과 일치하는 URL로만 사용자에게 보내야합니다. 

 

5 [기사] Google Play에서 악성 코드를 숨기는 사진 편집기 앱
[https://nakedsecurity.sophos.com/2018/05/10/watch-out-photo-editor-apps-hiding-malware-on-google-play/]
 Google Play에서 정상인 척하는 악성 앱이 또 다시 발견됐습니다. 사진 편집기 앱, 플래시 라이트, 게임 등으로 정상적인 기능을 하고 있지만 한편으로는 사용자가 알지 못하게 백그라운드에서 Google 광고를 클릭하도록 함으로써 공격자들이 광고 수익을 창출합니다. 이전에 발견됐던 악성 앱들과 달라진 점은 페이로드를 텍스트 파일로 숨겨둘 때 파일 이름을 atop.txt 또는 atgl.txt로 사용합니다. 또한 탐지를 피하기 위해 JAR 파일을 DES알고리즘을 사용하여 암호화합니다. 이러한 공격을 예방하기 위해서는 가장 안전한 장소인 Google Play에서 Android앱을 다운로드 해야합니다. Google Play는 완벽하지는 않지만 규제가없는 다른 앱 저장소보다 훨씬 안전한 환경입니다. 또한 보안 소프트웨어를 실행하여 안전하게 보호하는 것이 필요합니다.

첨부파일 첨부파일이 없습니다.
태그 IIS 6.0  Electroneum  Google Play  Google maps