Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향[2020년 9월 18일] 주요 보안 이슈
작성일 2020-09-18 조회 88

1. [기사] 파괴력 높은 백 엔드 접근 기술 ‘h2c 스머글링’, 새롭게 발견돼
[https://www.boannews.com/media/view.asp?idx=91255]
보안 업체 비숍 폭스(Bishop Fox)의 제이크 밀러(Jake Miller)는 HTTP 요청을 ‘밀수’할 수 있게 해주는 해킹 공격 기법을 발견하여 ‘h2c 스머글링(h2c smuggling)’이라는 이름을 붙였다. 공격자는 h2c를 통해 HTTP Upgrade 헤더를 조작함으로서 백 엔드 서버에 접근할 수 있다. 즉, 어떤 사용자나 어떤 웹 사이트에도 도달할 수 있게 해주는 잠재력을 갖고 있다. 하지만, h2c 공격을 실행하려면 설정 오류와 h2c 업그레이드를 지원하는 백 엔드가 있어야 하는 전제 조건이 필요하기에 공격을 실행시키는 게 쉬운 일은 아니라고 설명했다.

 

2. [기사] 이 보안 인식 교육 이메일은 실제로 피싱 사기였다.
[https://www.bleepingcomputer.com/news/security/this-security-awareness-training-email-is-actually-a-phishing-scam/]
피싱 공격이 증가함에 따라 회사는 직원들에게 피싱 교육 및 시뮬레이션 테스트를 제공한다. 그 중 피싱 교육 및 시뮬레이션 테스트를 제공하는 KnowBe4에서 보낸 것처럼 사칭하여 실제 피싱 페이지로 이동하는 새로운 피싱 캠페인을 발견하였다. 이메일 내용은 '교육 알림 : 기한'이라는 제목을 통해 보안 인식 교육을 이수하라고 촉구한다. 이메일에 포함된 링크를 클릭하면 Outlook 자격 증명 및 기타 개인정보를 요구한다. 이러한 정보들을 수집한 공격자는 추가 표적 공격 혹은 피해자의 네트워크에 접근할 수 있게 된다. 피싱 사기는 점점 복잡해지고 있어 URL에 세심한 주의가 필요하다.

 

3. [기사] 독일 병원 랜섬웨어 공격 후 첫 사망 보고
[https://www.zdnet.com/article/first-death-reported-following-a-ransomware-attack-on-a-german-hospital/]
9월 10일, Duesseldorf 대학병원은 30개 이상의 내부 서버를 감염시킨 랜섬웨어 공격을 처리하는 중이어서, 긴급치료가 필요한 환자를 받지 못해 결국 사망했다. 이 사건은 랜섬웨어 공격으로 인해 간접적으로 사망한 것으로 보고된 최초 사건이다. 환자의 사망은 현재 독일 당국에 의해 조사되고 있으며 해당 병원은 암호 해독 키를 받아 시스템을 복구하고 있다. 병원 관계자는 랜섬웨어 감염이 널리 사용되는 상용 소프트웨어의 취약점 때문이라 비난했으며 하루 전, 독일 사이버보안기관 BSI는 뜬금없이 독일 기업들에게 랜섬웨어의 입점지점으로 알려진 CVE-2019-19871 취약점에 대해 Citrix 네트워크 게이트웨이를 업데이트해 달라고 경고한 바 있다.

 

4. [기사] 구글, '공식적으로' 플레이 스토어에서 스토커웨어 앱 금지
[https://www.zdnet.com/article/google-formally-bans-stalkerware-apps-from-the-play-store/]

스토커웨어(Stalkerware)는 사용자의 움직임을 추적하고, 통화 및 메시지를 엿듣고, 다른 앱의 활동을 기록하는 앱을 설명하는 용어이다. 모든 스토커웨어 앱의 주요 특징은 스마트폰이나 노트북에서 이러한 앱들이 운영체제 백그라운드에서 작동하면서 장치 소유자의 모르게 설치 및 실행될 수 있다는 것이다. 다음 달 1일부터 시행될 예정인 이 새로운 규정은 스토커웨어 앱의 설치 및 작동하는 기능을 무효화하여 금지하는 것이다. 사용자 추적 앱이 이러한 필수 UI 변경 사항을 추가하지 않으면 Play 스토어의 승인을 받지 못한다.

 

5. [기사] Maze 랜섬웨어는 이제 탐지를 회피하기 위해 가상 머신을 통해 암호화한다.
[https://www.bleepingcomputer.com/news/security/maze-ransomware-now-encrypts-via-virtual-machines-to-evade-detection/]
Maze 랜섬웨어 운영자는 이전에 Ragnar Locker 공격자가 사용했던 가상 머신 내에서 컴퓨터를 암호화하는 전술을 채택했다. 가상 머신이 시작되면 이전의 Ragnar Locker 공격과 마찬가지로 startup_vrun.bat batch file이라는 배치 파일이 실행된다. 그런 다음 머신을 종료 후 다시 시작되면 vrun.exe를 실행하여 호스트의 파일을 암호화한다. 가상 머신이 호스트의 마운트된 드라이브에서 암호화를 수행하기 때문에 보안 소프트웨어가 동작을 감지하고 중지 할 수 없다. 이 공격은 랜섬웨어 운영이 어떻게 경쟁사들의 전술을 모니터링하고 필요에 따라 채택하는 방법을 보여준다.

첨부파일 첨부파일이 없습니다.
태그 h2c 스머글링  보안 인식 교육 피싱 이메일  랜섬웨어  스토커웨어  Maze 랜섬웨어