TheShadowBrokers, 대량의 Windows 제로데이 취약점 공개
4월 14일, TheShadowBrokers가 steemit.com 블로그에 Equation Group 해커그룹 툴을 공개하였습니다. 이는 4월 8일에 처음으로 공개한 EQGRP-Auction-Files의 뒤를 이은 두번째 공개입니다.
사건 요약
2016년 8월 "Shadow Brokers" 해킹그룹이 Equation Group의 기밀문서들을 탈취하고, 그 중 일부를 인터넷에 공개하였습니다. Equation Group은 NSA에 속해있는 해커조직으로, 높은 기술력을 갖고 있습니다.
2017년 4월 8일, "Shadow Brokers"는 일부 파일들의 압축 비밀번호를 공개했습니다. 또한 일부 사람들이 압축을 해제하여 Github에 공개하였습니다.
2017년 4월 14일 저녁, "Shadow Brokers"는 두번째로 파일들을 공개하였으며, 이번에 공개한 파일들에는 23개의 해킹툴들도 포함되어 있었습니다. (▶참고)
분석
이번에 공개된 해킹툴 중에는 odd.tar.xz.gpg, swift.tar.xz.gpg and windows.tar.xz.gpg 등이 포함되어 있었습니다.
Windows : 윈도우 시스템에 관련된 해킹 툴로, 주로 Windows XP와 Server 2003을 타겟으로 하고 있습니다. 그 중 ETERNALBLUE는 RCE 제로데이 취약점으로, 최신버전과 업데이트 된 Windows 2008 R2 SERVER VIA SMB 및 NBT에 영향을 줍니다.
OddJob: 윈도우에 포함되어 있는 프로그램들에 관한 자료들로, 지정된 설정파일 및 유효한 페이로드들이 포함되어 있습니다. Windows Server 2003 Enterprise(Windows XP Professional기반) 공격에 사용할 수 있습니다.
SWIFT : SWIFT시스템에 관한 자료로서, Oracle DB 검색을 위한 SQL 스크립트가 포함되어 있습니다. 이밖에도 Excel 문서가 포함되어 있는데, 이는 Equation Group이 이미 성공적으로 공격을 성공한 은행 리스트들을 포함하고 있습니다.
조치방법
1) 윈도우 버전 업데이트 및 패치 적용 (▶참고 )
2) 패치를 할 수 없는 윈도우 버전의 경우, 임시로 135,137,445 및 3389포트 임시로 닫아 놓기
참고 :
https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation
https://github.com/misterch0c/
https://github.com/x0rz/EQGRP_Lost_in_Translation/
http://thehackernews.com/2017/04/swift-banking-hacking-tool.html
https://nosec.org/my/threats/1495
https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/
크롬, 파이어폭스, 오페라에서 완벽한 탐지가 불가능한 피싱 공격 발견돼 (0) | 2017.04.18 |
---|---|
Jackson 프레임워크에서 Java 역직렬화 코드실행 취약점 발견 (0) | 2017.04.17 |
중국 TVT Digital Group을 타겟으로 하는 Amnesia 악성코드, 전 세계 22.7만대의 IoT 기기에 영향 (0) | 2017.04.14 |
마이크로소프트, 활발히 악용되던 심각한 취약점들을 위한 패치 공개 (0) | 2017.04.13 |
패치되지 않은 마이크로소프트 워드 취약점, Dridex 뱅킹 악성코드 배포에 악용돼 (0) | 2017.04.12 |
댓글 영역