マルウェア「Mirai」亜種の活動減退、原因不明も要警戒—IIJ 최근 일본의 인터넷 이니시어티브(IIJ)는 IoT악성코드 ‘Mirai’ 변종의 일본에서 활동이 대폭 감소했다고 밝혔습니다. 감소한 원인에 대해서는 아직 확인이 되지 않았습니다. Mirai 변종 유니크 송신원 주소 수의 추이 (일별/1IP당) (출처: IIJ ) 2016년 10월에 소스코드가 공개된 Mirai에는 ‘Satori’나 ‘Akuma’ 등 다양한 변종이 존재하고 있습니다. 이 변종들은 2017년 11월부터 일본 국내외에서 대규모 감염활동이 확인되었습니다. 하지만 IIJ에 따르면, 1월의 Mirai변종에 의한 것으로 보이는 다른 IoT기기에 대한 감염을 목적으로 한 일본발 스캔이 2017년 10월 이전의 수준으로 감소했다고 밝혔습니다. 한편..

국내외 보안동향 2018. 2. 14. 17:38

수백만명의 안드로이드 사용자 휴대폰이 가상화폐 채굴 공격에 노출되었습니다. 이번 공격은 모바일 사용자들을 노린 대규모의 채굴공격입니다. 이 공격방식은 멀버타이징 방식을 이용하여 수백만명의 사용자를 악성 사이트로 리다이렉션 시키며, 작년 11월부터 약 80만명의 사용자가 방문한 것으로 확인되었습니다. 공격자들은 대다수의 모바일 사용자가 웹필터링 혹은 보안앱을 사용하지 않아 보안 경고를 받지 않는 점을 노렸습니다. 보안업체는 ’대부분의 플랫폼이 채굴 공격에 취약하다. 모바일 기기가 데스크탑에 비해 보안에 취약하다는 것 외에도, 모바일 공격이 더욱 용이한 여러가지 이유가 있다’고 밝혔습니다. 일부 리다이렉션 공격은 일반적인 검색 과정에서 발생하지만, 감염된 앱도 리디렉션 공격을 수행할 수 있습니다. 즉 앱에 ..

국내외 보안동향 2018. 2. 13. 15:08

최근 Fastlane Tools를 개발한 Felix Krause는, 어떠한 Mac app이든지, 어떠한 샌드박스가 있든 없든, 모두 이 기능을 이용하여 사용자의 화면정보를 탈취할 수 있다고 밝혔습니다. 해당 취약점은 CGWindowListCreateImage 를 악용하여 사용자의 허가 없이 화면을 캡쳐할 수 있습니다. 해당 취약점을 악용하면 다음과 같은 악성행위를 할 수 있습니다. - 비밀번호 관리프로그램에서 비밀번호와 비밀키 탈취- 민감한 코드 및 API 비밀키 등 데이터 읽어오기- 사용자가 Mac에서 열어보는 이메일과 각종 정보들 엿보기- 사용자가 사용하는 Web 서버 확인- 사용자의 각종 개인정보 Krause는 해당 취약점을 작년 11월에 애플측에 제보하였지만, 현재까지 해결되지 않아 자신의 블로그..

국내외 보안동향 2018. 2. 12. 17:42

최근 PHP GD 라이브러리에서 서비스거부 취약점이 발견되었습니다. 해당 취약점으로 php의 서버 CPU 사용률을 순간적으로 100%로 만들어 버릴 수 있습니다. 취약점 번호 CVE-2018-5711 취약점 원인 GD 라이브러리의 gf_gif-in.c에는 정수서명오류가 존재하여, 특별히 조작된 GIF 파일을 이용한다면 php 함수의 imagecreatefromgif 또는 imagecreatefromstring가 불러들여질 때 무한루프를 발생시킬 수 있습니다. 취약점은 ext/gd/libgd/gd_gif_in.c 코드에 존재합니다. do { sd->firstcode = sd->oldcode = GetCode(fd, &sd->scd, sd->code_size, FALSE, ZeroDataBlockP); } ..

국내외 보안동향 2018. 2. 9. 11:18

SCADA 시스템을 기반으로 하는 채굴 악성코드 공격이 발견되었습니다. Radiflow 연구원들은 모네로 화폐 채굴을 위해 수도 사업소의 OT(Operational Technology, 운영기술) 네트워크를 공격하는 악성코드에 대해 분석했습니다. 해당 악성코드는 네트워크 장비의 숨김 모드 상태에서 실행되도록 제작되었고 공격 대상 장비의 보안 툴 기능도 무력화시켜 채굴 작업을 가능한 오래 지속시킵니다. 이제까지는 OT 네트워크의 위협으로 랜섬웨어 공격이 주를 이루었지만, 앞으로는 이 새로운 채굴 악성코드가 OT 네트워크에 더욱 위협이 될 것으로 우려됩니다. 분석을 통해 발견된 감염 증상으로는 비정상적인 HTTP 통신, OT 네트워크의 토폴로지 변경, 악성 IP 연결 시도 등이 있습니다. 출처 :https:..

국내외 보안동향 2018. 2. 9. 11:00

Unpatched DoS Flaw Could Help Anyone Take Down WordPress Websites 보안연구원은 최근 워드프레스에서 취약점을 발견하였습니다. 해당 취약점을 이용하면, 네트워크 레벨의 DDoS 공격에 필요한 큰 대역폭 없이도, 단일 컴퓨터만으로 워드프레스 웹사이트를 다운시킬 수 있습니다. 해당 취약점 번호는 CVE-2018-6389로, 대부분의 워드프레스가 이 취약점에 영향을 받습니다. 이번에 발견된 취약점은 Wordpress CMS에 내장되어 있는 “load-scripts.php”가 사용자 정의 request를 처리하는 방식에 존재합니다. "load-scripts.php"는 관리자가 여러 JavaScript 파일을 단일 request로 결합하여 홈페이지의 성능이 개선되고..

국내외 보안동향 2018. 2. 8. 15:03

최근 52.6만대로 이루어진 모네로 채굴 봇넷이 발견되었습니다. 이는 지금까지 발견된 봇넷 규모중 가장 큰 규모로, 이전에 다양한 보고서에서 공개된 것들은 채굴 활동의 일부분이었을 것으로 추정됩니다. Proofpoint과 360 및 기타 업체들은 이 봇넷에 대해 보고서를 발표하였습니다. 지금까지 Smominru의 수익은 약 360만 달러로 추정됩니다. 지금까지 공개된 보고서를 보면, Smominru 봇넷에 감염된 PC들은 이미 52만대가 넘었으며, 공격자들은 이 봇넷들을 통하여 8900개의 모네로를 채굴하였다고 밝혔습니다. Smominru 봇넷 조종자는 다양한 기술을 통하여 호스트들을 감염시키며, 주로 "Eternal Blue(CVE-2017-0144)"를 이용하며, 일부는 EsteemAudit(CVE-..

국내외 보안동향 2018. 2. 6. 09:00

GandCrab, a new ransomware-as-a-service emerges from Russian crime underground LMNTRIX 보안 연구원들은 GandCrab이라 불리는 새로운 랜섬웨어(RaaS)를 발견했습니다. 공격자들은 RIG 및 GrandSoft EK를 이용해 해당 랜섬웨어를 유포하고 있는 것으로 확인되었습니다. 해당 랜섬웨어 판매 정책은 다음과 같습니다. - 구매자는 랜섬 수익을 6대 4로 나누는 ‘파트너 프로그램’ 조항에 동의해야 합니다.- 대형 구매자는 수익의 70%까지 요구할 수 있습니다.- 서비스형 랜섬웨어로서 구매자에게 기술지원과 업데이트를 제공합니다.- 독립국가연합(러시아, 몰도바, 벨라루스, 아르메니아, 아제르바이잔, 우즈베키스탄, 카자흐스탄, 키르기스스탄..

국내외 보안동향 2018. 2. 5. 15:26