최근 몇달동안 Talos 그룹(cisco소속)은 온라인으로 DDoS 서비스를 제공하는 중국 홈페이지들이 끊임없이 증가하고 있는 것을 확인하였습니다. 이러한 홈페이지들은 대부분 거의 유사한 구조와 대쉬보드를 갖고 있었으며, 기본적으로 간단한 UI를 제공하고 있었습니다. UI를 통해서 타겟 호스트, 포트, 공격방법 및 공격지속시간 등을 설정할 수 있습니다. 또한 이러한 홈페이지들은 대부분 지난 6개월 이내에 등록되었지만, 확인결과 운영하는 조직은 각자 다른 것으로 확인되었습니다. Talos 그룹은 또한 이러한 홈페이지 관리자들끼리 종종 서로 공격 하는것을 보았습니다. 보안연구원들은 이러한 플랫폼에 대해 연구하고, 무슨 이유로 최근 이러한 서비스를 제공하는 플랫폼이 급속도로 증가하였는지 분석하였습니다. 중국 ..

국내외 보안동향 2017. 8. 24. 09:32

Fileless cryptocurrency miner CoinMiner uses NSA EternalBlue exploit to spread 새로운 파일리스 채굴기인 CoinMiner가 발견 되었습니다. 이는 확산을 위해 NSA의 EternalBlue 익스플로잇과 WMI 툴을 사용하는 것으로 나타났습니다. CoinMiner는 감염 된 시스템에서 명령어를 실행하기 위해 WMI(Windows Management Instrumentation) 툴킷을 이용하는 파일리스 악성코드입니다. 보안전문가는 “이 공격은 지속성 확보를 위해 WMI를 사용한다. 특히, 스크립트 실행을 위해 WMI Standard Event Consumer 스크립팅 프로그램 (scrcons.exe)를 사용한다. 시스템에 침투하기 위해, 악성코..

국내외 보안동향 2017. 8. 23. 16:07

ANDROID SPYWARE LINKED TO CHINESE SDK FORCES GOOGLE TO BOOT 500 APPS 최근 구글플레이에서 500개의 앱들이 삭제되었는데, 그 앱들 안에는 사용자 몰래 스파이웨어를 설치할 수 있는 광고 SDK가 내장되 있었습니다. lgexin이라 명명 된 이 광고 SDK는 중국 회사가 개발했으며, 기기에서 로그를 추출할 수 있는 악성코드를 설치하는데 사용되었을 수 있습니다. 보안 연구원들은 지난 월요일 lgexin SDK를 포함한 500개 이상의 안드로이드 앱들이 1억 회 이상 다운로드 되었다고 밝혔습니다. 하지만 이 모든 앱들이 스파이웨어에 감염 된 것은 아니라고 말했습니다. 5천만 ~ 1억회 이상 다운로드 된 앱은 10대들을 위해 개발 된 게임 앱이며, lgexin..

국내외 보안동향 2017. 8. 23. 15:12

해커들은 DNS 프로토콜을 이용하여 호스트 정보를 전달하며, 서버에서 명령어를 내려받습니다. 이렇게 DNS 프로토콜을 악용하여 통신하는 기술을 DNS Tunneling이라고 부릅니다. DNS 특징 이 세상에는 많은 도메인들이 존재하며 그 변화 속도도 매우 빠르기 때문에, 적은양의 서버로는 수많은 요청에 응답할 수 없습니다. 그렇기 때문에, 지금의 DNS 체계는 분산식으로 구성되어 있으며, 데이터들을 각기 다른 서버에 분산 저장합니다. 분산형 DNS는 다음과 같은 특징을 가지고 있습니다. 1) 클라이언트는 일반적으로 1~2개의 DNS 서버를 할당받으며, 해당 서버들 중에서 모든 DNS 쿼리 결과를 얻을 수 있기 때문에 다른 DNS 서버들과 통신을 할 필요가 없습니다. 이러한 DNS 서버를 DNS resol..

국내외 보안동향 2017. 8. 22. 16:51

Warning: Enigma Hacked; Over $470,000 in Ethereum Stolen So Far 이더리움이 또한번 도난을 당했습니다. 가상화폐 거래소인 Enigma는 익명의 해커그룹의 공격을 받아 47.1만달러 상당의 이더리움을 도난당했습니다. Enigma는 공식 홈페이지를 통하여 '익명의 누군가'가 자신들의 웹페이지, slack 계정 및 이메일 뉴스레터 계정을 해킹하고, 가짜 ETH 주소를 포함한 pre-sale 페이지를 추가하여 돈을 보내도록 유도하였습니다. 또한 해커들은 가짜 주소가 포함된 Enigma's 뉴스레터와 pre-sale 코인을 위한 slack 계정을 사용자들에게 전송하여 피해자들이 자신들의 가상화폐를 해커의 지갑 주소로 보내도록 유도하였습니다. Etherscan이 확인..

국내외 보안동향 2017. 8. 22. 13:59

최근, 오스트리아 보안연구원들이 USB를 이용하여 또 다른 USB 포트의 데이터를 모니터링 할 수 있는 방법을 발견하였습니다. 이 모니터링 툴은 인접해있는 포트의 전기 신호를 탈취할 수 있어, 이러한 방법을 통하여 해커들이 민감 데이터를 탈취할 수 있습니다. 이러한 기술을 "channel-to-channel crosstalk leakage"라고 명명하였습니다. "crosstalk"은 전기학에서 두개의 서로다른 통신 회선의 전기 신호가 전자기적으로 결합하는 현상을 뜻합니다. 이러한 현상은 물리적으로 가까운 거리에 위치하는 경우 더 쉽게 발생하게 됩니다. 그리고 보안연구원들은 USB 디바이스를 통하여 근접해 있는 USB 포트의 데이터를 탈취할 수 있는 방법을 발견하였습니다. "전류는 마치 수도관에 있는 물과..

국내외 보안동향 2017. 8. 21. 16:20

Android Trojan Now Targets Non-Banking Apps that Require Card Payments 최근 사용자들의 중요한 데이터를 탈취하고 파일을 암호화 하기 위한 랜섬웨어 기능을 추가한 모바일 뱅킹 악성코드가 우버와 다른 예약 앱들의 계정정보를 탈취하도록 수정되었습니다. 최근 보안연구원들은 안드로이드 뱅킹 악성코드인 Faketoken의 새로운 변종이 금융정보를 탈취하기 위하여, 감염된 기기의 전화를 녹음하고 택시 예약 앱의 맨 위에 오버레이 화면을 표시하는 것을 확인하였습니다. Faketoken.q라 명명 된 이 악성코드는 대량의 SMS 를 통해 유포되며, 사용자들에게 이미지 파일로 위장한 악성앱을 다운로드 받으라고 요구합니다. 악성앱이 다운로드 및 설치되면, 바로가기 아이..

국내외 보안동향 2017. 8. 21. 11:15

Two Critical Zero-Day Flaws Disclosed in Foxit PDF Reader Foxit PDF 리더를 사용하는 사용자는 주의가 필요합니다. 최근 보안연구원들이 Foxit Reader 소프트웨어에서 세이프 리딩 모드에서만 오픈 되도록 설정하지 않은 경우, 공격자들이 사용자 컴퓨터에서 임의의 코드를 실행시킬 수 있는 심각한 제로데이 취약점 2개를 발견하였습니다. 첫 번째 취약점 (CVE-2017- 10951)은 명령어 인젝션 버그이며, 두 번째 버그 (CVE-2017- 10952)는 파일쓰기 문제에서 발생합니다. 공격자는 특별히 제작된 PDF 파일을 Foxit 사용자에게 보내 오픈하도록 유도하는 방법으로 이 취약점들을 악용할 수 있습니다. 하지만 Foxit은 Foxit Reader..

국내외 보안동향 2017. 8. 18. 15:06