Mac 랜섬웨어인 KeRanger는 Linux.Encoder의 변종이었다!KeRanger Is Actually A Rewrite of Linux.Encoder 비트디펜더는 첫번째 Mac OS X의 랜섬웨어인 KeRanger랜섬웨어가 Linux.Encoder 랜섬웨어의 변종이라고 밝혔습니다. KeRanger 랜섬웨어에 감염된 Mac OS XBT 클라이언트를 분석해 본 결과, 4세대 Linux.Encoder와 매우 유사한 것을 확인하였습니다. Linux.Encoder 랜섬웨어는 2016년에 들어서 이미 몇천대의 Linux 서버를 감염시켰습니다. Mac OS X Mountain Lion에는 Gatekeeper라는 보안 툴을 탑재하고 있습니다. 이 툴은 사용자가 출처가 불분명한 인스톨 파일들을 설치하는 것을 제..

국내외 보안동향 2016. 3. 15. 10:14

CVE-2016-3115 : xauth command injection 취약점 발견! xauth command injection 취약점(CVE-2016-3115)은 X11 포워딩을 요청할 수 있는 승인된 사용자가 xauth에 명령어를 주입하도록 허용하는 취약점입니다. xauth 명령어를 인젝션 함으로써, 승인 된 사용자 권한을 이용하여 임의의 파일을 열람할 수 있는 권한이 주어지게 됩니다. 다른 xauth 명령어들은 제한적인 정보 유출, 파일 덮어쓰기 등을 허용하고, 다른 사용자의 xauth를 노출시키기도 합니다. xauth는 사용자의 권한에 따라 실행되기 때문에 체한되지 않은 계정에 대한 추가 접근을 제공하지 않지만, sshd_config, ForceCommand, authorized_keys comm..

국내외 보안동향 2016. 3. 15. 09:58

러시아 블랙마켓에서 "말할 수 있는" CERBER 랜섬웨어 판매CERBER: Crypto-ransomware that Speaks, Sold in Russian Underground 말할 수 있는 랜섬웨어가 등장하였습니다. RANSOM_CERBER은 음성을 지원하는 랜섬웨어의 변종으로, 감염 PC의 컴퓨터에서 감염됬음을 알리는 경고 음성이 나옵니다. 일반적으로, 랜섬웨어는 사용자들에게 이미지로 감염 사실을 알리며, 결제할 수 있는 방식 및 파일을 복호화 시킬 수 있는 방법을 알려줍니다. 이 랜섬웨어는 이전에 발견되었었던 'REVETON'의 변종으로 보여지지만, REVETON 랜섬웨어와 다른점은 말하는 언어가 사용자 지역에 기반하고 있다는 것입니다. 연구원들에 따르면, CERBER은 영어만 할 수 있다고 ..

국내외 보안동향 2016. 3. 11. 10:25

쉽게 루트에 접근할 수 있는 안드로이드 취약점 발견!Android Vulnerabilities Allow For Easy Root Access 최근 보안연구원들은 Snapdragon을 사용하는 안드로이드 기기에 영향을 미치는 취약점을 발견하였습니다. 공격자가 이 취약점을 악용할 경우, 단순히 악성 앱을 실행시키는 것 만으로 공격 기기의 루트 권한을 얻을 수 있습니다. * Snapdragon : Snapdragon이란 퀄컴에서 개발한 스마트폰, 태블릿, 스마트북 등을 위한 모바일 SoC(System on Chip) 입니다. 해당 취약점은 공개되기 전에 구글에 제보되었으며, 현재 수정된 상태입니다. 하지만 패치를 바로 업데이트 하기 전까지 사용자들은 여전히 정보 유출과 같은 위험에 노출될 수 있습니다. CV..

국내외 보안동향 2016. 3. 9. 16:50

윈도우 악성코드 만큼 복잡한 안드로이드 악성코드 Triada!Android Triada trojan 'as complex as any Windows malware' 최근 카스퍼스키 연구원들이 전체 안드로이드 기기의 60% 이상에 영향을 미치는 모바일 악성코드를 발견하였습니다. Triada는 안드로이드 4.4.4 및 그 이전 버전을 사용하는 기기에서 동작하며, 인-앱 결제 및 권한상승으로 이어질 수 있는 악성코드로, 전문적인 사이버 범죄자들이 제작한 것으로 추정됩니다. 이 악성코드는 주로 정식 마켓에서 다운로드 하지 않아 감염되지만, 공식 안드로이드 스토어에 정식 앱으로 위장하여 업로드 될 가능성도 완전히 배제할 수는 없습니다. 이 악성코드의 특징은 모든 앱 프로세스의 부모 프로세스 격인 Zygote를 사..

국내외 보안동향 2016. 3. 4. 16:00

가짜 Visa 카드 이벤트로 위장한 스팸, TeslaCrypt 랜섬웨어로 이어져Spam offering fake Visa benefits, rewards leads to TeslaCrypt ransomware 최근 Visa Total Reward 이메일로 위장한 스팸메일을 통하여 랜섬웨어가 유포되어 주의가 요구됩니다. 이메일에는 Visa 리워드 및 혜택에 대한 정보가 담겨 있는 브로슈어로 위장한 압축파일이 첨부되어 있으며, 수신자가 이 파일을 열면 난독화 된 자바스크립트 파일이 보여지게 됩니다. 이 자바스크립트 파일을 열면, 스크립트는 TeslaCrypt 랜섬웨어의 변종을 다운로드 한 후 실행합니다. 실행 후 몇분 후에 모든 파일이 암호화 되었다는 메세지와 함께 비트코인 지불을 요구합니다. 이 랜섬웨어는..

국내외 보안동향 2016. 3. 4. 09:00

CTB-Locker 랜섬웨어 수천개의 웹서버들 감염시켜 CTB-Locker 패밀리의 랜섬웨어가 '웹사이트'들을 감염시키기 위하여 업데이트 되었습니다. "CTB-Locker for Websites"라 명명된 이 랜섬웨어는 웹 사이트의 데이터를 암호화 하며, 0.4 비트코인을 지불하면 복호화 해줍니다. 이 랜섬웨어는 웹사이트를 실제로 훼손하여 관리자에게 랜섬머니를 지불하도록 만드는 첫번째 랜섬웨어이며, 복호화 키가 실제로 동작한다는 것을 증명하기 위하여 관리자에게 2개의 파일을 무료로 복호화 할 수 있도록 해줍니다. CTB-Locker for Websites 랜섬웨어 동작방식 CTB-Locker 랜섬웨어는 웹사이트를 호스팅 하는 서버의 인덱스페이지(index.php 또는 index.html)를 공격자가 만든..

국내외 보안동향 2016. 3. 3. 09:00

DROWN 취약점 공격 주의! DROWN 취약점이란 “Decrypting RSA with Obsolete and Weakened eNcryption: 취약한 구식 암호화법을 통한 RSA 복호화”에서 따온 이름으로, SSLv2취약점을 악용한 교차 프로토콜 공격입니다. 원리 최신 서버와 클라이언트들은 TLS 프로토콜을 이용하여 암호화 통신을 합니다. 하지만 많은 서버들이 여전히 SSLv2도 지원을 하며, 디폴트로 SSLv2 연결을 허용하지 않는 서버들도 관리자들이 어플리케이션을 최적화 하는 도중 의도치 않게 설정이 변경되는 경우도 있습니다. DROWN 공격은 SSLv2를 지원하는 것만으로도 서버와 클라이언트에 큰 위협이 될 수 있음을 보여줍니다. DROWN 공격은 공격자가 특별히 제작한 악성 패킷을 서버로 ..

국내외 보안동향 2016. 3. 2. 16:23