사내 남직원(?)을 타겟으로 하는 스피어피싱 주의 5월 14일, 사내 메일로 이력서 한 통이 도착했습니다. 해당 이메일은 불특정 다수에게 전달되었으며, 일자리를 구한다는 내용과 함께 미모의 여성 사진을 첨부해 사내 남직원들의 클릭을 유도하고 있습니다. 메일에 첨부된 파일에는 비밀번호가 설정되어 있으며 아래와 같은 파일들이 포함되어 있습니다. 분석 결과, 해당 파일들은 2015년 5월 8일에 제작된 것으로 게임 클라이언트를 위장하고 있습니다. 또한 유효한 중국의 디지털 서명이 포함되어 있으며 UPX로 압축된 것처럼 치밀하게 섹션을 조작해 놓았습니다. gameclient.exe 파일과 gamesvr.exe 파일을 실행하면 임시 경로(Temp)에 gameclient亶匡11.exe, serverup.exe 등의..

국내외 보안동향 2015. 5. 20. 11:45

스타벅스의 자동 충전 기능을 악용한 공격 발생Hackers exploit Starbucks auto-reload feature to steal from customers 해커들이 스타벅스의 기프트카드 및 모바일 지불 계정의 기프트카드 자동충전 기능을 악용하여 부정 충전을 하고 있었던 것으로 밝혀졌습니다. 스타벅스 앱의 자동 충전 기능은 스타벅스 포인트가 일정 금액 이하로 내려갔을 경우 사전에 등록해 둔 신용카드를 통해 자동으로 충전되는 기능입니다. 해킹할 신용카드의 번호를 알고 있지 않아도 공격할 수 있으며 단 몇 분 만에 수백 달러를 훔쳐낼 수 있습니다. 이는 단순히 스타벅스 카드의 잔액을 모두 사용해버리는 것으로 등록된 신용카드나 은행 계좌에서 돈을 자동으로 충전할 수 있기 때문입니다. 스타벅스의 한..

국내외 보안동향 2015. 5. 15. 14:05

VENOM, 가상 플로피 드라이브 코드의 보안 취약점 주의VENOM – VIRTUALIZED ENVIRONMENT NEGLECTED OPERATIONS MANIPULATION VENOM, CVE-2015-3456은 많은 가상 컴퓨터 플랫폼에서 이용되는 가상 플로피 드라이브 코드의 보안 취약점입니다. 이 취약점은 공격자가 감염된 가상 머신(VM)의 게스트 범위에서 벗어나 호스트 시스템에서 코드 을 실행할 수 있습니다. 또한 해당 호스트에서 동작하는 다른 모든 VM에 공격자들이 호스트의 로컬 네트워크 및 가까운 시스템들에도 접근할 수 있도록 허용합니다. VENOM 취약점이 악용될 경우, 기업의 지적 재산(IP: Intellectual Property) 및 개인 인식 정보(PII: Personally Iden..

국내외 보안동향 2015. 5. 15. 10:09

GPU기반의 루트킷(Rootkit) 악성코드와 키로거(Keylogger)의 POC 발표 한 개발팀이 컴퓨터의 CPU가 아닌 GPU(Graphic Processing Unit)에서 실행가능한 두 개의 POC코드를 발표했습니다. 공개된 두 개의 POC코드는 아래와 같습니다. Jellyfish Rootkit Demon Keylogger 지금까지는 비트코인 등의 크립토화폐를 채굴하기 위해 GPU를 악용해 CPU에서 동작하는 멀웨어들이 발견되어 왔습니다. 그러나, 이 두 개의 멀웨어 POC코드는 OS 커널의 프로세스를 악용하거나 변조하지 않고도 동작할 수 있으므로 시스템이 감염되었다는 의심에서 벗어날 수 있었습니다. JELLYFISH ROOTKIT Jellyfish는 Jynx(CPU)의 LD_PRELOAD 기술과..

국내외 보안동향 2015. 5. 11. 15:22

워드프레스 DOM XSS 취약점 발견 워드프레스에서 DOM(Document Object Model) XSS 취약점이 발견되었습니다. 해당 취약점은 Genericons 아이콘 폰트 패키지 내의 'example.html' 파일에 존재합니다. 이 파일은 워드프레스의 기본 테마인 Twentyfifteen와 백만 이상의 실사용자를 보유하고 있는 유명 JetPack 플러그인에도 내장되어 있습니다. 확인 결과, 해당 example.html 파일은 DOM XSS 취약점이 존재하는 구 버전의 jQuery를 사용하는 것으로 밝혀졌습니다. DOM(Document Object Model) 기반의 XSS 공격은 브라우저 내에서 악성 자바 스크립트 코드를 실행시키기 위해 사용자가 악성 링크를 클릭하도록 유도합니다. 공격자는 이러..

국내외 보안동향 2015. 5. 8. 11:10

마스터 부트 레코드를 파괴하는 새로운 멀웨어 ‘롬버틱 Rombertik’New 'Rombertik' malware destroys master boot record if analysis function detected 시스코의 연구원들이 다른 멀웨어들에 보다 뛰어난 탐지 회피 기술을 사용하는 새로운 멀웨어를 발견했습니다. 새롭게 발견된 멀웨어 롬버틱은 분석 툴이 탐지되었을 때 자신을 파괴하는 대신 장비의 마스터 부트 레코드(MBR: Master Boot Record)를 파괴합니다. 롬버틱은 스팸과 피싱 메시지를 통해 확산되고 있습니다. 한 샘플을 통해 확인한 결과, 공격자들은 사용자가 이메일에 첨부된 문서를 다운로드받도록 유도합니다. 파일이 다운로드되고 압축이 해제되면 문서 썸네일과 같은 파일이 생성됩니..

국내외 보안동향 2015. 5. 7. 11:48

MySQL의 SSL/TLS 연결을 다운그레이드시키는 취약점 발견Vulnerability enables downgrading of MySQL SSL/TLS connections Duo Security의 연구원이 MySQL 클라이언트 라이브러리 및 MariaDB, Percona에서 MySQL SSL/TLS 연결을 다운그레이드시킬 수 있는 취약점을 발견했습니다. 이 취약점은 ‘BACKRONYM’ (Bad Authentication Causes Kritical Risk Over Networks Yikes MySQL)이라고 명명되었습니다. Duo Security의 Steve Manzuik 보안 연구 디렉터는 SC Magazine을 통해 해당 취약점에 대해 아래와 같이 설명했습니다. “BACKRONYM을 악용하기 ..

국내외 보안동향 2015. 5. 6. 11:29

워드프레스, 2개의 XSS 취약점 잇달아 발견 4월 21일, 워드프레스가 최신 버전인 4.1.2버전을 공개했습니다. 이번 버전에서는 매우 심각한 stored-xss-vulnerability취약점이 수정되었습니다. 그리고 얼마 뒤, 해당 취약점에 대한 세부 내용이 공개되었습니다. 첫 번째 XSS 취약점 상세분석 이 취약점은 보고된지 무려 14개월이 지나서야 패치가 진행되었습니다. 해당 취약점은 MySQL의 특성을 이용한 XSS 취약점입니다. MySQL의 utf8 문자열 집합 중, 한 개의 문자열은 1~3 바이트로 이루어집니다. 만일 한 개의 문자열이 3바이트보다 크다면, MySQL이 해당 문자열을 utf8mb4의 형식으로 저장합니다. 따라서 4바이트의 문자열을 utf8 문자열에 삽입하는 경우, MySQL의..

국내외 보안동향 2015. 4. 29. 16:19