HiddenLotus는 "dropper"로 Lê Thu Hà (HAEDC).pdf 파일명을 가진 pdf 파일로 위장하고 있습니다. 이 방법은 매우 고전적인 방법중 하나입니다. macOS 사용자가 이 파일을 다운받으면 macOS의 백신기능이 동작하게 됩니다. 애플 회사에서 Mac OS X 10.5에서부터 도입한 이 기능은, 특수한 메타데이터로 사용자들이 인터넷에서 업/다운로드 하는 파일들에 대해 표기를 해 놓고, 해당 파일이 격리 대상이 되는지 파악합니다. 또한 사용자가 해당 파일을 실행하려고 할 때, 만약 해당 파일이 실행가능한 파일이라면 macOS 시스템은 사용자에게 경고 팝업을 띄워줍니다. 이 기능은 사용자에게 사용자 자신이 실행하려고 하는 파일이 보통 파일이 아닌 실행가능한 파일이라는 것을 알려주기..

안전한 PC&모바일 세상/국내외 보안동향 2017. 12. 27. 15:46

Embedthis회사의 web서버 GoAhead에서 원격코드실행 취약점이 발견되었습니다. 해당 취약점의 CVE는 CVE-2017-17562입니다. glibc 다이나믹링크와 결합하여 사용할 때, 특수한 매개변수명을 사용할 수 있는데 (예를들어 LD_PRELOAD) 이를 이용하여 원격코드실행이 가능합니다. 공격자는 요청한 본문 중 그것이 공유한 유효한 Payload를 POST 하고, /proc/self/fd/0를 이용하여 그것을 사용합니다. GoAhead는 무엇인가? GoAhead는 오픈소스로서 주로 멀티플랫폼에서 동작하는 임베디드 Web Server 입니다. eCos, LINUXm LyuxOS, QNX, VxWorks, pSOS등 다양한 플랫폼을 지원합니다. GoAhead에서 발견된 원격코드실행 취약점(C..

안전한 PC&모바일 세상/국내외 보안동향 2017. 12. 27. 10:56

[12월 셋째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'와 '다수 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 1. 특이 문자 No.문자 내용 1 [Web발신] 꽃처럼예쁘게잘살겠습니다일시12월23일오후2시장소:펠리체아트홀청첩장2 [Web발신] 연☆말☆정☆산 미리보기 앱 오픈!! 내가 놓치고 있는 공제항목!! 꼭 챙겨서 13월의 월급 챙기자!! 2. 다수 문자 No.문자 내용 1 [Web발신] 2017.12.30 오전11시30분 오시는길 2 저 결혼해요.^^ 예약일시:2018.1.6

안전한 PC&모바일 세상/스미싱 알림 2017. 12. 22. 16:12

최근 중국의 보안기업은 윈도우 정품 인증 툴로 유명한 KMSpico의 홈페이지에서 내려받는 툴에 가상화폐 채굴 악성코드가 포함되어 있다고 밝혔습니다. 일반적으로 가상화폐 채굴 악성코드에 감염되면 컴퓨터를 사용하지 않는 상황 하에서도 CPU, GPU의 사용률이 100%에 달하며, 팬이 돌아가는 속도가 빨라지면 열이 발생하는 등의 현상이 나타납니다. KMSpico는 윈도우 정품 인증 툴로, 크랙버전을 사용하는 많은 사용자들이 해당 툴을 이용하여 정품인증을 받습니다. 해당 파일을 분석해본 결과, 사용자가 KMSpico를 실행하면 컴퓨터 사용환경에 따라 32비트에서는 wuapp.exe / svchost.exe에, 64비트에서는 explorer.exe / notepad.exe에 모네로 채굴 악성코드 인젝션을 시도..

안전한 PC&모바일 세상/국내외 보안동향 2017. 12. 22. 14:52

최근 카스퍼스키가 모바일 백신과 성인 앱을 위장하고 있는 새로운 안드로이드 악성코드를 발견하였습니다. 해당 악성앱의 주요 악성행위는 가상화폐 채굴 및 DDoS 공격입니다. 이번에 발견된 악성앱은 Loapi라 명명되었으며, 짧은시간 내 수많은 디바이스들을 감염시켰으며, 해당 악성앱에 감염된 휴대폰들은 2일 내 베터리가 부풀어오르는 증상이 발생할 수 있습니다. Loapi는 모듈과 구조를 띄고 있으며, 이를 통해 가상화폐 채줄, DDoS 공격, 웹 방문 트래픽 리다이렉션 등 다양한 악성행위를 할 수 있습니다. 이는 2015년에 발견된 Podec과 유사하다고 밝혔습니다. 당시 악성코드 제작자들은 Podec 악성코드를 이용하여 AoC와 CAPTCHA를 우회하여 사용자들 몰래 유료정보구독을 신청하여 금전적인 피해를..

안전한 PC&모바일 세상/국내외 보안동향 2017. 12. 22. 10:05

北朝鮮の攻撃グループ「HIDDEN COBRA」、国内で活動した形跡 북한의 해킹그룹인 ‘HIDDEN COBRA’에 의한 APT공격이 일본을 대상으로 전개되고 있을 가능성도 있다는 사실이 밝혀졌습니다. ※ HIDDEN COBRA 조직이란? 포티넷 자료에 따르면, 포티넷에서 ‘FALLCHILL’을 관측한 것이 유일하게 일본이었다고 밝혔습니다. 포티넷 재팬이 이 그룹이 이용하는 악성코드에 의한 통신을 관측한 것입니다. 이번에 관측된 것은, 이 그룹이 적어도 2016년경부터 사용하고 있는 것으로 보이는 원격접속툴 ‘FALLCHILL’ 통신입니다. 해당 악성코드는 미국토안전보장성(DHS)과 연방수사국(FBI)이 공동조사를 통하여 백도어인 ‘Volgmer’와 함께 올해 11월 중순에 상세정보가 공개된 악성코드 이기도 합..

안전한 PC&모바일 세상/국내외 보안동향 2017. 12. 21. 17:33

Windows 10주년 업데이트(1607버전)에서, MS는 OS중 Content Delivery Manager 라는 한개의 기능을 추가하였으며, 이 기능은 몰래 "추천 응용프로그램"을 설치할 수 있는데 이때 사용자에게 어떠한 공지도 하지 않습니다. 몇달 전, Reddit 사용자가 Windows10 중 자신도 모르게 설치되어 있는 비밀번호 관리 프로그램을 발견하였습니다. 그 이후 Google Project Zero의 화이트 해커인 Tavis Ormandy 가 확인해본 결과 Windows10 시스템에 설치되어 있는 Keeper Password Manager 프로그램을 발견하였습니다. 이 프로그램은 MS와 서드파티 업체가 협력하여 설치하는 번들 프로그램인 것으로 추측됩니다. 몇번의 테스트 과정에서, Orman..

안전한 PC&모바일 세상/국내외 보안동향 2017. 12. 19. 15:51

[12월 둘째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'와 '다수 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 1. 특이 문자 No.문자 내용 1 [Web발신] 예식일시:2017.12.16 오전10시 장소 2 저 결혼해요.^^ 예약일시:2017.12.23 2. 다수 문자 No.문자 내용 1 확인해주시길바랍니다 2 [Web발신] [CJ대한통운]운송장번호[845*26]주소지 미확인..반송처리 주소확인 출처 : 알약 안드로이드기간 : 2017년 12월 11일 ~ 12월 15일

안전한 PC&모바일 세상/스미싱 알림 2017. 12. 15. 15:28