최근 OpenSSL은 여러개의 보안 취약점을 패치하였습니다. OpenSSL 서비스 거부 취약점(CVE-2022-1473) 해시테이블을 비우는 OPENSSL_LH_flush() 함수에는 제거된 해시 테이블이 차지하는 메모리 재사용을 중단하는 버그가 포함되어 있습니다. 이 기능은 인증서 또는 키를 디코딩할때 사용되며, 수명이 긴 프로세스가 인증서 또는 키를 주기적으로 디코딩 하는 경우, 메모리 사용량이 제한 없이 확장되며 프로세스가 운영체제에 의해 종료되어 서비스 거부가 발생할 수 있습니다. OpenSSL 비밀번호 오류 취약점(CVE-2022-1434) RC4-MD5 ciphersuite의 OpenSSL 3.0 구현은 AAD 데이터를 MAC키로 잘못 사용하여 MAC키를 쉽게 예측할 수 있게 됩니다. 해당 취..

국내외 보안동향 2022. 5. 18. 10:44

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 작년 하반기부터 활동중인 Mallox 랜섬웨어는 2022년 3월 랜섬웨어 패밀리들을 대상으로 진행된 통계에서 기업 타겟 랜섬웨어로 1위를 차지했습니다. 현재까지 국내에 감염된 사례는 보고된 적 없지만 봇넷, 네트워크 유포, 취약한 암호 등 다양한 방식을 통해 유포 중인 것으로 알려진 Mallox 랜섬웨어를 분석하고자 합니다. Mallox 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 시스템 언어가 러시아어, 카자흐어, 벨라루스어, 우크라이나어, 타타르어일 경우 암호화 작업 없이 프로세스를 종료하는 것과 사용자의 APR table에서 IP 주소와 관리 목적의 공유 폴더를 사용하여 랜섬웨어를 전파한다는 특징이 있..

악성코드 분석 리포트 2022. 5. 18. 09:00

New Sysrv Botnet Variant Hijacking Windows and Linux with Crypto Miners 마이크로소프트가 윈도우 및 리눅스 시스템에 코인 마이너를 설치하기 위해 웹 애플리케이션 및 데이터베이스의 보안 취약점 다수를 악용하는 새로운 srv 봇넷 변종에 대해 경고했습니다. 새 버전은 Sysrv-K라 명명되었으며, 이는 웹 서버를 제어하기 위해 일련의 익스플로잇을 무기화합니다. 이 크립토재킹 봇넷은 2020년 12월 처음으로 등장했습니다. 마이크로소프트는 트위터를 통해 아래와 같이 밝혔습니다. "Sysrv-K는 인터넷을 스캔해 다양한 취약점이 존재하는 웹 서버를 찾아 자기 자신을 스스로 설치합니다.” "취약점은 경로 탐색, 원격 파일 유출, 임의 파일 다운로드, 원격 코..

국내외 보안동향 2022. 5. 18. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 어제(16일)부터 현재까지 이력서, 저작권 침해를 위장한 피싱 메일을 통하여 LockBit 랜섬웨어가 다수 유포되고 있어 사용자들의 주의가 필요합니다. 이력서와 저작권 관련 피싱 메일을 통하여 랜섬웨어를 유포하는 방식은 비너스락커 조직이 오래전부터 사용하던 공격수법입니다. 피싱 메일에는 수신자가 사진의 저작권을 위반하였다는 내용과 함께 랜섬웨어가 포함된 압축파일이 포함되어 있습니다. 첨부되어 있는 압축파일은 비밀번호가 설정되어 있으며, 비밀번호는 압축파일명에 적혀 있어 사용자가 쉽게 알 수 있습니다. .zip으로 압축되어 있는 압축파일 내에는 또 하나의 .alz 압축파일이 있으며, 해당 압축파일 내에 한글 파일 아이콘을 위장한 실행파일과 ..

악성코드 분석 리포트 2022. 5. 17. 16:09

Apple emergency update fixes zero-day used to hack Macs, Watches 애플이 공격자가 Mac 및 애플 워치를 노린 공격에 악용할 수 있는 제로데이 취약점을 수정하기 위한 보안 업데이트를 공개했습니다. 제로데이는 아직까지 패치되지 않은 보안 취약점을 말합니다. 경우에 따라, 이러한 유형의 취약점은 패치가 준비 되기 전 공개적으로 사용 가능한 PoC 익스플로잇이 있거나 실제 공격에서 활발히 악용될 수 있습니다. 애플은 지난 월요일 보안 권고를 발표해 이 보안 취약점이 "적극적으로 악용되었을 수 있다"는 제보를 받았다고 밝혔습니다. 이 취약점은 앱이 커널 권한으로 임의의 코드를 실행할 수 있도록 하는 AppleAVD(오디오 및 비디오 디코딩용 커널 확장)의 범위를..

국내외 보안동향 2022. 5. 17. 14:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 05월 08일~05월 14일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 82건이고 그중 악성은 37건으로 45.12%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 16건 대비 37건으로 21건이 증가했습니다. 일일 유입량은 하루 최저 1건(악성 1건)에서 최대 25건(악성 11건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 37건 중 Attach-Malware형이 43.2%로 가장 많았고 뒤이어 Link-Malware형이 ..

악성코드 분석 리포트 2022. 5. 17. 09:30

CISA warns not to install May Windows updates on domain controllers 윈도우의 보안 취약점을 패치하는 2022년 5월 업데이트로 인해 활성 디렉터리(AD) 인증 문제가 발생해 미 CISA가 악용된 취약점 카탈로그에서 해당 윈도우 보안 취약점을 제거했습니다. 이 보안 취약점은 CVE-2022-26925로 등록되었으며 활발히 악용되는 윈도우 LSA 스푸핑 제로데이 취약점으로, 새로운 PetitPotam의 윈도우 NTLM 릴레이 공격 벡터로 확인되었습니다. 인증되지 않은 공격자는 CVE-2022-26925를 악용하여 도메인 컨트롤러가 윈도우 NTLM(NT LAN Manager) 보안 프로토콜을 통해 원격으로 인증하고 전체 윈도우 도메인을 제어할 수 있습니다...

국내외 보안동향 2022. 5. 17. 09:00

Microsoft: Sysrv botnet targets Windows, Linux servers with new exploits MS는 최근 Sysrv 봇넷이 Spring Framework 및 WordPress의 취약점을 이용하여 취약한 윈도우 및 리눅스 서버에 크립토마이닝 악성코드를 유포하고 있다고 밝혔습니다. Redmond는 취약한 WordPress 및 Spring 스캐닝 기능이 포함된 새로운 변종(Sysrv-K라 불림)을 발견했습니다. MS 보안인텔리전스팀은 "우리가 Sysrv-K라고 명명한 새로운 변종은 추가 공격을 지원하고 다양한 취약점을 악용하여 웹 서버를 제어할 수 있습니다"라고 밝혔습니다. "악용중인 취약점에는 WordPress 플러그인의 오래된 취약점과 CVE-2022-22947과 같은..

국내외 보안동향 2022. 5. 16. 15:57