보안연구원들은 Secure Copy Protocol（SCP）에 36년동안 존재해왔던 보안 취약점을 발견했습니다. 해당 취약점을 악용하면 공격자는 SCP 클라이언트 디렉토리의 파일을 덮어쓸 수 있습니다. Secure Copy Protocol（SCP）프로토콜이란? SCP는 Secure Copy Protocao의 약자로, 로컬 호스트와 원격 호스트간 혹은 두 개의 호스트 간에 컴퓨터 파일을 안전하게 전송하는 프로토콜입니다. 취약점 원인 SCP 클라이언트의 부적절한 디렉토리 이름 유효성 검사(CVE-2018-20685)취약한 scp 클라이언트는 SCP 서버가 'D0777 0 \n' 또는 'D0777 0 .\n 디렉토리 이름을 사용하여 원격에서 공격대상 디렉토리 권한을 수정할 수 있도록 허용합니다. SCP 클라이..

국내외 보안동향 2019. 1. 17. 11:30

Djvu Ransomware Spreading New .TRO Variant Through Cracks & Adware Bundles 2018년 12월, Djvu라는 새로운 랜섬웨어가 발견 되었습니다. 이 랜섬웨어는 STOP의 변종일 가능성이 있었으며, 크랙 다운로드 및 애드웨어 번들을 통해 크게 홍보 되었습니다. 이 랜섬웨어는 암호화한 파일의 뒤에 .djvu 확장자를 붙였지만 최근 발견 된 변종은 .tro 확장자를 사용했습니다. 이 랜섬웨어가 처음 발견 되었을 때는 어떻게 배포 되는지 알 수 없었으며, 메인 인스톨러의 샘플도 찾을 수 없었습니다. 피해자들의 의견을 종합해본 결과, 대부분 소프트웨어 크랙을 다운로드한 후 감염 되었다고 밝혔습니다. 수 많은 피해자들이 파일을 ID-Ransomware에 제보..

국내외 보안동향 2019. 1. 17. 10:12

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩 랜섬웨어가 또 다시 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ※ 관련글보기 ▶ 2018 연말정산 시즌 비너스락커 유포 조직 활동중!▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의▶ 이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견! 이번 악성메일은 명함제작 이메일을 위장하고 있습니다. [그림 1] 수신된 메일 첨부 파일 ‘문의사항.alz’ 에는 아래와 같이 3개의 파일이 있습니다. [그림 2] 첨부파일 '문의사항.alz' 압축파일에 첨부되어 있는 doc 파일은 정상 파일이며, jpg 파일은 이미지 파일을 ..

악성코드 분석 리포트 2019. 1. 17. 08:32

Mozilla의 최근 플러그인 로드맵에 따르면, 올해부터 Firefox 버전에서 기본적으로 flash를 비활성화 하겠다고 밝혔습니다. 현재 새로운 Bug 보고서에 따르면, Firefox 69 브라우저부터 Flash 플러그인 차단예정이며, 이는 2019년 9월 3일 공개될 예정이라고 밝혔습니다. 이로서 Flash는 Firefox에서 완전히 제거될 예정입니다. Flash 차단은 Adobe가 2020년 말 Flash에 대한 지원을 종료한다는 것에 대한 조치입니다. Mozilla는 2020년 초까지 Firefox 사용자 버전에서 Flash 지원을 완전히 종료하겠다고 밝혔으며,확장판 역시 2020년 말에 종료하겠다고 밝혔다. 2021년, Mozilla는 더 이상 보안패치가 지원되지 않는 Adobe에 대해 플러그인..

국내외 보안동향 2019. 1. 16. 10:24

Unsecured MongoDB archive exposed 202 Million private resumes 보안 전문가인 Bob Diachenko가 2억 2백만 명 이상의 개인 및 직업 관련 정보를 노출시키는 보호 되지 않은 MongoDB 아카이브를 발견했습니다. 이 엄청난 양의 데이터는 중국의 구직자들 것이었습니다. 여기에는 이름, 키, 체중, 이메일 ID, 결혼 상태, 정치 성향, 기술 및 업무 경험, 전화 번호, 희망 연봉, 운전 면허증과 같은 개인 정보가 포함 되어 있었습니다. 이 MongoDB 아카이브는 지난 3년간의 데이터 854GB를 포함하고 있었습니다. 이는 중국에서 발생한 최대의 데이터 누출 사건입니다. “12월 28일, HackenProof의 Bob Diachenko는 BinaryE..

국내외 보안동향 2019. 1. 16. 08:55

Godaddy Injecting JavaScript That May Break Customer Sites 도메인 등록소인 GoDaddy가 미국 고객의 웹사이트에 전체적인 성능에 영향을 주거나 작동이 불가능한 상태로 만들 수 있는 자바스크립트를 삽입하는 것으로 나타났습니다. 한 웹 관리자가 웹사이트의 어드민 인터페이스를 통해 문제를 해결하던 중, 자바스크립트 파일을 로드할 수 없다는 에러를 발견했습니다. 해당 코드는 이미 웹사이트로 로드 되었지만, 관리자에게는 익숙하지 않은 것이었습니다. 자바스크립트의 주석을 살펴본 결과, 그는 이것이 호스팅 서비스인 GoDaddy로부터 온 것을 발견했습니다. Igor Kromin은 자신의 블로그에 “물론 이 스크립트의 코멘트는 상황을 이야기하고 있었지만, 웹사이트 호스트..

국내외 보안동향 2019. 1. 15. 16:11

안녕하세요? 이스트시큐리티입니다. 2018년 4분기 알약을 통해, 총 33만2179건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이번 통계는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격수를 기준으로 집계되었으며, 통계에 따르면 2018년 4분기에는 알약을 통해 랜섬웨어 공격이 총 33만 2179건 차단되었으며, 이를 일간 기준으로 환산하면 일평균 약 3,691건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다. 이는 일반 사용자를 대상으로 제공하는 공개용 알약의 랜섬웨어 행위기반 차단 기능을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격수는 더욱 많다고 볼 수 있겠습니다. 이번 4분기 역시 갠드크랩(GandCrab) 랜섬웨어가 업데이트를 거듭하..

전문가 기고 2019. 1. 14. 11:00

PyLocky Ransomware Decryption Tool Released — Unlock Files For Free Cisco Talos의 보안 연구원인 Mike Bautista가 PyLocky 랜섬웨어에 감염 된 피해자들이 랜섬 머니를 지불하지 않고도 암호화 된 파일을 무료로 복호화할 수 있는 무료 복호화 툴을 공개했습니다. 이 복호화 툴은 누구나 사용할 수 있지만, 매우 큰 제약이 있습니다. 파일을 성공적으로 복구해내기 위해서는 PyLocky 랜섬웨어와 C&C 서버간의 초기 네트워크 트래픽(PCAP 파일)이 필요한데, 보통 아무도 의도적으로 하지 않는 일이기 때문입니다. 랜섬웨어가 C&C 서버와 통신하고 복호화 키 관련 정보를 제출할 때의 아웃 바운드 연결이 초기화 벡터 (IV – Initial..

국내외 보안동향 2019. 1. 14. 08:34