Hackers Find New Method of Installing Backdoored Plugins on WordPress Sites 해커들이 오픈소스 워드프레스 CMS를 사용하는 웹사이트에 백도어가 포함 된 플러그인을 설치하는 새로운 방법을 찾아냈습니다. 이 새로운 기술은 보안이 허술한 wordpress.com 계정 및 Jetpack 플러그인을 사용합니다. 이 기술은 매우 복잡하며, 해커는 사이트를 손상시키기 위해서 여러 단계를 거쳐야 합니다. 따라서 여러가지 방법으로 이 공격을 멈출 수 있습니다. 그럼에도, 이러한 공격은 5월 16일부터 지금까지 발생해 왔으며 Wordpress.org 포럼에는 공격자에게 하이잭 당한 사이트에 대한 게시물 다수를 찾아볼 수 있었습니다. 공격 방식 첫 번째로, 이 공격..

국내외 보안동향 2018. 5. 24. 17:30

안녕하세요? 이스트시큐리티입니다. DNS 하이재킹을 이용한 안드로이드 악성 앱이 등장하였습니다. DNS 하이재킹은 라우터를 공격하여 사용자가 정상 사이트 접속 시 악성 사이트로 리다이렉트 되도록 합니다. 이후 페이스북, 크롬 등 유명한 앱으로 위장한 악성 앱을 사용자가 설치하도록 유도합니다. 사용자의 통화 내용을 녹음하고 설치된 은행 앱, 게임 앱 등과 관련된 정보들을 탈취합니다. 특히, C&C서버의 주소를 감추기 위해서 중국 사이트 파싱을 통해 주소를 수신하고 10개 이상의 원격 명령을 통해서 사용자의 기기를 실시간 제어합니다. 본 분석 보고서에서는 “Roaming Mantis”를 상세 분석하고자 합니다. 악성코드 상세 분석 1) 악성 행위 유지를 위한 장치가. 아이콘 숨김지속적인 악성 행위를 위하여 ..

악성코드 분석 리포트 2018. 5. 24. 17:00

최근 Mirai 봇넷의 새로운 변종인 "Wicked Mirai"가 발견되었습니다. "Wicked Mirai" 이름은 악성코드에 포함되어 있던 텍스트에서 유래되었으며, 기존의 Mirai 악성코드와 비교한 결과 최소 3개 이상의 새로운 취약점을 사용하고 있는 것이 확인되었습니다. Mirai 봇넷은 2016년 처음 발견되었으며, 대규모 DDoS 공격에 사용되었습니다. Mirai 소스코드는 2016년 10월 온라인상에 공개되었으며, 공개된 이후 빠른 속도로 Satori, Masuta, Okiru 등 다양한 변종들이 출현하였습니다. "Wicked Mirai"의 제작자는 다른 변종들을 제작한 제작자와 동일 인물인 것으로 추정되고 있습니다. Mirai 봇넷은 3가지 주요 모듈 즉 공격, 삭제 및 스캔 모듈로 이루어져..

국내외 보안동향 2018. 5. 23. 17:27

2015년 5월 21일, MS는 홈페이지에 새로운 CPU 취약점인 Speculative Store Bypass (SSB) 취약점에 대해 게재하였습니다. 이번에 공개된 Speculative Store Bypass (SSB) 취약점은 이미 경고를 했던 Spectre-NG중 하나(Variant 4)로 MSRC 그룹의 Ken Johnson과 Google Project Zero그룹의 Jann Horn이 함께 발견하였습니다. 취약점 번호는 CVE-2018-3639이며, 현재 이미 PoC 코드가 공개되었습니다. 동시에 또 다른 CPU 취약점인 Rogue System Register Read (RSRE) 역시 공개되었습니다. 이 취약점은 Spectre-NG중 Variant 3a에 포함되며, 취약점 번호는 CVE-201..

국내외 보안동향 2018. 5. 23. 15:37

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 텔레그램은 보안이 강력한 것으로 알려진 메신저 서비스로 알려져 있습니다. 문자나 사진, 문서 등을 암호화해서 전송할 수 있고 대화 내용의 흔적이 남지 않는다는 컨셉으로 사생활을 중시하는 사람들 사이에서 인기를 끌고 있습니다. 그러나 Instalador 랜섬웨어, BlackRouter 랜섬웨어, GlobeImposter 랜섬웨어, CryptOn 랜섬웨어 등 암호화 완료 후 고객과의 서비스 채널(?)로 텔레그램를 이용하고 있고, 앞으로도 좋은 보안성으로 인해 랜섬웨어 제작자들이 사용할 것으로 보입니다. 랜섬웨어는 파일 암호화 완료 후 복호화를 위해 다양한 채널로 고객과 소통을 합니다. 하지만 주로 네트워크 우회와 익명성를 위해 사용되는 Tor 브라..

악성코드 분석 리포트 2018. 5. 23. 15:32

안녕하세요? 이스트시큐리티입니다. 올해 초 외국에서 스팸 메일과 익스플로잇 킷을 통해 ‘Trojan.Ransom.GandCrab’(이하 GandCrab 랜섬웨어)이 처음 등장하였으며, 최근 국내에서도 GandCrab 변종들이 다수 발견되고 있습니다. GandCrab 랜섬웨어는 파일 암호화 기능을 수행하며, 암호화된 파일 뒤에 ‘.CRAB’ 확장자를 추가하는 점이 특징입니다. 따라서 본 보고서에서는 GandCrab 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 중복 실행 방지중복 실행 방지를 위해 뮤텍스 값을 ‘Global\pc_group=(소속 그룹)&ransom_id=(사용자 ID)’으로 생성합니다. 만일 동일한 프로세스가 실행 중인 경우 종료합니다. pc_group과 ransom_id ..

악성코드 분석 리포트 2018. 5. 23. 09:55

TELEGRAB MALWARE STEALS TELEGRAM DESKTOP MESSAGING SESSIONS, STEAM CREDENTIALS 최근 발견 된 악성코드가 암호화 메시징 서비스인 텔레그램의 데스크탑 버전에서 캐시 데이터와 안전한 메시지 세션을 훔치는 것으로 나타났습니다. 연구원들은 TeleGrab이라 명명 된 이 악성코드가 텔레그램 데스크탑 버전 설계의 취약한 기본 세팅 및 데스크탑의 Secret Chat에 대한 지원 부족을 이용한다고 밝혔습니다. 텔레그램의 모바일버전과는 다르게, 데스크탑 기본 버전은 종단간 암호화 메시징 기능인 Secret Chat을 지원하지 않습니다. 이 기능이 존재하지 않기 때문에, 타겟의 컴퓨터에 접근할 수 있는 해커들이 프로그램의 캐시를 통해 텔레그램의 세션을 ‘가로..

국내외 보안동향 2018. 5. 22. 09:00

안녕하세요? 이스트시큐리티입니다. 모바일 그린 라이프, 알약M은 토종 보안앱으로서 기술력과 브랜드 신뢰도를 통해 지난 1년동안 '국내 모바일 보안 앱 1위' 자리를 지키며 경쟁력을 입증해 왔습니다. 오늘은 알약M의 월간 사용자수(MAU)가 450만 명을 넘어서며 확고한 1위 모바일 보안앱으로 자리매김했다는 소식 전해드립니다! 알약M, 월간 사용자 수(MAU) 450만 명 돌파! 독보적인 성장세 유지중 지난해 3월부터 올해 2월까지의 국내 모바일 보안앱 분야 통계에 따르면, 알약M은 지난해 3월 대비 MAU가 약 37% 이상 증가한 451만 명을 넘어섰습니다. 또한 알약M의 같은 기간 순설치수는 약 45%늘어난 980만건으로 집계되었고, 앱의 실제 사용률(활동성)을 가늠할 수 있는 순설치수 대비 MAU 비..

이스트시큐리티 소식 2018. 5. 21. 16:05