Over 65,000 Home Routers Are Proxying Bad Traffic for Botnets, APTs 봇넷 운영자들과 APT 그룹들이 모든 현대의 라우터들에 포함 된 UPnP 프로토콜을 악용해 악성 트래픽을 프록싱하고 자신들의 실제 위치를 숨기는 것으로 나타났습니다. Akamai가 지난 월요일 발행한 보고서에서는 악성 공격자들이 은밀한, 또는 불법 행위를 위해 최소 65,000개의 라우터를 악용하여 프록시 네트워크를 생성했다고 밝혔습니다. 공격자들, UPnP 프로토콜 악용 Akamai에 따르면, 공격자들은 로컬 Wi-Fi가 활성화 된 기기와 쉽게 상호작용하고 인터넷에 포트와 서비스를 포워딩 할 수 있도록 하는 기능인 UPnP 프로토콜을 악용하고 있다고 밝혔습니다. UPnP 프로토콜은 ..

국내외 보안동향 2018. 4. 20. 14:20

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 2018년 04월 16일 경, 특정 국가지원을 받는 것으로 예상되는 공격자(State-sponsored Actor)가 MS Office 문서 파일 취약점 (CVE-2017-11882)을 활용해 한국인 대상의 스피어 피싱(Spear Phishing) 공격시도 정황을 포착했습니다. ESRC에서는 이 공격자가 '▣오퍼레이션 김수키(Kimsuky)' 캠페인과 연계된 위협 조직으로 판단하고 있습니다. 또한, 유사 변종 악성코드에서는 "전혁진", "김송철" 이라는 한글식 이름이 발견된 바 있습니다. 해당 위협그룹은 대략 2010년부터 2014년 전후로 왕성한 활동을 했습니다. 공격자는 주로 해외 등지에서 외교 및 안보기구 소속으로 활동하는 현지의 ..

악성코드 분석 리포트 2018. 4. 19. 23:16

이번주 화요일, 구글은 Chrome 66을 공개하였습니다. Chrome 66 에서는 62개의 결함을 패치 하였을 뿐만 아니라, 2016년 6월 1일 이전에 발급한 웹 사이트의 인증서를 더 이상 신뢰하지 않기로 하였습니다. 구글이 시만텍 인증서를 신뢰하지 않겠다는 것은 이미 예견된 일입니다. (▶참고 : 구글 크롬, 더 이상 시만텍 SSL 인증서를 신뢰하지 않기로 결정) 시만텍은 오랫동안 인증서를 부적절하게 발급하였으며, 구글의 경고 이후에도 인증서에 관한 문제점을 개선하지 않았습니다. 그래서 구글은 단계적으로 시만텍 인증서를 단계적으로 신뢰하지 않기로 결정하였으며, 이번에 공개된 Chrome66에서 2016년 6월 1일 이전에 시만텍의 기존 PKI에서 발행한 웹 사이트 인증서를 삭제하였습니다. 올 가을에..

국내외 보안동향 2018. 4. 19. 17:43

안녕하세요? 이스트시큐리티입니다. 나날이 스마트폰 카메라 성능이 향상되고 고해상도의 미디어 콘텐츠가 여기저기 공유되면서, 스마트폰의 저장공간이 금세 꽉차버린 경험이 있으신 분들이 많을 텐데요. 같은 스마트폰 기기더라도 자체 용량이 큰 제품을 사려면 가격이 더 비싸기 때문에 부담이 되기도 하고, 넉넉한 줄 알았지만 오랜 기간 쓰다 보면 어느 샌가 용량이 부족해진 것을 확인하게 되곤 합니다. 그렇다면, 무엇이 스마트폰 용량의 대부분을 차지하는 걸까요? 여러분의 기기 저장공간을 확인해보시면 애플리케이션이 많은 비중을 차지하는 것을 발견할 수 있습니다. 여기서, 용량 순으로 배열했을 때 사용중인 메신저 앱들이 대부분 상단에 위치하게 되는데요. 이는 사실 메신저 앱 자체의 용량이 크지는 않지만, 매일 주고받는 대..

안전한 PC&모바일 세상/PC&모바일 TIP 2018. 4. 19. 16:22

iOS Trustjacking Attack Exposes iPhones to Remote Hacking 연구원들이 아이폰 사용자들이 Mac 워크스테이션 및 랩탑 컴퓨터에 기기를 페어링하는 방식에서 취약점을 발견했습니다. Trustjacking이라 명명 된 이 취약점을 악용할 경우 전화 기기 사용자 모르게 제어권을 탈취할 수 있는 것으로 나타났습니다. Trustjacking은 iTunes에 포함 된 “iTunes Wi-Fi 동기화”기능에 존재합니다. Mac 랩탑/워크스테이션의 주인이 새로운 아이폰을 컴퓨터에 동기화 할 때 iTunes의 설정 섹션에서 이 옵션이 활성화 되어 있을 경우, 무선 케이블을 사용하지 않아도 주인이 언제든지 로컬 WiFi 네트워크를 통해 이 스마트폰에 연결할 수 있게 됩니다. 이 기..

국내외 보안동향 2018. 4. 19. 13:53

안녕하세요? 이스트시큐리티입니다. 최근 안드로이드 악성앱이 고도화되면서 백신의 탐지를 회피하기 위한 암호화 및 안티 디버깅 기술이 적용되고 있습니다. 특히, 해당 앱은 악성행위에 사용되는 모든 문자열과 파일들을 암호화하여 저장하고 있다가 실제 사용될 때 이를 복호화 하여 사용합니다. 또한, 기기 및 개인정보의 단순한 탈취를 넘어 사용자의 기기를 완전히 장악한 후 오디오, 사용자의 입력 등 사용자의 활동을 실시간으로 감시하고 확인합니다. 본 분석 보고서에서는 “Spyware.Android.FakeApp”를 상세 분석 하고자 합니다. 악성코드 상세 분석 1) 분석 방해 및 백신 탐지회피가. 암호화 된 문자열악성행위에 사용되는 문자열들을 암호화하여 바이트 형태로 저장하고 있다가 해당 문자가 실제 사용될 때 마..

악성코드 분석 리포트 2018. 4. 18. 16:19

4월 18일, Oracle이 CPU（Critical Patch Update）를 진행하였는데, 이 중에는 WebLogic WLS 핵심모듈 역직렬화 취약도 포함되어 있었습니다. 해당 취약점을 악용하면, 공격자가 권한이 없는 상황에서 원격코드실행, 시스템 권한상승 등의 행위를 할 수 있습니다. WebLogic이란 ? WebLogic이란 Oracle회사에서 개발한 Web Application Server로, JAVAEE 아키텍처를 기반으로 하는 미들웨어입니다. 공격원리 공격자는 Weblogic 서버에서 오픈해 놓은 T3 서비스와 Socket 연결을 맺고, 공격자가 조작한 패킷을 서버 측에 보내어 역 직렬화로 명령을 실행합니다. CVE번호 CVE-2018-2628 영향받는 버전 Weblogic 10.3.6.0We..

국내외 보안동향 2018. 4. 18. 15:54

Hackers Have Started Exploiting Drupal RCE Exploit Released Yesterday 최근 Drupal의 취약점의 익스플로잇 코드가 공개되었으며, 해커들이 이를 악용하기 시작한 것으로 확인되었습니다. 약 2주 전 Drupal의 보안 팀은 매우 치명적인 원격 코드 실행 취약점을 발견했습니다. Drupalgeddon2로 명명 된 이 취약점은 공격자가 취약한 웹사이트를 완전히 탈취할 수 있도록 허용합니다. 이 취약점을 해결하기 위해, 회사는 기술적 세부사항을 공개하지 않은 채 즉시 Drupal의 업데이트 버전을 공개해 백만 개 이상의 사이트들이 패치를 적용할 충분한 시간을 주었습니다. 그리고 이틀 후, 연구원들은 이 취약점 (CVE-2018- 7600)에 대한 완벽한 기..

국내외 보안동향 2018. 4. 18. 11:14