안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 해외 사용자 PC에서 가상 화폐 지갑 정보와 다양한 브라우저 로그인 정보를 유출하는 악성코드가 유포되고 있어 국내 사용자의 주의를 당부 드립니다. 이 악성코드는 [그림1]과 같이 사용자 PC에 있는 가상 화폐의 종류를 확인합니다.(비트 코인을 포함한 총 9개의 가상 화폐 - 비트코인, 라이트코인, 이더리움, 모네로, 스팀 등) 이는 국내에서도 인기있는 지갑 정보와 사용자 정보 탈취를 목적으로 보여집니다. [그림1] 가상 화폐 종류 확인 코드 가상 화폐 지갑 정보 외에 사용자의 브라우저를 확인하여 시스템 상에 저장된 로그인 ID/PW 정보와 쿠키 정보도 탈취합니다. 이렇게 유출된 정보는 추후 또 다른 보안 위협에 노출될 가능성이 존재합니다...

악성코드 분석 리포트 2018. 2. 23. 17:41

안녕하세요? 이스트시큐리티입니다. "어플이(가) 스마트폰에 접근을(를) 할 수 있도록 허용하시겠습니까?" 위의 문구를 어떤 상황에서 접하셨나요? 주로 앱을 설치하고 처음 실행했을 때 뜨는 대화상자에서 확인하시고 "거부" 혹은 "허용"을 누르셨을 겁니다. 앱을 이용하기 위해 허용을 누르면서도 안전한 게 맞는 것인지 괜스레 걱정이 되기도 하셨을 텐데요. 이번 기회에 스마트폰의 '필수적, 선택적 접근 권한'에 대해 정확히 알아보는 시간을 가져보시는 건 어떨까요? 접근 권한이란? 먼저, 스마트폰 앱 접근 권한이란 앱 서비스 제공자가 앱을 통해 이용자의 스마트폰 내에 저장되어 있는 정보 및 설치된 기능에 접근하여 해당 정보를 읽고 수정하거나 해당 기능을 실행할 수 있는 권한을 말하고 있습니다. 즉, 이용자의 스마..

안전한 PC&모바일 세상/PC&모바일 TIP 2018. 2. 23. 16:45

IoT 기기를 프록시 서버로 변환시키는 새로운 미라이 변종이 등장하였으며, OMG 로 명명되었습니다. 이 변종은 기존의 미라이 코드에 포함되어 있는 일부 구성을 추가 또는 삭제했지만, 공격, 킬러, 스캐너 모듈 등 기존의 미라이 모듈을 그대로 사용하고 있습니다. 연구원들은 ‘OMG 봇넷은 기존의 미라이 악성코드와 동일한 공격 작업을 수행할 수 있다. 예를 들어 열린 포트를 확인하여 텔넷, ssh, http와 관련된 프로세스 및 다른 봇들과 관련된 프로세스를 중단시킬 수 있다. 또는 텔넷 무작위 대입 공격, 디도스 공격 등도 수행할 수 있다’고 설명합니다. 그러나 OMG 봇넷의 주요 목적은 프록시 기능입니다. 해커들은 해킹 및 다른 악성 작업을 실행할 때 익명으로 수행하기 위해 프록시를 사용합니다. 프록시..

국내외 보안동향 2018. 2. 23. 16:00

구글 Project Zero 보안연구원은 uTorrent의 web과 데스크탑 클라이언트에서 여러개의 취약점들을 발견하였습니다. 이번에 발견된 취약점들을 악용하면 공격자는 악성코드를 이용하여 사용자의 다운로드 내역 정보를 탈취할 수 있습니다. 이 두 uTorrent 클라이언트들은 RPC 서버를 노출하였습니다 - 10000번(uTorrent Classic)과 19575번(uTorrent Web) 공격자는 악성 명령을 열려있는 RPC 서버와 통신하는 웹 페이지 내에 숨겨놓고, 사용자가 악성페이지에 접근하도록 유도합니다. 그밖에, uTorrent 클라이언트는 DNS 리바인딩 공격에도 취약하기 때문에, 공격자들은 쉽게 RPC 서버로 전달하는 자신의 request를 정상인 것처럼 조작할 수 있습니다. 이번 취약점에..

국내외 보안동향 2018. 2. 23. 11:16

[2월 넷째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] 예식일시:2018.1.6 오전11시30분 장소2 [Web발신] [CJ대한통운]01/21 (등기택배 회송처리).재확인바람 주소지확인 출처 : 알약M기간 : 2018년 2월 19일 ~ 2월 23일

안전한 PC&모바일 세상/스미싱 알림 2018. 2. 23. 10:00

안녕하세요? 이스트시큐리티입니다. 가상화폐 시세의 급등과 함께 채굴 기능이 있는 앱들이 등장하고 있습니다. 이러한 채굴 기능은 안드로이드 공식 마켓인 구글 플레이스토어의 정상 앱에서 발견되고 있으며, 해당 개발자가 정상 앱의 새로운 버전을 배포할 때 마이너를 추가하여 배포한다. 문제는 이를 사용자들에게 고지하지 않는 것입니다. 기기의 웹 브라우저를 활용한 마이너와 so 파일을 활용한 마이너가 주를 이루고 있습니다. 특히, so 파일을 활용하는 마이너는 "피닉스 코인"을 채굴하며 기기의 화면이 꺼져 있고 충전 중일 때만 채굴을 하여 사용자가 쉽게 알아차리기 어렵습니다. 본 분석 보고서에서는 so 파일을 활용한 마이너를 상세 분석 하고자 합니다. 악성코드 상세 분석 [그림 1] 정상앱 속의 채굴 해당 악성코..

악성코드 분석 리포트 2018. 2. 23. 09:00

[2월 셋째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 전 x기억나q세p요? 동창j인데n요 여기a에 같r이 찍은사e진 있어요 2 69710_28521를 수취불가상태입니다.주소지확인 출처 : 알약M기간 : 2018년 2월 12일 ~ 2월 16일

안전한 PC&모바일 세상/스미싱 알림 2018. 2. 22. 18:07

최근 Intel은 Skylake, Kaby Lake, Coffee Lake 및 관련 CPU에 대한 Spectre 패치를 공개하였습니다. 이번 패치는 CVE-2017-5717 취약점인 Spectre취약점(▶ 자세히보기)에 대한 패치입니다. Spectre 취약점은 악성 JavaScript 프로그램을 이용하여 브라우저 메모리에 있는 사용자의 로그인 쿠키를 탈취할 수 있는 등 매우 쉽게 악용할 수 있습니다. 이번에 Intel이 공개한 마이크로코드 패치는 안정화된 버전으로, 즉 기존에 여러 플랫폼에서 발생하였던 이슈들을 모두 해결한 버전입니다. 몇주 전, Intel에서 Skylake CPU에 대한 마이크로 패치를 공개하였으며, 현재는 Kaby, Coffee lake 및 기타 CPU에 대해서도 동일한 패치를 업데이..

국내외 보안동향 2018. 2. 22. 16:54