안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내에 지속적으로 사서함 업그레이드로 위장한 피싱 메일이 국내에 유포되고 있어 주의를 당부드립니다. 이번에 발견된 피싱 메일은 사서함 할당량 초과로 인하여, 사서함을 업그레이드해야 한다는 내용으로 링크 클릭을 유도합니다. [그림 1] 사서함 업그레이드를 유도하는 악성 메일 메일 본문의 '업그레이드하려면 여기를 클릭하십시오'를 클릭하게 될 경우 계정 비밀번호 입력을 유도하는 사이트로 연결합니다. [그림 2] 비밀번호 입력을 유도하는 사이트 만일 이용자가 비밀 번호를 입력하고, '지금 업그레이드' 버튼을 누를 경우 페이지에서 '기다려주십시오' 등의 문구가 보여집니다. 하지만 이는 이용자를 안심시키기 위한 것으로 보여지며, 실제로는 입력 폼에 기입한..

악성코드 분석 리포트 2018. 2. 28. 13:23

Thanatos Ransomware Is First to Use Bitcoin Cash. Messes Up Encryption 랜섬웨어 개발자들은 제대로 테스트 하지 않고 버그가 포함 된 상태인 랜섬웨어를 배포하고 있습니다. 이로 인해, 희생양들이 파일을 복구하기 어렵거나 불가능하게 됩니다. 최근 보안 연구원들이 발견한 새로운 랜섬웨어인 Thanatos도 같은 경우인 것으로 나타났습니다. Thanatos 랜섬웨어가 희생양을 감염 시키면, 암호화 된 각 파일 마다 새로운 키를 사용합니다. 하지만 문제는 이 키들이 어디에도 저장되지 않는 다는 것입니다. 이는 즉, 사용자가 랜섬머니를 지불 하더라도, 랜섬웨어 개발자들은 사실상 파일을 복호화 할 수 있는 방법이 없다는 이야기입니다. 따라서 Thanatos에 피..

국내외 보안동향 2018. 2. 28. 09:30

취약점 내용 Servlet이 로드되면, Apache Tomcat Servlet에서 정의하는 보안 제약만 적용됩니다. 이런 식으로 정의된 보안 제약이 URL 패턴과 URL에 적용되기 때문에, Servlet이 로드되는 순서에 따라 일부 보안 제약이 적용되지 않을 수도 있습니다. 이러한 이유로, 접근 권한이 없는 사용자가 리소스에 접근할 수 있습니다. 취약점 번호 CVE-2018-1305 영향받는 버전 Apache Tomcat 9.0.0.M1 to 9.0.4 Apache Tomcat 8.5.0 to 8.5.27 Apache Tomcat 8.0.0.RC1 to 8.0.49 Apache Tomcat 7.0.0 to 7.0.84 패치방법 최신 버전으로 업데이트 Apache Tomcat 9.0.5 or laterAp..

국내외 보안동향 2018. 2. 27. 18:10

ポルシェジャパンに不正アクセス、顧客情報2.8万件が流出 - 独親会社からの指摘で判明 포르쉐 재팬이 고객의 개인정보를 위탁하는 위탁처의 서버가 해킹을 당해, 고객정보 2만 8722건이 유출되었습니다. 현재 유출된 고객정보의 범위 등 상세한 내용에 대해 조사를 진행중에 있습니다. 지금까지 유출이 확인된 것은 2000년부터 2009년에 걸쳐 이 회사에 카탈로그를 요구한 고객정보 2만 3151건의 메일 주소입니다. 이번에 유출된 이메일주소와 같은 DB에는 성명, 주소, 전화번호, 성별, 생년월일, 직업, 연수입, 소유차 정보, 희망 차종, 구입예정, 판매점명 등 정보들도 포함되어 있어 해당 정보들도 유출되었을 가능성도 매우 높습니다. 게다가 2015년 7월에 실시한 캠페인 응모자에 관한 메일주소 5568건이 유출되었..

국내외 보안동향 2018. 2. 27. 15:57

안녕하세요? 이스트시큐리티입니다. 'IoT(사물인터넷, Internet of Things)'라는 용어를 들었을 때 가장 먼저 어떤 것이 떠오르시나요? 첨단 기술, 편리함, AI 활용 등으로 요즘의 IoT를 표현할 수 있을 텐데요. 많은 매체를 통해서 심심치 않게 접할 수 있으며, 그중에서도 최근 IoT를 활용한 스마트홈 서비스의 광고에서는 사람을 향한 모습들을 통해 우리 일상 깊은 곳에 자리잡으려 하고 있습니다. 불과 몇 년 까지도 SF 영화의 한 장면 혹은 미래라고 여겨지던 광경이 단숨에 현실로 다가왔습니다. 시장이 성장하고 우리의 일상에 IoT 기반의 제품이 보급될 수록 누릴 수 있는 편리함은 늘어갈 것입니다. 하지만, 그 이면에 존재하는 IoT 보안 위협도 현실이며, 늘 염두에 두고 예방해야 합니다..

전문가 기고 2018. 2. 26. 20:15

상세내용 Cisco ASA(Adaptive Security Appliance)는 방화벽, 안티바이러스, 침입방지 시스템 및 VPN 기능을 모두 포함하고 있는 보안장비입니다. Cisco FTD(Firepower Threat Defense)는 통합 SW 이미지로, Cisco ASA 기능과 FirePower 서비스를 포함하고 있습니다. 해당 취약점은 Cisco ASA의 XML 파서 중에 존재하는 것으로, 인증이 되지 않은 원격의 공격자가 해당 시스템에 리로드 혹은 원격 코드실행의 행위들을 허용합니다. 메모리 부족으로 인해 ASA는 VPN 인증 request 처리를 중단할 수도 있습니다. 해당 취약점은 악성 xml 로드 시, 메모리 할당 및 해제 문제 때문에 발생합니다. 공격자는 해당 취약점에 영향받는 시스템에..

국내외 보안동향 2018. 2. 26. 16:10

SamSam ransomware infects Colorado Department of Transportation SamSam 랜섬웨어가 돌아왔습니다. 가장 최근 피해를 입은 곳은 콜로라도의 교통부인 것으로 나타났습니다. 랜섬웨어가 전체 인프라를 통해 확산 되는 것을 막기 위해, 해당 기관의 컴퓨터 2천 대 이상이 종료 되었습니다. CBS 로컬 뉴스는 도로 교통 및 경보를 관리하는 주요 시스템은 이에 영향을 받지 않았다고 보도했습니다. 공격자들은 일부 파일들을 암호화했으며, 복호화 키를 인질로 비트코인을 요구했습니다. 교통부는 시스템을 수리하기 위해 보안 업체와 협력 중입니다. OIT의 CTO인 David McCurdy는 “오늘 아침, 한 랜섬웨어가 콜로라도 교통부의 시스템들을 감염시킨 것을 발견했습니다..

국내외 보안동향 2018. 2. 26. 09:25

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 해외 사용자 PC에서 가상 화폐 지갑 정보와 다양한 브라우저 로그인 정보를 유출하는 악성코드가 유포되고 있어 국내 사용자의 주의를 당부 드립니다. 이 악성코드는 [그림1]과 같이 사용자 PC에 있는 가상 화폐의 종류를 확인합니다.(비트 코인을 포함한 총 9개의 가상 화폐 - 비트코인, 라이트코인, 이더리움, 모네로, 스팀 등) 이는 국내에서도 인기있는 지갑 정보와 사용자 정보 탈취를 목적으로 보여집니다. [그림1] 가상 화폐 종류 확인 코드 가상 화폐 지갑 정보 외에 사용자의 브라우저를 확인하여 시스템 상에 저장된 로그인 ID/PW 정보와 쿠키 정보도 탈취합니다. 이렇게 유출된 정보는 추후 또 다른 보안 위협에 노출될 가능성이 존재합니다...

악성코드 분석 리포트 2018. 2. 23. 17:41