[8월 넷째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'와 '다수 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 1. 특이 문자 No.문자 내용 1 ^^ 빨^리 가^봐^봐 여기 왜 니 ^사진 ^있지?2 [Web발신] 귀하의 신분증을 보관중입니다. 보관처 확인 후 수령바랍니다. 수령지확인 : 전화문의 : 2. 다수 문자 No.문자 내용 1 [Web발신] 오시는길 2 Web발신] 저희 둘 사랑과믿음으로 하나를이루려고 합니다^^ 고객ID: 출처 : 알약 안드로이드기간 : 2017년 8월 19일 ~ 8월 25일

안전한 PC&모바일 세상/스미싱 알림 2017. 8. 25. 09:16

Simple Exploit Allows Attackers to Modify Email Content — Even After It's Sent! 보안연구원들은 새로운 이메일 트릭에 대해 경고하였습니다. 이 트릭은 공격자가 이미 사용자의 받은 편지함에 도착한 이메일이라 하더라도, 정상 이메일을 악성 이메일로 둔갑시킬 수 있도록 허용합니다. 이 트릭은 Ropemaker (Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky)라 명명되었습니다. Ropemaker를 성공적으로 악용할 경우, 공격자는 자신이 보낸 이메일의 내용을 원격으로 수정할 수 있게 됩니다. 따라서 URL을 악성으로 변경하는 등의 행위가 가능합니다. 이는..

국내외 보안동향 2017. 8. 24. 15:11

최근 몇달동안 Talos 그룹(cisco소속)은 온라인으로 DDoS 서비스를 제공하는 중국 홈페이지들이 끊임없이 증가하고 있는 것을 확인하였습니다. 이러한 홈페이지들은 대부분 거의 유사한 구조와 대쉬보드를 갖고 있었으며, 기본적으로 간단한 UI를 제공하고 있었습니다. UI를 통해서 타겟 호스트, 포트, 공격방법 및 공격지속시간 등을 설정할 수 있습니다. 또한 이러한 홈페이지들은 대부분 지난 6개월 이내에 등록되었지만, 확인결과 운영하는 조직은 각자 다른 것으로 확인되었습니다. Talos 그룹은 또한 이러한 홈페이지 관리자들끼리 종종 서로 공격 하는것을 보았습니다. 보안연구원들은 이러한 플랫폼에 대해 연구하고, 무슨 이유로 최근 이러한 서비스를 제공하는 플랫폼이 급속도로 증가하였는지 분석하였습니다. 중국 ..

국내외 보안동향 2017. 8. 24. 09:32

Fileless cryptocurrency miner CoinMiner uses NSA EternalBlue exploit to spread 새로운 파일리스 채굴기인 CoinMiner가 발견 되었습니다. 이는 확산을 위해 NSA의 EternalBlue 익스플로잇과 WMI 툴을 사용하는 것으로 나타났습니다. CoinMiner는 감염 된 시스템에서 명령어를 실행하기 위해 WMI(Windows Management Instrumentation) 툴킷을 이용하는 파일리스 악성코드입니다. 보안전문가는 “이 공격은 지속성 확보를 위해 WMI를 사용한다. 특히, 스크립트 실행을 위해 WMI Standard Event Consumer 스크립팅 프로그램 (scrcons.exe)를 사용한다. 시스템에 침투하기 위해, 악성코..

국내외 보안동향 2017. 8. 23. 16:07

ANDROID SPYWARE LINKED TO CHINESE SDK FORCES GOOGLE TO BOOT 500 APPS 최근 구글플레이에서 500개의 앱들이 삭제되었는데, 그 앱들 안에는 사용자 몰래 스파이웨어를 설치할 수 있는 광고 SDK가 내장되 있었습니다. lgexin이라 명명 된 이 광고 SDK는 중국 회사가 개발했으며, 기기에서 로그를 추출할 수 있는 악성코드를 설치하는데 사용되었을 수 있습니다. 보안 연구원들은 지난 월요일 lgexin SDK를 포함한 500개 이상의 안드로이드 앱들이 1억 회 이상 다운로드 되었다고 밝혔습니다. 하지만 이 모든 앱들이 스파이웨어에 감염 된 것은 아니라고 말했습니다. 5천만 ~ 1억회 이상 다운로드 된 앱은 10대들을 위해 개발 된 게임 앱이며, lgexin..

국내외 보안동향 2017. 8. 23. 15:12

해커들은 DNS 프로토콜을 이용하여 호스트 정보를 전달하며, 서버에서 명령어를 내려받습니다. 이렇게 DNS 프로토콜을 악용하여 통신하는 기술을 DNS Tunneling이라고 부릅니다. DNS 특징 이 세상에는 많은 도메인들이 존재하며 그 변화 속도도 매우 빠르기 때문에, 적은양의 서버로는 수많은 요청에 응답할 수 없습니다. 그렇기 때문에, 지금의 DNS 체계는 분산식으로 구성되어 있으며, 데이터들을 각기 다른 서버에 분산 저장합니다. 분산형 DNS는 다음과 같은 특징을 가지고 있습니다. 1) 클라이언트는 일반적으로 1~2개의 DNS 서버를 할당받으며, 해당 서버들 중에서 모든 DNS 쿼리 결과를 얻을 수 있기 때문에 다른 DNS 서버들과 통신을 할 필요가 없습니다. 이러한 DNS 서버를 DNS resol..

국내외 보안동향 2017. 8. 22. 16:51

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내 애드웨어 서버의 업데이트 파일을 은밀히 변조(해킹)해 지속적으로 최신 파밍 악성코드가 유포 중인 것이 시큐리티대응센터 보안관제 중 포착되었습니다. 특히나 해당 애드웨어의 경우 정상 프로그램과 함께 제휴 프로그램을 함께 설치하는 형태로 배포하고 있어 부지불식간에 이용자 피해가 발생할 수 있어 주의가 필요합니다. [그림 1] 특정 제휴 프로그램 다운로더 화면 이번 애드웨어 업데이트 파일 변조 역시 지난 ‘게임 최적화 프로그램’ 사례와 마찬가지로 업데이트 서버내에 존재하는 URL 값을 파밍 악성코드로 변경하였습니다. [그림 2] 애드웨어 업데이트 웹 페이지에서 URL 명령 값 변조 따라서 이용자가 다운로더를 통해 설치를 진행할 경우 은밀하게 파..

악성코드 분석 리포트 2017. 8. 22. 14:44

Warning: Enigma Hacked; Over $470,000 in Ethereum Stolen So Far 이더리움이 또한번 도난을 당했습니다. 가상화폐 거래소인 Enigma는 익명의 해커그룹의 공격을 받아 47.1만달러 상당의 이더리움을 도난당했습니다. Enigma는 공식 홈페이지를 통하여 '익명의 누군가'가 자신들의 웹페이지, slack 계정 및 이메일 뉴스레터 계정을 해킹하고, 가짜 ETH 주소를 포함한 pre-sale 페이지를 추가하여 돈을 보내도록 유도하였습니다. 또한 해커들은 가짜 주소가 포함된 Enigma's 뉴스레터와 pre-sale 코인을 위한 slack 계정을 사용자들에게 전송하여 피해자들이 자신들의 가상화폐를 해커의 지갑 주소로 보내도록 유도하였습니다. Etherscan이 확인..

국내외 보안동향 2017. 8. 22. 13:59