안녕하세요. 이스트시큐리티입니다. 최근 워너크라이(WannaCry)를 비롯한 다양한 랜섬웨어들이 출현하고 있는 가운데 기존 sage2.0 랜섬웨어의 변종인 sage2.2 랜섬웨어가 지속적으로 발견되고 있습니다. sage 2.2 랜섬웨어는 sage 2.0 랜섬웨어와는 다르게 한글 안내페이지를 지원하는 특징을 가지고 있습니다. 또한 spora 랜섬웨어와 같이 오프라인 암호화를 진행하며 Cerber 랜섬웨어와 같이 감염 시 음성을 지원합니다. sage2.2 랜섬웨어는 스팸 메일을 통한 유입이나 웹 사이트 방문 시 노출되는 취약점을 통해 감염이 이루어졌을 것으로 추정됩니다. 이번 보고서에서는 sage2.2 랜섬웨어를 상세 분석해보고자 합니다. 악성코드 분석 ※ Rj3fNWF3.exe 상세 분석 1) 자가 복제 ..

악성코드 분석 리포트 2017. 7. 24. 13:27

Critical Code Injection Flaw In Gnome File Manager Leaves Linux Users Open to Hacking 한 보안 연구원이 GMONE Files 파일 매니저의 썸네일 핸들러 컴포넌트에서 해커들이 타겟 리눅스 기기에서 악성 코드를 실행시킬 수 있도록 허용할 수 있는 코드 인젝션 취약점을 발견했습니다. Bad Taste라 명명 된 이 취약점 (CVE-2017-11421)은 독일의 보안 연구원이 발견했으며, 블로그에 이 취약점을 시연하기 위한 PoC 코드도 공개하였습니다. 이 코드 인젝션 취약점은 윈도우 실행 파일들로부터 (.exe/.msi/.dll/.lnk) 썸네일을 생성하는 GNOME용 툴인 “gnome-exe-thumbnailer”에 있으며, 오픈하기 위해..

국내외 보안동향 2017. 7. 21. 15:42

[7월 셋째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'와 '다수 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 1. 특이 문자 No.문자 내용 1 예v식 일v시6월 ( 28일12시) 전자청첩장.2 ^^ 실제^ 내막^을 박근^혜 체포되^었^다 2. 다수 문자 No.문자 내용 1 [Web발신] 사랑하고 아끼면서 잘살겠습니다. 일시: 6월 24일 오후 1시, 청첩장: 2 대한통운 미확인 물품이 존재합니다 확인 부탁드립니다 출처 : 알약 안드로이드기간 : 2017년 7월 15일 ~ 7월 21일

안전한 PC&모바일 세상/스미싱 알림 2017. 7. 21. 14:39

Axis Communications는 세계에서 가장 규모가 큰 보안 네트워크 카메라 제조업체 입니다. 최근 보안 연구원들은 M3004 보안 카메라를 연구하는 과정에서 스택오버플로우취약점(CVE-2017-9765)를 발견하였으며, 이를 Devil's Ivy 취약점으로 명명하였습니다. 해당 취약점을 악용하면 원격코드실행이 가능하며, 원격에서 CCTV에 접근이 가능하게 됩니다. 보안 CCTV는 일반적으로 중요한 장소(예를들어 은행 창구 등)에 설치하기 때문에, 민감 정보 유출로도 이어질 수 있습니다. Axis는 249종의 각기 다른 CCTV모델들이 해당 취약점에 영향을 받는 것을 확인하였으며, 바로 수정하였습니다. 현재 Axis는 패치된 펌웨어를 배포하고 있으며, 사용자들과 협력사들에계도 빠른 업데이크를 권고..

국내외 보안동향 2017. 7. 21. 14:35

최근 GhostCtrl 악성코드의 세번째 버전이 발견되었습니다. 이번에 발견된 변종은 기존의 악성코드에서 더 많은 기능들이 추가된 것으로 확인되었습니다. 다음을 GhostCtrl v3 버전 중 resources.arsc 파일의 분석화면을 보면, 이 악성코드가 OmniRAT의 변종이라는 것을 알 수 있습니다. GhostCtrl 백도어 기능 GhostCtrl 백도어는 기본적으로 OmniRAT 플랫폼을 기반으로 하며, 이는 블랙마켓에서 약 $25~$75선에서 판매되고 있습니다. 이 악성코드는 암호화 된 C&C 통신을 하며, 하달받는 명령에는 악성코드 및 DATA 대상이 포함되어 있습니다. 이를 통하여 공격자는 공격대상을 지정하고 다양한 악성행위를 할 수 있습니다. 공격자는 원격 명령을 통하여 감염된 휴대폰을 ..

국내외 보안동향 2017. 7. 20. 18:00

New Linux Malware Exploits SambaCry Flaw to Silently Backdoor NAS Devices 약 두달전, 7년동안 Samba 네트워킹 소프트웨어에 존재해 왔으며, 해당 취약점을 악용하면 공격자들은 리눅스 및 유닉스 장비들을 온전히 제어할 수 있는 치명적인 원격코드실행 취약점이 발견되었습니다. 이 취약점은 SambaCry라고 명명되었습니다. 그리고 최근 보안 연구원들은 지난 5월 말 이 취약점이 패치 되었음에도불구하고, IoT 기기들, 특히 NAS 기기를 노리는 악성코드가 이 취약점을 현재까지도 악용하고 있다고 경고했습니다. SambaCry가 대중에 공개된 직후, SambaCry 취약점(CVE-2017-7494)는 대부분 리눅스 환경에서 “Monero” 디지털 화폐를..

국내외 보안동향 2017. 7. 20. 16:04

작년에 이어 올해도 바이두 클라우드에서 동기화된 고객 사진들이 유출되었습니다. (▶ 바이두 클라우드 자동백업기능 조심하세요!) 바이두는 또 한번 제품 로직에 문제로 인해 고객의 사진, 파일 등 개인정보들이 유출되었다고 밝혔습니다. 7월 18일, 한 네티즌은 많은 사용자가 바이두 클라우드에 올라가 있는 자료들을 자동으로 공유하는 기능을 잘못 사용하여, 수만명의 개인,기업 및 정보관료 등의 정보들이 유출되었다고 밝혔습니다. 사용자가 잘못 사용한 "Public 공유"기능, 대량의 개인정보 유출로 이어져 바이두 클라우드 공유기능은 "Public"과 "Private" 두가지 형태가 있습니다. "Public공유" 기능은 일단 사용자가 공유하기를 누르면 공유할 수 있는 링크가 생성되며, 해당 링크를 통하여 누구나 접..

국내외 보안동향 2017. 7. 20. 14:59

안녕하세요. 이스트시큐리티입니다. 한국인이 제작한 것으로 추정되는 '직소 랜섬웨어 변종'이 악성파일이 발견되어, 주의가 필요합니다. ▲ 한글로 작성된 안내문 직소 랜섬웨어는 전 세계적으로 잘 알려진 공포 영화 ‘쏘우(Saw)’에 등장했던 광대 마스크 ‘빌리 더 퍼펫’ 이미지를 보여주고, 일정 시간이 지날 때마다 암호화된 일부 파일을 삭제해 사용자가 비트코인을 지불하도록 공포감을 조성하는 특징을 가지고 있습니다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)가 발견한 이번 랜섬웨어 변종은 광대 마스크 이미지 노출을 제외한 대부분의 특성이 기존 직소 랜섬웨어와 흡사한 것으로 나타났습니다. ESRC에 따르면 이번 랜섬웨어에 감염되면 영화 쏘우의 범인이 TV를 통해 문장을 보여주며 인질을 협박했던 장면과 유사하..

이스트시큐리티 소식 2017. 7. 20. 13:51