트로이목마에 감염 된 가짜 페이스북 라이트 앱, 사용자 정보 훔쳐Fake Facebook Lite App Infected with Trojan to Steal Users' Info 서드파티 앱 스토어에 존재하는 페이스북 라이트 버전이 악성코드에 감염된 것으로 확인되었습니다. 이 앱은 공식 페이스북이 아니라 중국의 개발자에 의해 개발한 것으로 추정됩니다. 보안 연구원들은 페이스북 라이트 버전은 공식 페이스북 앱 보다 데이터를 적게쓰는 가벼운 버전으로, 실행 시 예상대로 작동하지만 백그라운드에서는 악성행위를 한다고 밝혔습니다. 이 가짜앱은 악성 리시버 (com.google.update.LaunchReceiver)와 서비스(com.google.update.GetInst)를 사용해 구글 업데이트를 우회합니다. ..

국내외 보안동향 2017. 3. 8. 15:52

Struts2 원격코드실행 취약점(CVE-2017-5638,S2-045) 주의! 취약점 내용 Jakarta 플러그인을 이용하여 파일 업로드를 처리할 때 원격에서 임의의 코드를 실행할 수 있는 취약점으로, 공격자는 HTTP Request 헤더의 Content-Type값을 변조하여 원격 코드실행을 가능하게 합니다. poc #! /usr/bin/env python# encoding:utf-8import urllib2import sysfrom poster.encode import multipart_encodefrom poster.streaminghttp import register_openersdef poc(): register_openers() datagen, header = multipart_encode({..

국내외 보안동향 2017. 3. 7. 17:22

‘방산·군 관계자 신상까지 포함한 악성파일 등장!’ 문서파일로 둔갑한 악성파일 감염 주의 안녕하세요. 이스트시큐리티입니다.최근 방산, 군 관계자의 실명까지 포함된 악성 이메일이 유포되고 있어 사이버 보안 위협이 증가하고 있습니다. ▲ 정상 문서 파일 위장한 스피어피싱 공격 공격 흐름도 정상적인 문서파일로 위장해 사용자 PC를 좀비로 만드는 악성 이메일이 국내에 지속적으로 유포되고 있어, 사용자 여러분들의 각별한 주의가 필요합니다. 이번 사이버공격은 지난 몇 해간 꾸준히 출현해 왔던 악성파일 유포 방식과 형태는 동일하지만, 국방, 언론, 기업 분야 등에 소속된 관계자 실명이 적힌 동호회 명부나 항공우주포럼 관련 문서 등 국가 안보와 직접 연관성이 있는 것으로 보이는 문서 파일을 첨부해 사용자가 파일을 열람..

이스트시큐리티 소식 2017. 3. 7. 13:22

중국산 게이트웨이에서 Root권한의 백도어 발견!Hidden Backdoor Found in Chinese-Made Equipment. Nothing New! Move Along! 최근 중국기업 DBL Technology에서 생산하는 GoIP GSM 게이트웨이에서 백도어가 발견되었습니다. 이 백도어는 해당 디바이스의 Telnet 서버에 존재하였으며, 해커는 이를 이용하여 인증 메커니즘을 우회하는 취약점을 이용하여 root권한의 shell을 획득할 수 있습니다. 사실 중국산 디바이스에서 백도어가 발견된 것은 이번이 처음은 아닙니다. DBL Technology는 중국 심천에 위치한 통신 디바이스 제조사로, GSM 게이트웨이, 인터넷전화 게이트웨이, 기업에서 사용하는 스위치 등 일반적으로 전화회사 및 VoIP..

국내외 보안동향 2017. 3. 7. 11:38

왜 계속 광고창이 뜰까? 안녕하세요. 알약맨입니다.오늘은 PC 사용을 불편하게 만드는 광고창에 대응하는 방법을 알려 드리려고 합니다. 웹 서핑을 자주 하신다면 아래 이미지가 어딘가 익숙하실지도 모르겠네요. ‘명절 후 컴퓨터 모습.jpg’라는 짤(?)입니다. ^^; 명절을 맞아 찾아온 사촌 동생이 PC를 사용하면서 각종 툴바, 광고 프로그램, 가짜 백신 등 광고성 제휴 프로그램(이하 PUA)을 설치해 바탕화면과 인터넷 익스플로러가 엉망이 되었다는 슬픈 이야기... 이 사진과 스토리는 한때 많은 네티즌들의 공감을 불러 일으켰습니다. ※ PUA(Potentially Unwanted Application)란? 사용자가 대게 원하지 않는 프로그램. 일반적으로 광고를 띄우는 제휴 프로그램이나 검색 도우미 등을 의미..

안전한 PC&모바일 세상/PC&모바일 TIP 2017. 3. 7. 09:55

PowerShell 명령어를 실행하기 위해 DNS 쿼리를 사용하는 새로운 파일리스 공격NEW FILELESS ATTACK USING DNS QUERIES TO CARRY OUT POWERSHELL COMMANDS 최근 DNSMessenger라 불리는 독특한 공격방법이 발견되었는데, 이 공격방법은 악성 PowerShell 명령어를 해킹당한 컴퓨터에서 실행하기 위해 DNS 쿼리를 사용하는 것으로 확인되었습니다. 보안 연구원들은 이 방법이 원격 액세스 트로이 목마가 대상 시스템에 떨어지는 것을 감지하기 어렵게 한다고 밝혔습니다. 이 공격은 조작된 Word문서를 사용자들에게 발송하여 메세지 열람을 위해서 "컨텐츠를 활성화" 하라고 요구함으로써 시작됩니다. 만약 수신자가 공격자의 의도대로 컨텐츠를 활성화 한다면,..

국내외 보안동향 2017. 3. 6. 17:04

RebreakCaptcha – 구글의 API를 사용해 ReCaptcha v2 우회하는 방법 발견 돼ReBreakCaptcha – How to breaking Google’s ReCaptcha v2 using Google’s APIs 최근 보안 연구원이 구글의 reCaptcha V2 인증 시스템을 우회하는 PoC를 고안해 냈습니다. 이 방법은 ReBreakCaptcha라 명명되었습니다. 이 PoC는 구글의 웹기반 툴을 사용합니다. 제작자에 따르면, ReBreakCaptcha를 사용하면 “웹의 어디에서나 구글의 reCaptcha v2를 쉽게 우회할 수 있다.” CAPTCHA 서비스는 한번에 수 천개의 계정들을 등록하는 봇이나 스크립트를 무효화 하기 위해 고안되었으며, ReCaptcha는 이미지, 오디오, 텍..

국내외 보안동향 2017. 3. 3. 17:45

[3월 첫째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'와 '다수 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 1. 특이 문자 No.문자 내용 1 (^♡^저）☆（희^♡^）☆（결> 혼

안전한 PC&모바일 세상/스미싱 알림 2017. 3. 3. 14:16