취약점 내용 MS SMB 프로토콜의 메모리 파괴 취약점으로, 인증을 거치치 않은 공격자가 원격에서 해당 취약점을 악용하여 웜(worm)과 같은 공격 효과를 가져올 수 있는 취약점입니다. 해당 취약점은 OS가 SMB 3.1.1 프로토콜의 압축패킷을 처리하는 과정에서 오류가 발생하여 야기되는 취약점으로, 공격자는 조작된 패킷을 악용하여 원격에서 인증을 거치치 않은 상태로 원격코드실행이 가능합니다. 또한 직접 SMB 서버를 직접 공격하여 RCE 취약점을 악용할 수 있을 뿐만 아니라, SMB 클라이언트를 공격하여 공격자가 특정한 웹페이지, 압축파일, 공유파일, office 문서등을 조작하는 방식으로 취약점을 트리거 할 수 있습니다. 해당 취약점은 그 위험성이 EternalBlue, NotPetya, WannaC..

국내외 보안동향 2020. 3. 11. 09:37

안녕하세요. ESRC(이스트시큐리티 시큐리티대응센터)입니다. 최근 코로나19 바이러스로 인해 마스크 수요가 증가하자 인터넷 거래를 유도하여 국내 포털 사이트의 계정과 개인 정보 및 금전적인 이득을 취하는 중고마켓 사기가 발생하고 있어 사용자들의 주의가 필요합니다. 허위 마스크 판매자는 실제 중고마켓에 마스크 판매 글을 올려 직거래나 택배 판매는 안되고 연락을 특정 메신저를 통해서 받고 있으며, 메신저를 통해 연락 시 사용자에게 허위 안전거래 사이트 링크를 전달하는 방식으로 접근하고 있습니다. [그림 1] 메신저를 통한 허위사이트 전달 화면 판매자가 전달 한 링크를 클릭하면 특정 중고마켓 사이트와 동일하게 만들어진 허위 사이트로 이동하게 됩니다. [그림 2] 중고마켓 사이트와 유사하게 만들어진 허위 사이트..

악성코드 분석 리포트 2020. 3. 11. 08:40

9 Years of AMD Processors Vulnerable to 2 New Side-Channel Attacks 최근 연구결과에 따르면, 2011년부터 2019년까지 AMD 프로세서에 취약점이 존재하였으며, 해당 취약점을 악용하면 두 가지의 사이드채널공격이 가능하다고 밝혀졌습니다. 이 새로운 공격 방식은 "Take A Way"라고 불리우며, AMD Bulldozer 마이크로 아키텍쳐의 L1데이터(L1D)의 캐시예측 백터를 이용하여 프로세서에서 민감데이터를 유출하고 암호화 과정 중 사용된 암호화키를 복구합니다. AMD가 홈페이지 공지에 따르면 "AMD CPU에 존재하는 취약점을 이용하여 공격자는 사용자가 의도하지 않은 방식으로 사용자 데이터를 잠재적으로 전송할 수 있도록 캐시 관련 기능을 조작 할 ..

국내외 보안동향 2020. 3. 10. 15:45

Debian Linux is listed as the operating system with the largest number of vulnerabilities in the past 20 years National Institute of Standards and Technology (NIST) National Vulnerability Database의 데이터 분석에 따르면 데비안 리눅스가 지난 20 년 동안 가장 많은 취약점을 가진 운영체제로 밝혀졌습니다. 1999년부터 2019년까지, Debian Linux에서는 총 3067개의 취약점이 발견되었습니다. 그 뒤를 이어 안드로이드와 리눅스 커널은 각각 2563개 및 2357개의 취약점이 발견되어 각각 2, 3위를 차지하였으며, macOS는 2212개의 취..

국내외 보안동향 2020. 3. 10. 13:49

Ryuk Ransomware Behind Durham, North Carolina Cyberattack 노스 캐롤라이너의 더럼시(City of Durham, North Carolina)가 지난 주말 Ryuk 랜섬웨어 공격을 받아 네트워크 운영을 중단했습니다. 지역 언론은 해당 시가 Ryuk 랜섬웨어를 설치하는 피싱 공격에 피해를 입었다고 보도했습니다. “SBI에 따르면, Ryuk 랜섬웨어는 피해자가 이메일의 첨부파일을 열면 네트워크로 침투할 수 있게 됩니다. 침투에 성공하면 파일 공유를 통해 네트워크 서버에서 개별 컴퓨터로 확산될 수 있습니다.” 더럼시는 네트워크 전체에 공격이 확산되는 것을 막기 위해 더럼 경찰서, 더럼 보안관 사무실, 통신 센터의 DCI 네트워크로의 모든 접근을 임시로 비활성화했습니다..

국내외 보안동향 2020. 3. 10. 10:15

안녕하세요. ESRC(시큐리티 대응센터)입니다. 코로나19 바이러스 이슈와 관련된 악성 메일이 끊임없이 유포되고 있습니다. ※ 관련 글 보기 ▶ "코로나19 바이러스" 이슈를 악용한 악성코드 주의(2) (20.02.26)▶ "코로나 바이러스" 이슈를 이용하여 공격중인 악성코드 주의! (20.02.20) 이번에 발견된 악성 메일은 WHO(World Health Organization)를 위장하고 있으며, Coronavirus Updates라는 제목으로 유포됩니다. [그림 1] 코로나 바이러스 이슈를 악용한 악성 메일 메일 본문에 SNS 아이콘이 포함되어 있는데, 해당 아이콘들을 클릭하면 실제 WHO(World Health Organization)의 공식 SNS 계정으로 연결됩니다. 해당 메일에는 ATT00..

악성코드 분석 리포트 2020. 3. 10. 08:24

개요 해당 취약점을 악용하면 Oracle Coherence중 인증되지 않은 공격자가 조작한 T3 프로토콜 request를 허용하여 역직렬화 원격코드실행 취약점을 발생시킨다. 오라클 웹로직 서버(Oracle WebLogic Server): 오라클이 개발한 자바 EE 웹 애플리케이션 서버입니다. 오라클 코히어런스(Oracle Coherence) : 자바 기반의 데이터 그리드 제품으로서, 데이터 캐싱, 데이터 복제, 분산 컴퓨팅 서비스를 제공합니다. 코히어런스는 backing map을 사용하여 데이터베이스 이외의 스토리지에서도 안정적인 서비스를 제공할 수 있게 합니다.자바로 구현되어 있지만, 코히어런스*엑스텐드 콤포넌트를 통해서 .NET이나 C++과의 접속도 가능합니다. 코히어런스 사용 패턴 중 일부는 오픈 ..

국내외 보안동향 2020. 3. 9. 15:28

TrickBot targets Italy using fake WHO Coronavirus emails as bait 새로운 스팸 캠페인이 이탈리아의 사용자들을 공격하고 있습니다. 이는 코로나19(covid19)에 대한 사람들의 관심을 악용하여 TrickBot 인포스틸링 악성코드를 확산시키고 있습니다. 이들은 세계보건기구(WHO)의 의사인 Penelope Marchetti 박사가 보낸 것으로 위장하며 제목은 “Coronavirus: Informazioni importanti su precauzioni.”인 스팸메시지를 보냅니다. Sophos는 “이 이메일에는 감염을 예방하기 위한 조치가 담겨있다고 주장하는 문서가 첨부되어 있습니다. 하지만 이 파일은 무기화된 Word 문서로 새로운 Trickbot 변종을 ..

국내외 보안동향 2020. 3. 9. 14:34