Exchange 서버에 존재하는 취약점이 공개되었으며, CVE-2018-8581로 명명되었습니다. 이 취약점은 작년 12월중 ZERO DAY INITIATIVE 조직의 기술 블로그에서 가장 처음 공개되었으며, 해당 취약점을 악용아면 Exchange 서버의 SSRF 및 높은 권한의 request를 이용하여 일반적인 권한을 가진 사용자를 루트 권한으로 상승 시킬 수 있습니다. 현재까지 아직 해당 취약점에 대한 패치가 공개되지 않은 상황입니다. 영향받는 버전 Exchange 2010 ~ Exchange 2016 취약점 발생 조건 Exchange가 기본적으로 설정되어 있는 환경 하에, 공격자가 사용자의 자격증명 권한을 갖고 있어야 하며, 동시에 NTLM replay 방식으로 권한 상승을 시도합니다. 그렇기 때문..

국내외 보안동향 2019. 1. 25. 08:09

안녕하세요? 이스트시큐리티입니다. 최근 Outsider로 명명된 랜섬웨어가 새롭게 등장해 사용자의 각별한 주의가 필요합니다. Outsider 랜섬웨어는 확장자에 관계없이 모든 파일을 암호화하고 특정 확장자에 따라 암호화 방식을 달리합니다. 또한, 사용자 시스템뿐만 아니라 사용자시스템과 연결된 네트워크 드라이브까지 검사해 감염시키는 것이 특징입니다. 공격자는 파일 복호화 대가로 $900의 비트코인을 요구하며 금전적인 이득을 노립니다. 따라서, 본 보고서에서는 Outsider 랜섬웨어의 행위와 특징에 대해서 알아보고자 합니다. 악성코드 상세 분석 Outsider랜섬웨어는 사용자의 시스템 언어를 확인하여 암호화 여부를 결정합니다. 다음과 같은 언어를 사용 중일 경우에는 암호화를 진행하지 않으며, 이 외의 언어..

악성코드 분석 리포트 2019. 1. 24. 15:44

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 유명 소셜커머스의 입사지원을 위장하여 악성코드가 유포되어 사용자들의 주의가 필요합니다. [그림 1] 입사지원서를 위장한 악성메일 공격자는 해당 소셜커머스 회사 특정 직군에 지원하는 것처럼 이력서를 위장하여 악성코드를 전달하였습니다. 확인 결과, 해당 기업은 실제로 현재 해당 직군의 인재를 채용 중인 것으로 확인되었습니다. [그림 2] 실제로 진행중인 채용공고 공격자가 보낸 이메일의 첨부 파일에는 악성 매크로가 포함된 doc 파일이 첨부되어 있습니다. [그림 3] 악성메일에 첨부되어 있는 압축파일 사용자가 압축 해제 후 악성매크로가 포함된 doc 파일을 실행하면, 보안 경고창이 뜹니다. [그림 4] 악성 매크로가 포함된 파일 실행 시 뜨는 보..

악성코드 분석 리포트 2019. 1. 24. 14:31

GandCrab returns with trojans and redundency GandCrab 랜섬웨어가 새로운 트로이목마들과 함께 돌아왔습니다. 이 새로운 툴들은, 공격을 통해 가치 있는 정보를 얻을 확률을 높이기 위해 인포 스틸러인 Vidar와 GandCrab 랜섬웨어의 조합을 사용한지 일주일 후 추가 되었습니다. 가장 최근 공격은 PowerShell을 암호화가 아닌 공격의 첫 단계를 전달하기 위한 입구로 사용했습니다. 이 페이로드는 이동식 실행 파일(PE) Base64 인코딩 바이트 코드이며, 마이크로소프트 윈도우용 무료 자동화 언어인 AutoIt을 통해 만들어졌습니다. “AutoIt으로 만든 PE는 언패커(unpacker) 역할을 하며, 다른 서버로부터 다른 바이너리를 다운로드하고 다양한 보호 ..

국내외 보안동향 2019. 1. 23. 15:55

Critical RCE Flaw in Linux APT Allows Remote Attackers to Hack Systems 보안 연구원들이 Linux APT의 치명적인 원격 코드 실행 취약점에 대한 세부사항을 발표했습니다. 이는 소프트웨어 다운로드 매니저가 통신 시 엄격하게 HTTPS를 사용했을 경우 완화될 수 있었습니다. Max Justicz가 발견한 이 취약점 (CVE-2019-3462)은 데비안, 우분투 및 기타 리눅스 배포판에서 소프트웨어 설치, 업데이트, 제거를 처리하는 널리 사용되는 유틸리티인 APT 패키지 매니저에 존재합니다. Justicz에 따르면, 취약한 APT 버전들은 HTTP 리디렉트 시 특정 파라미터를 적절히 검사하지 않아 원격 MitM 공격자가 악성 컨텐츠를 인젝션하고 시스템이..

국내외 보안동향 2019. 1. 23. 13:32

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 작년 08월 22일 ESRC에서는 '작전명 로켓 맨(Operation Rocket Man)' 공격 분석을 상세하게 공개한 바 있습니다. 이 공격은 당시 한국에 거주하는 일부 탈북민과 대북단체(장) 등이 위협 대상에 포함됐던 것으로 추정됩니다. [그림 1] 2018년 08월 유포된 악성 문서 파일 2018년 당시 '로켓맨' APT(지능형지속위협) 공격은 HWP 문서파일의 취약점을 이용해 진행이 되었습니다. 당시, 한국의 특정 웹 사이트를 해킹해 악성 HWP 문서를 등록해 두었고, 실제 이메일에는 URL 링크 방식의 공격 벡터를 활용했습니다. APT 공격에 사용된 '통지.HWP' 취약점 파일에는 제..

악성코드 분석 리포트 2019. 1. 23. 09:11

안녕하세요? 이스트시큐리티입니다. 기업의 미래경쟁력인 '핵심 기술', 어떻게 보호하고 계신가요? 오늘은 '기술유출 위협'에 국내 중소 기업들이 과연 제대로 대비하고 있는지에 대해 이야기를 나누어 보고자 합니다. 언론, 매체에서 흔히 볼 수 있는 손에 꼽을 수 없이 많은 기술유출 사례들과 정부의 제도나 지원을 통한 중요성 강조가 아니더라도, 기술유출에 대한 방지책이 중소기업에 꼭 필요하단 사실을 대부분 잘 알고 계실 텐데요. 실제로 중소벤처기업부에서 진행한 2017년 중소기업 기술보호 수준 실태조사에 따르면, 대기업 대비 중소기업 기술보호 역량 수치가 2012년 이후 꾸준히 상승하고 있으며, 대기업 기술보호 역량 점수와의 격차도 대폭 줄어 들고 있음을 확인할 수 있습니다. 출처: 2017 중소기업 기술보호..

전문가 기고 2019. 1. 23. 08:30

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩(GandCrab) 랜섬웨어를 유포하던 조직이 기존과 유사한 방식으로 구직시즌에 맞춰 입사지원서 등을 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.1을 새롭게 유포하는 정황이 포착되어 사용자들의 주의가 필요합니다. 해당 이력서에 첨부된 압축파일을 풀어보면, 압축파일 내에는 다음과 같은 파일들이 포함되어 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) 첨부파일을 열어본 사용자가 지원서.doc.lnk파일을 클릭하는 경우 jpeg로 위장한 악성코드(.exe)가 실행되면서 갠드크랩(GandCrab) 랜섬웨어가 동작하게 되며 사용자를 속이기 위해 함께 첨부된 정상 doc파일을 실행해서 화면에 보여주게 됩니다. 정상 doc파일이 ..

악성코드 분석 리포트 2019. 1. 21. 14:35