10월 중순, D-Link 라우터에서 임의파일 다운로드가 가능한 취약점이 발견되었습니다. 해당 취약점은 공격자가 권한이 없는 상황에서 /uir 페이지에서 원격으로 임의의 파일을 내려받을 수 있도록 허용합니다. 이렇게 다운로드가 가능한 파일들 중에는 민감한 파일（/etc/passwd등）및 비밀번호를 평문으로 저장한 파일(/tmp/XXX/0）등이 포함되어 있습니다. 공격자들은 이렇게 획득한 파일들을 이용하여 IoT 기기들을 채굴에 악용하거나 봇넷으로 만들 수 있습니다. 이번 취약점은 CVE-2017-6190 취약점 패치 과정에서 발생한 취약점으로 인해 발생합니다. 당시 취약점이 공개된 제품에 대해서만 패치를 진행하였고 공개되지 않은 제품에 대해서는 어떠한 조사도 이루어 지지 않았으며, 이로 인하여 해당 취약..

국내외 보안동향 2018. 10. 24. 14:26

이스트시큐리티의 CTI 조직인 시큐리티대응센터(이하 ESRC)는 정부 차원의 후원을 받는 공격자(State-sponsored Actor)가 수행한 최신 지능형지속위협(APT) 캠페인을 확인했습니다. 수년간 연속성이 유지되던 APT 징후가 일정 기간 포착되지 않을 경우, 위협그룹이 새로운 침투를 준비하고 있거나 최신 공격 기술개발에 집중하고 있는 단계일 가능성이 있습니다. 이번 사이버 위협의 배후로 알려진 조직은 일명 '라자루스(Lazarus)'로 널리 알려져 있으며, 이미 유사한 공격 사례가 지속적으로 보고되고 있습니다. ESRC에서는 금년에 국내외에서 포착된 여러 건의 작전을 연속시리즈로 공개한 바 있으며, 공격에 사용한 익스포트 함수, 파일명 등의 키워드를 활용해 '작전명 배틀 크루저(Operatio..

악성코드 분석 리포트 2018. 10. 23. 23:00

안녕하세요? 이스트시큐리티입니다. 최근 노스캐롤라이 주 잭슨빌에 위치한 수도사업소에 랜섬웨어 공격이 발생하여 시스템 운영이 마비되었습니다. 이 공격에 사용된 악성코드는 Ryuk 랜섬웨어로 밝혀졌습니다. 해당 랜섬웨어는 올해 초 유포되었던 Hermes 랜섬웨어의 변종으로 많은 유사성을 가집니다. 따라서, 본 보고서에서는 Ryuk 랜섬웨어의 악성 행위와 이를 예방하기 위한 방법에 대해 적고자 합니다. 악성코드 상세 분석 1. 프로세스 인젝션 사용자로부터 감염 사실을 은폐하기 위해 실행 중인 프로세스 중 임의로 선택하여 파일 암호화를 수행하는 코드를 인젝션합니다. 이 과정에서 ‘csrss.exe’, ‘explorer.exe’, ‘lsaas.exe’는 제외됩니다. 이는 시스템 안정성과 인젝션을 통한 탐지를 우회..

악성코드 분석 리포트 2018. 10. 23. 17:57

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 한국어로 된 이미지로 사용자 PC화면을 변경하는 크라켄 랜섬웨어 (KrakenCryptor) v.2.0.6과 v2.0.7이 발견되어 이용자들의 주의를 당부드립니다. ‘KrakenCryptor’ 랜섬웨어는 기존과 다르게 악성코드 분석을 방해하기 위해서 문자열들을 암호화하여 난독화를 시킵니다. 또한 사용자 PC 언어설정이 아르메니아(AM), 아제르바이잔(AZ), 벨라루스(BY) 등 17개 국가로 설정이 되어있는 경우 암호화를 진행하지 않습니다. 다음은 암호화 환경을 확인하는 화면입니다. [그림 1] 암호화 환경 확인 화면 ‘KrakenCryptor’ 랜섬웨어는 400여개의 확장자를 대상으로 암호화를 진행합니다. 다음은 암호화 대상 확장자 목록..

악성코드 분석 리포트 2018. 10. 23. 17:32

Libssh CVE-2018-10933 Scanners & Exploits Released - Apply Updates Now 지난 주, Libssh에 존재하는 너무나도 쉽게 악용이 가능한 인증 우회 취약점이 공개 되었습니다. 이후, 공격자들이 원격으로 이 취약점을 악용해 취약한 기기에서 명령어를 실행할 수 있도록 하는 툴 및 스크립트 다수가 공개 되고 있습니다. 이 취약점은 CVE-2018-1093로 등록 되었으며, libssh가 SSH2_MSG_USERAUTH_REQUEST를 기다릴 때 SSH2_MSG_USERAUTH_SUCCESS를 보내기만 하면 악용이 가능해 매우 쉽습니다. 이로써 라이브러리는 해커가 정상적으로 인증 되었다고 판단하고 입장을 허용합니다. 이 취약점은 libssh 버전 0.7.6와 ..

국내외 보안동향 2018. 10. 23. 13:27

Critical Flaws Found in Amazon FreeRTOS IoT Operating System 한 보안 연구원이 인기있는 임베디드 실시간 OS인 FreeRTOS 치명적인 보안 취약점 다수를 발견했습니다. 이 취약점은 광범위한 광범위한 IoT 기기들, 주요 시설의 시스템들을 해커에 노출시킬 수 있습니다 . FreeRTOS (Amazon, WHIS OpenRTOS, SafeRTOS)란? FreeRTOS는 인기 있는 임베디드 시스템용 오픈소스 실시간 OS이며 IoT, 항공 우주, 의료, 자동차 산업 등 40개 이상의 마이크로 컨트롤러에 사용 되었습니다. RTOS는 매번 마다 아주 정확한 타이밍, 높은 수준의 신뢰도로 신중하게 어플리케이션을 실행 하도록 설계 되었습니다. 심장 박동기는 적절한 시간..

국내외 보안동향 2018. 10. 22. 16:29

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 비너스락커 랜섬웨어를 유포하였던 조직들이 최근 국내 사용자들 대상으로 갠드크랩(GandCrab) v5.0.3을 유포중에 있어 사용자들의 주의가 필요합니다. ※ 관련글 보기 ▶ 비너스 락커! 이번에는 DOC 문서 취약점을 이용하여 유포 중▶ 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자 현재 유포중인 갠드크랩(GandCrab) v5.0.3은 이미지 무단사용 관련 내용, 입사지원서 등의 파일을 위장하여 유포되고 있으며, 바로가기 형태로 유포되고 있어 일반 사용자들은 악성파일인지 판단하기 어렵습니다. [그림 1] 악성 바로가기 화면 이러한 바로가기 형태의 악성코드들은 이미지 파일이나 문서 파일을 위장하고 있지만, 실제로 해당 바로가기를 클..

악성코드 분석 리포트 2018. 10. 22. 16:22

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내 유명 사이버 학습원에서 CK VIP Exploit을 통한 KRBanker 악성코드 유포가 확인되어 주의를 당부 드립니다. 악성코드가 유포되는 사이트는 정상적인 스크립트 파일 내부에 악성 스크립트를 삽입하여 악성 URL로 연결 시키고 있습니다. [그림 1] 해당 사이트에 삽입 된 악성 스크립트 코드 화면 취약한 윈도우 및 소프트웨어를 사용 중인 사용자가 해당 사이트를 방문 할 경우 Drive By Download 기법에 의해 악성코드가 다운로드 및 실행 될 수 있습니다. 이스트시큐리티 악성코드 위협 대응 솔루션 Threat Inside(쓰렛인사이드)에 분석 된 데이터에 의하면 2018년 10월 19일 09시에 해당 사이트에서 최초 악성코드가..

악성코드 분석 리포트 2018. 10. 19. 18:01