Nethammer—Exploiting DRAM Rowhammer Bug Through Network Requests 지난 주, Throwhammer라 명명 된 첫 번째 네트워크 기반의 원격 Rowhammer 공격인 Throwhammer에 대해 설명한 바 있습니다. 이는 원격 직접 메모리 접근 (RDMA) 채널을 이용해 네트워크 카드를 통해 DRAM에 존재하는 알려진 취약점을 악용합니다. 그리고 지금, 또 다른 연구팀이 네트워크 요청을 처리하는 도중에 캐싱 되지 않은 메모리나 flush instruction을 이용해 시스템을 공격하는데 사용될 수 있는 두 번째 네트워크 기반의 원격 Rowhammer 기술을 발견했습니다. Rowhammer는 최신 세대의 DRAM 칩에 존재하는 심각한 문제로, 반복적으로 메모..

국내외 보안동향 2018. 5. 18. 16:34

[5월 셋째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] [CJ대한통운]고수영4월18일 택배 안됨배송 주소오류 변경요망2 [Web발신] 예식시간:2018.5.26 오전 11시10분 예식장 오시는길 출처 : 알약M기간 : 2018년 5월 12일 ~ 5월 18일

안전한 PC&모바일 세상/스미싱 알림 2018. 5. 18. 15:49

New Bip Dharma Ransomware Variant Released 금일, 한 연구원이 Crysis/Dharma 랜섬웨어의 새로운 변종으로 보이는 악성코드를 Id-Ransomware 사이트에 업로드했습니다. 이후 또 다른 연구원이 이것이 새로운 Dharma 변종인지 알아보기 위해 몇가지 샘플들을 찾았습니다. 이 새로운 버전은 파일을 암호화한 후 .Bip 확장자를 붙입니다. 이 변종이 현재 배포 되고 있는 중인지는 확인하지 못했으나, 과거의 Dharma 랜섬웨어는 보통 원격 데스크탑 서비스를 해킹해 수동으로 설치 되었습니다. Bip 랜섬웨어 변종이 설치 되면, 이는 데이터 파일을 찾아 암호화 하기 위해 컴퓨터를 스캔할 것입니다. 파일을 암호화 후 .id-[id].[email].bip와 같은 형식으..

국내외 보안동향 2018. 5. 18. 14:40

최근 보안 연구원들은 해커들이 DDoS 보안장비를 우회하기 위해 새로운 공격 수단, 즉 UPnP 프로토콜을 이용한다는 점을 확인하였습니다. 어떻게 UPnP( Universal Plug and Play ) 프로토콜을 이용하나? 문제는 UPnP 프로토콜에 있습니다. UPnP 프로토콜은 홈 네트워크에 있는 네트워크 장치들이 서로 연동될 수 있도록 하는 범용 표준 프로토콜로, 네트워크에 연결될 수 있는 정보들을 홈 네트워크로 전달, 즉 연결 정보를 홈 네트워크에 매핑 시켜주는 기능을 갖고 있습니다. 이 기능은 NAT를 우회할 때 사용될 수도 있으며, 네트워크 관리자들이 원격에서 내부망의 서비스에 접근할 때 사용되기도 합니다. 그러나 Imperva 연구자들은 "실제로 제공된 내부 IP가 실제로 내부적이며 모든 전..

국내외 보안동향 2018. 5. 17. 11:19

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 HTML 피싱 파일이 첨부된 악성 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 악성 메일은 포장 명세서 확인 내용으로 위장하였으며, 실제 국내에서 운영 중인 중소기업 이름이 사용되었습니다. [그림 1] 포장 명세서 위장 악성 메일 또한 이메일 헤더 중 bcc(숨김 참조)에 다수의 수신 참조자가 있고, 모두 동일한 메일 서비스를 사용하고 있습니다. [그림 2] 포장 명세서 위장 악성 메일 첨부된 파일 'PACKING LIST.html'은 포장 속 내용 정보 목록이 아닌 국내 포털 사이트의 아이디 및 비밀번호를 입력하도록 유도하는 HTML 파일입니다. 만일 이용자가 열람을 위해 첨부 파일을 실행할 경우 '세션하시기 바랍니다 다시 ..

악성코드 분석 리포트 2018. 5. 16. 16:28

해당 취약점은 '인텔(Intel)' CPU 아키텍처 상에서 동작하는 하드웨어 디버그 예외를 예상하지 못하는 새로운 취약점 입니다. 이 취약점은 OS나 KVM 등에서 예외 조건에 대해 부적절한 점검이나 처리로 인해 발생하며, 해당 취약점을 악용하면 공격자는 메모리 정보에 마음대로 접속, 시스템 충돌 혹은 권한 상승을 가능하게 합니다. 더 자세한 내용은 여기에서 참고하실 수 있습니다. 취약점 번호 CVE-2018-8897CVE-2018-1087 영향받는 범위 Windows/MacOS/FreeBSD/Linux등의 커널유명 OS 및 KVM/Xen 가상화 시스템 패치방법 Red Hat：https://access.redhat.com/security/vulnerabilities/pop_ssUbuntu：https://..

국내외 보안동향 2018. 5. 16. 15:53

Red Hat Linux DHCP Client Found Vulnerable to Command Injection Attacks 구글의 보안 연구원이 Red Hat 리눅스 및 Fedora와 같은 파생 제품의 DHCP 클라이언트에서 치명적인 원격 명령 주입 취약점을 발견했습니다. CVE-2018-1111로 등록 된 이 취약점은 공격자들이 타겟 시스템에서 루트 권한으로 임의의 명령을 실행시킬 수 있도록 허용합니다. 사용자의 시스템이 네트워크에 조인할 때 마다, 사용자의 시스템이 DHCP(Dynamic Host Control Protocol) 서버로부터 IP 주소 및 DNS 서버와 같은 네트워크 구성 파라미터를 자동으로 받을 수 있도록 하는 것이 DHCP 클라이언트입니다. 이 취약점은 DHCP 클라이언트 패키..

국내외 보안동향 2018. 5. 16. 13:22

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 과거에 보고된 바 있었던 CryptON(크립트온) 랜섬웨어 변종이 최근 다시 발견되고 있어 사용자들의 주의를 당부드립니다. 해당 랜섬웨어에 구글 지메일 계정(account-gmail.net)으로 위장한 도메일을 통해 유포되고 있으며, 감염되면 %appdata% 폴더 아래에 “사용자 계정” 이름으로 폴더를 생성하고, “사용자계정_body.exe” 이름의 악성코드를 드롭하는 특징이 있습니다. [그림 1] 사용자계정_body.exe 파일 생성 암호화 대상을 확인하기 전 러시아어를 사용하는 환경인지 확인을 합니다. 러시아어 환경의 기기에서는 암호화를 진행하지 않고, 프로세스를 종료합니다. (RU - 러시아, KZ - 카자흐스탄, BY - 벨라루스, ..

악성코드 분석 리포트 2018. 5. 15. 18:37