안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. "견적서.exe" 이메일로 유포되는 계정정보 전송 악성코드가 발견되어 사용자들의 주의를 당부 드립니다. 이번에 발견된 악성 메일은 ‘견적서 보내드립니다. 확인 부탁드립니다’는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 악성 메일 본문 악성 메일에 첨부된 파일 ‘견적서.rar’에는 ‘견적서.exe’ 실행 파일이 있습니다. [그림 2] 악성 메일에 첨부된 ‘견적서.rar’ 파일 ‘견적서.exe’ 파일은 유저 이름, 컴퓨터 이름, 운영체제 정보 등의 시스템 정보, 그리고 다양한 FTP 프로그램, 웹 브라우저에 저장된 계정 정보를 전송하는 기능을 수행합니다. [그림 3] 브라우저 정보 수집 코드 [그림 4] 시스템 정보 수집 코드 앞서 수..

악성코드 분석 리포트 2018. 3. 22. 14:44

AMD downplays CPU flaw discovery, says hackers would need admin rights anyway 얼마 전, 인텔의 '스펙터'와 유사한 보안취약점이 AMD에서도 발견되었으며, 최근, AMD측은 해당 취약점을 인정하였습니다. 하지만 이번에 발견된 취약점들을 악용하려면 관리자 접근권한이 필요하기 때문에 취약점들이 쉽게 악용되지 않을 것이라고 밝혔습니다. AMD는 “이 연구에서 제기 된 모든 이슈는 시스템 관리자 접근 권한이 필요합니다. 권한을 얻으면 사용자가 아무런 제한 없이 시스템에 접근할 수 있기 때문에 모든 폴더나 파일을 삭제, 생성, 수정하거나 세팅을 변경할 수 있게 됩니다. 승인 되지 않은 관리자 권한을 가진 공격자는 이 연구에서 다룬 익스플로잇보다 훨씬 광..

국내외 보안동향 2018. 3. 22. 13:27

Windows Remote Assistance Tool Can Be Used for Targeted Attacks 모든 윈도우 배포판에 포함 된 윈도우 원격 지원 툴이 타겟 공격에 악용될 수 있는 것으로 나타났습니다. 한 보안연구원이 2월 이 툴에서 취약점(CVE-2018-0878)을 발견해 마이크로소프트에 지난 10월 제보했습니다. 이 문제를 수정한 패치는 지난 주 공개 된 2018년 3월 ‘패치 화요일’에 포함 되었습니다. 데이터 추출에 이상적인 취약점 이 취약점은 공격자가 어떠한 파일이라도 피해자가 알지 못하는 상태에서 그의 컴퓨터에서 추출해낼 수 있도록 허용합니다. 때문에 이 취약점은 데이터를 추출하기에 완벽하며, 피해자의 컴퓨터에서 몰래 파일을 훔치는데 사용될 수 있습니다. 다행인 것은, 이 취..

국내외 보안동향 2018. 3. 21. 13:44

금융기관 앱을 사칭하여 기기정보 및 뱅킹 관련 정보들을 탈취하는 악성앱 변종이 지속적으로 확인되고 있습니다. 2013년 이후 그 수량이 감소하였지만 여전히 꾸준히 발견되고 있으며, 그 수법 또한 점점 정교해 지고 있습니다. 일단 이러한 악성앱에 감염되면 중요 금융정보들을 탈취당하여 큰 피해를 입을 수 있는 만큼 사용자들의 각별한 주의가 필요합니다. 기존 악성 뱅킹앱들은 은행들을 사칭하여 기기정보 및 뱅킹 관련 정보들을 사용자가 직접 기입하도록 유도하여 탈취 했습니다. 하지만 최근의 악성 뱅킹앱들은 사용자의 직접적인 행동 없이도 주소록, 문자 메세지를 몰래 탈취하고, 특정 대부업체로 전화를 걸면 이를 자동으로 가로채게 하여 공격자가 원하는 번호로 변경하는 행위를 하기 때문에 사용자가 알아차리기 어려워졌습니..

악성코드 분석 리포트 2018. 3. 21. 11:43

안녕하세요. 이스트시큐리티입니다. 최근 안드로이드 모바일 기기를 대상으로하는 스피어 피싱 공격이 나타났습니다. 포털 사이트 네이버의 개인정보 유출 방지와 관련된 메일을 전송하여 악성 앱을 설치하도록 유도합니다. 이 악성앱은 네이버 로고와 “Naver Defender”라는 앱명으로 네이버 백신을 사칭하며 주소록, 통화기록, 문자메시지 등의 민감한 정보들을 탈취합니다. 악성앱 분석 [그림 1] 서명 시간 및 파일 생성시간 2018년 03월 06일 최초 앱의 인증서 서명을 하였고, 이후 16일 최종 APK 파일을 수정하였습니다. [그림 2] 오픈소스 활용 안드로이드 수신, 발신 전화를 녹음할 수 있는 “github.com/aykuttasil” 오픈소스를 활용하여 악성행위를 목적으로 제작하였습니다. [그림 3]..

악성코드 분석 리포트 2018. 3. 20. 15:14

Facebook caught up in political data scandal; denies data breach 2016년 대통령 선거가 한창 진행 될 때 페이스북이 미국의 대통령인 도널드 트럼프와 관련 된 정치적 분석 기관인 Cambridge Analytica에 사용자 데이터를 공유했다는 진술에 따라, 미국과 유럽의 의원들이 페이스북에 설명을 요구했습니다. 이 데이터를 이용해 사용자들을 프로파일링해 트럼프가 대통령 선거에서 이길 수 있도록 도왔다는 것입니다. 사용자 데이터는 University of Cambridge 심리학 강사인 Dr.Aleksandr Kogan이 제작한 “thisisyourdailylife”라는 어플리케이션을 통해 수집 되었습니다. Kogan은 Global Science Rese..

국내외 보안동향 2018. 3. 20. 11:17

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 청첩장으로 위장한 스미싱 문자가 최근에도 발견이 되고 있어 이용자들의 주의를 당부드립니다. 이번에 발견된 스미싱 문자는 '[Web발신] 예식시간:2018.3.24 오전 11시 안내확인 '로 되어 있습니다. 만일 이용자가 지인의 결혼식 혹은 호기심에 의해 악성 URL 주소를 클릭할 경우 'iwedding.10883.v1.0.1.apk'이 다운로드 됩니다. [그림 1] 청첩장 위장 스미싱 문자 다운로드 된 악성앱 'iwedding.10883.v1.0.1.apk'은 '모바일웨딩청첩장'이라는 이름으로 위장되어 있으며, 설치가 완료되어 실행하면 감염이 진행됩니다. [그림 2] 청첩장 설치 화면의 일부 설치되어 실행되는 악성앱 '모바일웨딩청첩장'은 삭제를..

악성코드 분석 리포트 2018. 3. 20. 10:20

Warning – 3 Popular VPN Services Are Leaking Your IP Address 연구원들이 인기있는 VPN 서비스 3곳에서 사용자의 실제 IP 주소 및 중요 데이터를 유출할 수 있는 치명적인 취약점을 발견했습니다. VPN은 사용자의 데이터를 암호화 하고 보안을 강화시켜 사용자의 온라인 활동을 보호합니다. 또한 사용자의 실제 IP 주소를 숨기는데도 유용합니다. 일부는 온라인 익명과 데이터 보안을 위해 VPN을 사용하지만, 많은 사람들이 그들의 실제 IP 주소를 숨겨 온라인 검열을 우회하고 ISP에서 차단한 웹사이트에 접속하기 위해서 주로 사용합니다. 하지만 사용자의 프라이버시를 보호하고 있다고 생각하고 있던 VPN이 실제로는 사용자의 중요 데이터와 실제 위치를 유출하고 있다면 ..

국내외 보안동향 2018. 3. 19. 15:53