ネット銀行のID・パスワードが盗まれる被害が急増！ 「DreamBot」に感染させるメールが日本を標的に大量送信 최근 일본의 경찰청 사이버범죄부는 인터넷 악성코드 'DreamBot'의 감염피해가 10월 이후 급격히 증가하고 있다며 주의를 당부하였습니다. DreamBot에 감염되어 탈취 된 인터넷 뱅킹 계정들은 2017년 7월~9월에는 월 20건 정도였으나, 10월 이후 월 70건으로 증가했습니다. 일본사이버범죄대책센터(Japan Cybercrime Control Center： JC3)에 따르면, DreamBot 악성코드가 포함된 이메일이 일본을 타겟으로 대량 유포되고 있으며, 이로 인해 일본 내의 감염 피해가 확산되고 있다고 밝혔습니다. 악성 이메일은 실제 조직이나 서비스를 가장하고 있으며 악성 링크가 포함되어 있..

국내외 보안동향 2017. 12. 13. 13:59

안드로이드 앱은 반드시 개발자가 앱에 서명을 해야합니다. 또한 패키지가 업데이트 되면, 업데이트 된 패키지의 서명과 기존 app의 서명이 동일해야만 안드로이드 OS에서 정상적인 업데이트를 허용해 줍니다. 만약 app이 악의적인 의도를 가진 누군가에 의해 수정이 되고, 리패키징이 되어도, 공격자는 원래 개발자의 개인키를 갖고있지 않기 때문에, 리패키징한 앱의 서명과 기존의 앱의 서명이 일치하지 않게되며, 결국 안드로이드 OS는 해당 패키지의 업데이트를 차단하게 됩니다. 이러한 매커니즘을 통하여, 매 업데이트마다 원래의 개발자가 진행하는 업데이트 라는 것을 보증할 수 있습니다. 하지만, Google은 올해 4월 안드로이드 취약점을 공개하였는데, 해당 취약점을 악용하면 공격자가 원래 앱의 서명에 영향받지 않는..

국내외 보안동향 2017. 12. 12. 13:57

취약점 개요 "error state" 상태에서 SSL_read() 혹은 SSL_write() 함수를 호출할 때, "error state"메커니즘의 버그 때문에 원래의 의도대로 동작하지 않게 됩니다. 이 때문에 원래 데이터가 OpenSSL을 통해 데이터가 암/복호화 되어야 하는데, 더 이상 SSL/TLS 레이어에서 암/복호화 처리가 불가하게 됩니다. CVE 번호 CVE-2017-3737 취약점 원인 OpenSSL 라이브러리를 호출하는 응용 프로그램에 버그가 있습니다. 이 버그는, 헨드쉐이크 과정 중에서 이미 "fatal error"이 발생하였지만, bug로 인하여 SSL_read()/SSL_write()가 호출되는 것입니다. 해당 취약점은 2017년 11월 10일,David Benjamin（Google）에..

국내외 보안동향 2017. 12. 11. 15:49

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 특정 기업의 채용 구인 공고를 보고 연락한 내용처럼 위장한 해킹(스피어 피싱) 이메일이 국내에서 여럿 발견되고 있어 채용 및 구직관련 담당자 분들의 각별한 보안 주의가 필요합니다. ESRC에서는 이 공격자들이 기존 비너스락커 조직과는 다른 그룹으로 분류하고 있습니다. 보통 비너스락커 공격 그룹은 'EGG' 압축포맷을 주로 사용하는 반면, 이 공격자들은 'ALZ' 압축포맷을 활용하는 점이 다르며, 한국내 조직으로 분류되어 추적을 이어가고 있습니다. 한편, 공격자 추적을 위해 수사당국과도 긴밀하게 협력하고 있습니다. 공격자는 한글로 작성한 이메일에 마치 구직자 이름의 채용서류 파일처럼 만든 악성파일을 압축해 첨부하고 있습니다. [그림 1] 채..

악성코드 분석 리포트 2017. 12. 11. 14:04

최근 Satori 악성코드가 발견되었는데, 확인해본 결과 최근 12시간동안 이미 28만개의 각기 다른 IP로 활성화 되어 있는 것을 확인했습니다. 이는 Mirai 악성코드의 변종 이기도 합니다. Satori 변종과 Mirai는 다르다 Mirai의 Satori 변종은 지금까지 발견되었던 모든 Mirai 악성코드들은 다릅니다. 지금까지 발견된 Mirai 악성코드들은 IoT 디바이스들을 감염 시킨 후 telnet 스캐너 모듈을 내려받아 다른 Mirai에 감염된 호스트를 스캔합니다. 하지만 Satori는 이러한 스캐너를 사용하지 않으며, 두개의 exp를 사용하여 37215와 52869번 포트로 원격 접속을 시도합니다. 이러한 기능을 통해 Satori는 IoT 네트워크에서 웜처럼 자신이 스스로 자신을 전파시킬 수..

국내외 보안동향 2017. 12. 8. 16:29

안녕하세요. 이스트시큐리티입니다. '전국민 보안 업그레이드' 알약 탄생 10주년 기념으로 연이어 진행 중인 열 살 알약 이벤트, 재미있게 즐기고 계신가요? 이렇게 알약의 열 번째 생일을 축하하는 가운데, 이스트시큐리티에 또 하나의 기쁜 소식이 생겼습니다! 바로 '이스트시큐리티 페이스북 좋아요 3,000명 돌파' 소식인데요, 이런 좋은 일에 열 살 알약이 가만히 있을 수 있을까요? 열 살 알약이 기쁨에 겨워 준비한 이벤트 3탄 '열 살 알약을 순간 포착하라!' 이벤트를 아래에서 확인하고, 이스트시큐리티 페이스북을 통해 바로 참여해보세요! 참여 방법아래 링크를 확인하여 열 살 알약이 세 개의 숫자 0 가운데에 나란히 나타나는 순간을 캡처해주세요!▶ 동영상 확인하기 * 자세한 응모 방법은 위 링크로 연결되는 ..

이벤트 2017. 12. 8. 11:48

[12월 첫째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'와 '다수 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 1. 특이 문자 No.문자 내용 1 ^^ 빨^리 가^봐^봐 여기 왜 니 ^사진 ^있지?2 [Web발신] 오시는길 2. 다수 문자 No.문자 내용 1 [Web발신] [CJ대한통운]운송장번호[962***]배송주소 재확인.반송처리. 2 [Web발신] 예식일시:2017.12.9 오전10시 안내확인 출처 : 알약 안드로이드기간 : 2017년 12월 2일 ~ 12월 8일

안전한 PC&모바일 세상/스미싱 알림 2017. 12. 8. 09:42

CVE-2017-14377 해당 취약점은 RSA 인증 프록시 for Web for Apache Web Serber의 인증우회 취약점입니다. RSA 인증프록시가 UDP 모드로 구성된 경우, 해당 취약점에 영향을 받지 않습니다. 하지만 만약 TCP 모드로 설정되어 있는 경우, 원격에서 인증받지 않은 공격자가 특별히 조작된 패킷을 이용하여 인증오류 로직을 발생시켜 불법적으로 자산에 접근이 가능하게 됩니다. RSA 공식 홈페이지에서 패치를 진행하셔야 합니다. CVE-2017-14378 해당 취약점은 RSA 인증프록시의 SDK for C(버전 8.5 및 8.6)에 존재하며, 해당 SDK를 사용하는 모든 시스템이 영향을 받습니다. RSA 인증 프록시 API/SDK버전 8.5/8.6 for C가 에러를 처리하는 과정..

국내외 보안동향 2017. 12. 6. 10:15