안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 여러분들도 잘 아시다시피 한국에서는 다양한 보안위협과 침해사고가 이어지고 있습니다. 이러한 사이버 위협에는 항상 배후가 존재하지만, 사이버 세상의 특성상 공격자와 거점을 특정하고 실체를 규명하는 것은 매우 어려운 일입니다. 하지만 어떠한 현상이나 사건에는 누구도 의식하지 못한 사이 특정 코드가 기록되거나, 평상시 습관에 의해 고유한 흔적을 남겨 결정적 증거나 단서로 사용됩니다. 사이버 공격자가 제작한 코드를 분석하거나 공격에 활용된 시스템, 네트워크, 사용 언어 등 다양한 환경과 프로세스를 분석해 공통점을 찾아가는 과정은 많은 시간과 노력이 필요하지요. ■ 공격자의 관심사와 공격의도를 고민하자! 각 분야별 침해 위협을 분석하고 대응하는 입장에서..

악성코드 분석 리포트 2017. 12. 15. 17:58

[12월 둘째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'와 '다수 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 1. 특이 문자 No.문자 내용 1 [Web발신] 예식일시:2017.12.16 오전10시 장소 2 저 결혼해요.^^ 예약일시:2017.12.23 2. 다수 문자 No.문자 내용 1 확인해주시길바랍니다 2 [Web발신] [CJ대한통운]운송장번호[845*26]주소지 미확인..반송처리 주소확인 출처 : 알약 안드로이드기간 : 2017년 12월 11일 ~ 12월 15일

안전한 PC&모바일 세상/스미싱 알림 2017. 12. 15. 15:28

안녕하세요. 이스트시큐리티입니다. '전국민 보안 업그레이드' 알약 탄생 10주년 기념 이벤트에 참여해주시는 여러분들 덕분에, 알약은 가슴 따뜻한♥ 생일파티를 즐기고 있습니다. 다음 이벤트는 과연 무엇일지 기다려 주시는 분들이 정말 많은데요. 지금 공개합니다! 두구두구두구~ 열 살 알약이 준비한 이벤트 4탄 '나의 특별한 알약 이야기'! 지난 10년간 알약과 함께하면서 있었던 소중하고도 특별한 이야기를 들려주세요~ 자세한 내용은 아래에서 확인하시고, 이스트시큐리티 페이스북을 통해 바로 참여해보세요! 참여 방법아래 링크를 확인하시고 '나의 특별한 알약 이야기'를 포스팅 댓글로 달아주세요!▶ 확인하기(클릭) * 자세한 응모 방법은 위 링크로 연결되는 포스팅 내용을 참고해 주세요. 응모 기간 및 당첨자 발표일2..

이벤트 2017. 12. 14. 11:28

BrickerBot Author Retires Claiming to Have Bricked over 10 Million IoT Devices BrickerBot 악성코드 제작자가 은퇴를 선언하며, 2016년 11월부터 지금까지 1000만대의 디바이스들을 감염시켰다고 주장하였습니다. ▶Brickerbot 악성코드, 당신의 IoT 기기들 노려 이 악성코드 제작자는 자신을 Doctor라 칭하며, Janit0r라는 닉네임으로 활동하였습니다. BrickerBot 악성코드는 올해 4월 처음 발견되었으며, 네트워크 상에서 취약한 IoT 디바이스들을 스캔하여 원격에서 익스플로잇 코드를 이용하여 플래시 메모리를 다시 작성 합니다. BrickerBot 악성코드에 감염된 디바이스들은 재설치 해야하며, 때로는 악성코드가 펌웨..

국내외 보안동향 2017. 12. 13. 15:53

ネット銀行のID・パスワードが盗まれる被害が急増！ 「DreamBot」に感染させるメールが日本を標的に大量送信 최근 일본의 경찰청 사이버범죄부는 인터넷 악성코드 'DreamBot'의 감염피해가 10월 이후 급격히 증가하고 있다며 주의를 당부하였습니다. DreamBot에 감염되어 탈취 된 인터넷 뱅킹 계정들은 2017년 7월~9월에는 월 20건 정도였으나, 10월 이후 월 70건으로 증가했습니다. 일본사이버범죄대책센터(Japan Cybercrime Control Center： JC3)에 따르면, DreamBot 악성코드가 포함된 이메일이 일본을 타겟으로 대량 유포되고 있으며, 이로 인해 일본 내의 감염 피해가 확산되고 있다고 밝혔습니다. 악성 이메일은 실제 조직이나 서비스를 가장하고 있으며 악성 링크가 포함되어 있..

국내외 보안동향 2017. 12. 13. 13:59

안드로이드 앱은 반드시 개발자가 앱에 서명을 해야합니다. 또한 패키지가 업데이트 되면, 업데이트 된 패키지의 서명과 기존 app의 서명이 동일해야만 안드로이드 OS에서 정상적인 업데이트를 허용해 줍니다. 만약 app이 악의적인 의도를 가진 누군가에 의해 수정이 되고, 리패키징이 되어도, 공격자는 원래 개발자의 개인키를 갖고있지 않기 때문에, 리패키징한 앱의 서명과 기존의 앱의 서명이 일치하지 않게되며, 결국 안드로이드 OS는 해당 패키지의 업데이트를 차단하게 됩니다. 이러한 매커니즘을 통하여, 매 업데이트마다 원래의 개발자가 진행하는 업데이트 라는 것을 보증할 수 있습니다. 하지만, Google은 올해 4월 안드로이드 취약점을 공개하였는데, 해당 취약점을 악용하면 공격자가 원래 앱의 서명에 영향받지 않는..

국내외 보안동향 2017. 12. 12. 13:57

취약점 개요 "error state" 상태에서 SSL_read() 혹은 SSL_write() 함수를 호출할 때, "error state"메커니즘의 버그 때문에 원래의 의도대로 동작하지 않게 됩니다. 이 때문에 원래 데이터가 OpenSSL을 통해 데이터가 암/복호화 되어야 하는데, 더 이상 SSL/TLS 레이어에서 암/복호화 처리가 불가하게 됩니다. CVE 번호 CVE-2017-3737 취약점 원인 OpenSSL 라이브러리를 호출하는 응용 프로그램에 버그가 있습니다. 이 버그는, 헨드쉐이크 과정 중에서 이미 "fatal error"이 발생하였지만, bug로 인하여 SSL_read()/SSL_write()가 호출되는 것입니다. 해당 취약점은 2017년 11월 10일,David Benjamin（Google）에..

국내외 보안동향 2017. 12. 11. 15:49

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 특정 기업의 채용 구인 공고를 보고 연락한 내용처럼 위장한 해킹(스피어 피싱) 이메일이 국내에서 여럿 발견되고 있어 채용 및 구직관련 담당자 분들의 각별한 보안 주의가 필요합니다. ESRC에서는 이 공격자들이 기존 비너스락커 조직과는 다른 그룹으로 분류하고 있습니다. 보통 비너스락커 공격 그룹은 'EGG' 압축포맷을 주로 사용하는 반면, 이 공격자들은 'ALZ' 압축포맷을 활용하는 점이 다르며, 한국내 조직으로 분류되어 추적을 이어가고 있습니다. 한편, 공격자 추적을 위해 수사당국과도 긴밀하게 협력하고 있습니다. 공격자는 한글로 작성한 이메일에 마치 구직자 이름의 채용서류 파일처럼 만든 악성파일을 압축해 첨부하고 있습니다. [그림 1] 채..

악성코드 분석 리포트 2017. 12. 11. 14:04