Apache Struts 웹 어플리케이션 프레임워크에서 원격의 공격자가 영향을 받는 서버에서 악성 코드를 실행할 수 있도록 허용하는 치명적인 원격 코드 실행 취약점이 발견되었습니다. 이 취약점은 Struts가 신뢰할 수 업슨 출처의 데이터를 처리하는 방식에 존재하며, Struts REST 플러그인이 deserializing 하는 동안 XML 페이로드를 처리하지 못하기 때문에 발생합니다. 취약점 번호 CVE-2017-9805S2-052 영향받는 버전 Struts 2.5 – Struts 2.5.12 버전, 2.3.33 버전 포함 PoC 공개되지 않음 임시해결방안 1) Struts 2.5.13버전으로 업그레이드2) 사용하지 않는 Struts REST 플러그인 삭제, 혹은 서버 페이지 및 JSONs에서만 사용하..

국내외 보안동향 2017. 9. 6. 15:40

USB Malware Implicated in Fileless Attacks 8월 초, 수 많은 정식 기능들을 악용한 스크립트인 JS_POWMET.DE를 사용해 파일이 없는 형태로 타겟 시스템에 설치 되는 백도어(BKDR_ANDROM.ETIN)에 대해 연구를 진행한 적이 있었습니다. 그 때는 어떤 방식을 통하여 타겟 기기를 감염시켰는지 알아낼 수 없었습니다. 아마 사용자가 악성코드를 다운로드 했거나 다른 악성코드가 해당 악성코드를 드랍한 것으로 추측하였습니다. 그리고 최근, 해당 백도어가 어떤 방식으로 설치되었는지 알아낼 수 있었습니다. 이는 다운로드 된 것도, 드랍된 것도 아니였으며 USB 플래시 디스크를 통해 전달된것이였습니다. 기술적 세부 사항 이 USB 플래시 디스크는 아래 두 개의 악성 파일들을..

국내외 보안동향 2017. 9. 6. 11:06

US Government website was hosting a JavaScript downloader delivering Cerber ransomware 보안 연구원들이 지난 주 미국 정부 웹사이트가 Cerber 랜섬웨어를 배포하는데 사용 된 JavaScript를 호스팅한 것을 발견했습니다. 연구원들은 “미 정부의 웹사이트에서 호스팅 된 JavaScript 멀웨어는 C&C 서버에 연결하는 powershell을 실행했다.”고 밝혔습니다. 이 웹사이트는 난독화 된 PowerShell을 포함한 JavaScript가 들어있는 .zip 압축 파일을 호스팅 했습니다. 이 PowerShell은 Cerber 실행파일인 gif 파일을 다운로드 합니다. 이 다운로더는 지난 수요일 발견 되었으며, 몇 시간 내에 악성 코드..

국내외 보안동향 2017. 9. 5. 10:14

[8월 다섯째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'와 '다수 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 1. 특이 문자 No.문자 내용 1 ^^ 당신 ^은 뉴 ^스에 나 ^왔 ^어요! 빨 ^리 ^와보세 ^요2 나는 당신께 사진 한장: 를 보냈습니다 2. 다수 문자 No.문자 내용 1 ^^ 빨^리 가^봐^봐 여기 왜 니 ^사진 ^있지? 2 [Web발신] 주소지확인 출처 : 알약 안드로이드기간 : 2017년 8월 26일 ~ 9월 1일

안전한 PC&모바일 세상/스미싱 알림 2017. 9. 1. 09:17

Using LabVIEW? Unpatched Flaw Allows Hackers to Hijack Your Computer 만약 기술자이며 기계나 산업용 장비를 설계하기 위해 LabVIEW 소프트웨어를 사용하고 있다면, VI파일(Virtual Instrument)을 오픈할 때 매우 주의 해야겠습니다. 미국 회사인 National Instruments가 개발한 LabVIEW는 디자인 툴입니다. 이는 전 세계 수백 가지 분야에서 사용 되며, 기술자들에게 측정 또는 제어 시스템을 구축할 수 있는 단순한 환경을 제공합니다. 보안 연구원들은 LabVIEW 소프트웨어에서 공격자들이 타겟 컴퓨터에서 악성 코드를 실행하도록 허용해 시스템 전체를 제어할 수 있도록 허용하는 치명적인 취약점을 발견했습니다. CVE-2017..

국내외 보안동향 2017. 8. 30. 15:38

안녕하세요. 이스트시큐리티입니다. 악성 앱에 의해 스마트폰이 정상적으로 작동하지 않았던 경험, 혹시 있으신가요? 스마트폰이 모바일 랜섬웨어와 같은 악성 앱에 감염되게 된다면, 생활에 필요한 필수 앱 조차도 실행이 되지 않는 경우가 있는데요. 이럴 땐 어떻게 해야 할까요? 이런 경우를 대비해서 안드로이드 기반의 스마트폰에는 '안전모드'라는 기능이 있습니다! 오늘은 알약맨이 안드로이드 스마트폰의 안전모드는 무엇이고, 어떻게 접근할 수 있는지에 대한 꿀팁! 을 준비했으니, 꼭 기억해 주시기 바랍니다~! 안전모드란? 먼저 안전모드란, 시스템을 구동하는데 필요한 최소한의 구성으로만 부팅하는 것을 의미하는데요. 즉, 스마트폰이 악성 앱이나 기타 다른 상황에 의해 정상적으로 작동하지 않을 때, 기본 기능을 제외한 다..

안전한 PC&모바일 세상/PC&모바일 TIP 2017. 8. 30. 11:02

안녕하세요. 이스트시큐리티입니다. 지난 7월경 Google Play Store 에 바탕화면 이미지를 제공하는 앱으로 위장하여 화면 잠금 기능을 수행하는 악성앱이 업로드 되었고, 약 5,000회에서 10,000회 사이 가량의 다운로드가 이루어졌습니다. 악성앱이 실행되면 다양한 바탕화면 이미지를 제공해주는 정상 앱을 보여줍니다. 하지만 기기 재부팅 시 화면 잠금 행위를 수행하는 리시버가 실행이 되고, 이용자에게 기기에 저장된 사진 및 연락처 등의 유출된 자료를 삭제하는 대가로 50달러 혹은 0.05 비트코인에 해당되는 금전을 지불하도록 유도하는 화면을 띄웁니다. 이번 보고서에서는 'Trojan.Android.SLocker' 악성앱을 상세 분석하고자 합니다. 악성코드 상세 분석 본 악성 앱은 Google Pl..

악성코드 분석 리포트 2017. 8. 30. 11:01

WireX DDoS Botnet: An Army of Thousands of Hacked Android SmartPhones 공식 앱스토어에서 앱을 내려받아도 이제 더 이상 안전하다고 생각하면 안되겠습니다. 최근 여러 보안업체의 보안연구원들이 해킹 된 안드로이드 스마트폰 수만대로 이루어진 새로운 봇넷을 발견하였습니다. WireX라 명명 되고 “Android Clicker”라 탐지 되는 이 봇넷은 주로 구글 플레이 스토어를 통해 설치된 수백개의 악성코드들이 포함되어 있었습니다. 또한 이는 대규모의 어플리케이션 레이어의 DDoS 공격을 실행하도록 설계 되었습니다. Akamai, CloudFlare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru 등의 보안 및 인터..

국내외 보안동향 2017. 8. 29. 16:00