Fileless cryptocurrency miner CoinMiner uses NSA EternalBlue exploit to spread 새로운 파일리스 채굴기인 CoinMiner가 발견 되었습니다. 이는 확산을 위해 NSA의 EternalBlue 익스플로잇과 WMI 툴을 사용하는 것으로 나타났습니다. CoinMiner는 감염 된 시스템에서 명령어를 실행하기 위해 WMI(Windows Management Instrumentation) 툴킷을 이용하는 파일리스 악성코드입니다. 보안전문가는 “이 공격은 지속성 확보를 위해 WMI를 사용한다. 특히, 스크립트 실행을 위해 WMI Standard Event Consumer 스크립팅 프로그램 (scrcons.exe)를 사용한다. 시스템에 침투하기 위해, 악성코..

국내외 보안동향 2017. 8. 23. 16:07

ANDROID SPYWARE LINKED TO CHINESE SDK FORCES GOOGLE TO BOOT 500 APPS 최근 구글플레이에서 500개의 앱들이 삭제되었는데, 그 앱들 안에는 사용자 몰래 스파이웨어를 설치할 수 있는 광고 SDK가 내장되 있었습니다. lgexin이라 명명 된 이 광고 SDK는 중국 회사가 개발했으며, 기기에서 로그를 추출할 수 있는 악성코드를 설치하는데 사용되었을 수 있습니다. 보안 연구원들은 지난 월요일 lgexin SDK를 포함한 500개 이상의 안드로이드 앱들이 1억 회 이상 다운로드 되었다고 밝혔습니다. 하지만 이 모든 앱들이 스파이웨어에 감염 된 것은 아니라고 말했습니다. 5천만 ~ 1억회 이상 다운로드 된 앱은 10대들을 위해 개발 된 게임 앱이며, lgexin..

국내외 보안동향 2017. 8. 23. 15:12

해커들은 DNS 프로토콜을 이용하여 호스트 정보를 전달하며, 서버에서 명령어를 내려받습니다. 이렇게 DNS 프로토콜을 악용하여 통신하는 기술을 DNS Tunneling이라고 부릅니다. DNS 특징 이 세상에는 많은 도메인들이 존재하며 그 변화 속도도 매우 빠르기 때문에, 적은양의 서버로는 수많은 요청에 응답할 수 없습니다. 그렇기 때문에, 지금의 DNS 체계는 분산식으로 구성되어 있으며, 데이터들을 각기 다른 서버에 분산 저장합니다. 분산형 DNS는 다음과 같은 특징을 가지고 있습니다. 1) 클라이언트는 일반적으로 1~2개의 DNS 서버를 할당받으며, 해당 서버들 중에서 모든 DNS 쿼리 결과를 얻을 수 있기 때문에 다른 DNS 서버들과 통신을 할 필요가 없습니다. 이러한 DNS 서버를 DNS resol..

국내외 보안동향 2017. 8. 22. 16:51

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내 애드웨어 서버의 업데이트 파일을 은밀히 변조(해킹)해 지속적으로 최신 파밍 악성코드가 유포 중인 것이 시큐리티대응센터 보안관제 중 포착되었습니다. 특히나 해당 애드웨어의 경우 정상 프로그램과 함께 제휴 프로그램을 함께 설치하는 형태로 배포하고 있어 부지불식간에 이용자 피해가 발생할 수 있어 주의가 필요합니다. [그림 1] 특정 제휴 프로그램 다운로더 화면 이번 애드웨어 업데이트 파일 변조 역시 지난 ‘게임 최적화 프로그램’ 사례와 마찬가지로 업데이트 서버내에 존재하는 URL 값을 파밍 악성코드로 변경하였습니다. [그림 2] 애드웨어 업데이트 웹 페이지에서 URL 명령 값 변조 따라서 이용자가 다운로더를 통해 설치를 진행할 경우 은밀하게 파..

악성코드 분석 리포트 2017. 8. 22. 14:44

Warning: Enigma Hacked; Over $470,000 in Ethereum Stolen So Far 이더리움이 또한번 도난을 당했습니다. 가상화폐 거래소인 Enigma는 익명의 해커그룹의 공격을 받아 47.1만달러 상당의 이더리움을 도난당했습니다. Enigma는 공식 홈페이지를 통하여 '익명의 누군가'가 자신들의 웹페이지, slack 계정 및 이메일 뉴스레터 계정을 해킹하고, 가짜 ETH 주소를 포함한 pre-sale 페이지를 추가하여 돈을 보내도록 유도하였습니다. 또한 해커들은 가짜 주소가 포함된 Enigma's 뉴스레터와 pre-sale 코인을 위한 slack 계정을 사용자들에게 전송하여 피해자들이 자신들의 가상화폐를 해커의 지갑 주소로 보내도록 유도하였습니다. Etherscan이 확인..

국내외 보안동향 2017. 8. 22. 13:59

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 해외에서 스테가노그래피(Steganography) 기술을 이용한 랜섬웨어 유포 수법이 등장했습니다. 스테가노그래피란 이미지 파일 등에 또 다른 데이터를 은밀히 숨기는 기술을 의미합니다. 이번에 발견된 랜섬웨어는 이메일에 'Windows 스크립트 파일(.wsf)' 형식의 악성 스크립트 파일을 첨부해 전파되었습니다. 해당 스크립트는 내부 명령어에 의해 3개의 URL 주소로 접속해 'arrival.jpg', 'X8IOl.jpg' 등의 이미지 파일을 다운로드합니다. 실제 해당 파일은 다음과 같은 이미지 화면을 보여줍니다. [그림 1] 이미지 파일로 위장한 스테가노그래피 기법의 악성파일 - image.***.co/mxRqXF/arrival.jpg-..

악성코드 분석 리포트 2017. 8. 21. 21:39

최근, 오스트리아 보안연구원들이 USB를 이용하여 또 다른 USB 포트의 데이터를 모니터링 할 수 있는 방법을 발견하였습니다. 이 모니터링 툴은 인접해있는 포트의 전기 신호를 탈취할 수 있어, 이러한 방법을 통하여 해커들이 민감 데이터를 탈취할 수 있습니다. 이러한 기술을 "channel-to-channel crosstalk leakage"라고 명명하였습니다. "crosstalk"은 전기학에서 두개의 서로다른 통신 회선의 전기 신호가 전자기적으로 결합하는 현상을 뜻합니다. 이러한 현상은 물리적으로 가까운 거리에 위치하는 경우 더 쉽게 발생하게 됩니다. 그리고 보안연구원들은 USB 디바이스를 통하여 근접해 있는 USB 포트의 데이터를 탈취할 수 있는 방법을 발견하였습니다. "전류는 마치 수도관에 있는 물과..

국내외 보안동향 2017. 8. 21. 16:20

Android Trojan Now Targets Non-Banking Apps that Require Card Payments 최근 사용자들의 중요한 데이터를 탈취하고 파일을 암호화 하기 위한 랜섬웨어 기능을 추가한 모바일 뱅킹 악성코드가 우버와 다른 예약 앱들의 계정정보를 탈취하도록 수정되었습니다. 최근 보안연구원들은 안드로이드 뱅킹 악성코드인 Faketoken의 새로운 변종이 금융정보를 탈취하기 위하여, 감염된 기기의 전화를 녹음하고 택시 예약 앱의 맨 위에 오버레이 화면을 표시하는 것을 확인하였습니다. Faketoken.q라 명명 된 이 악성코드는 대량의 SMS 를 통해 유포되며, 사용자들에게 이미지 파일로 위장한 악성앱을 다운로드 받으라고 요구합니다. 악성앱이 다운로드 및 설치되면, 바로가기 아이..

국내외 보안동향 2017. 8. 21. 11:15