최근 MS오피스 문서가 첨부된 이메일을 통해 Karo 랜섬웨어가 유포되고 있습니다. 초기 공격자는 피해자들에게 수천달러가 청구되었다며 첨부파일을 열도록 유도합니다. 공격자는 기업과 관련된 잘 알려진 이메일 서비스 이용 / 제목과 인사말에 수신자의 이름 넣기 / 큰 금액이지만 비현실적이지는 않은 금액 청구를 통해 사용자의 즉각적인 행동 유도하며 의심을 최소화 합니다. 첨부파일 Karo 이메일에 첨부된 오피스 문서 페이로드는 패스워드로 보호되고 있습니다. 악성 스팸에서 흔한일은 아니지만, 올해 초 몇몇 TrickBot 캠페인에도 패스워드로 보호된 오피스 문서를 이용한적이 있었습니다. 패스워드를 통해 보호하면 백신의 탐지를 보다 쉽게 우회할 수는 있을지 모르겠지만 널리 확산되지 못하기 때문에 감염율이 낮아집니..

국내외 보안동향 2017. 6. 30. 18:36

Your Linux Machine Can Be Hacked Remotely With Just A Malicious DNS Response 리눅스의 Init 프로세스 및 Systemd 프로세스에서 DNS 응답을 통해 원격으로 버퍼 오버플로우를 발생시켜 해커들이 타겟 머신에서 악성 코드를 실행할 수 있도록 허용하는 치명적인 취약점이 발견 되었습니다. 이 취약점은 CVE-2017-9445로 등록 되었으며, 로컬 프로그램들에 네트워크 명 resolution을 제공하는 ‘systemd-resolved’ DNS 응답 핸들러 컴포넌트의 ‘dns_packet_new’ 함수에 존재합니다. 보안 권고문에 따르면, 시스템이 공격자가 제어하는 DNS 서비스에서 호스트명을 검색하려고 시도할 때 특별히 제작 된 악성 DNS 응답..

국내외 보안동향 2017. 6. 30. 15:43

[6월 다섯째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'와 '다수 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 1. 특이 문자 No.문자 내용 1 [Web발신] 혼례참석해주셔서고맙습니다 혼례식포토보내드립니다 항상건강하세요^^2 [Web발신] 저희새인생의시작에귀한발걸음해주셔서감사합니다 포토보내드립니다 2. 다수 문자 No.문자 내용 1 저희두사람사랑의결실을이루려합니다 일시:7월3일 장소:뉴메리 2 [Web발신] 대한통운 미확인 물품이 존재합니다 확인 부탁드립니다 출처 : 알약 안드로이드기간 : 2017년 6월 24일 ~ 6월 30일

안전한 PC&모바일 세상/스미싱 알림 2017. 6. 30. 09:21

SharePoint에서 XSS 취약점(CVE-2017-8514)이 발견되었습니다. 이 취약점은 패키지 버전 및 온라인 버전에 모두 존재하며, 현재는 모두 패치가 완료되었습니다. PoC는 다음과 같습니다. http|https://?FollowSite=0&SiteName='-confirm(document.domain)-' 독일의 레드먼드매거진에 따르면, SharePoint와 OneDrive는 7.5만명이 넘는 고객이 사용중에 있으며, 1.6억명의 고객을 확보하고 있다고 합니다. SharePoint의 핵심기능은 바로 공유 기능인데, SharePoint가 제공하는 "Follow" 기능을 이용하여 손쉽게 다양한 정보들에 대한 업데이트 내역 확인이 가능합니다. 이때 SharePoint는 다음과 같은 POST req..

국내외 보안동향 2017. 6. 29. 15:50

Turns Out New Petya is Not a Ransomware, It’s a Destructive Wiper Malware 보안 전문가 Matt Suiche가 Petya로 알려진 악성코드를 분석한 결과, 랜섬웨어가 아닌 "와이퍼 악성코드"라는 사실을 발견했습니다. 또한 Petya가 요구하는 $300의 랜섬머니는 컴퓨터를 복원해주는 의도가 전혀 아닌 것으로 밝혀졌습니다. Petya, 랜섬웨어의 실수인가? 아니면 과도하게 똑똑한 탓인가? Petya는 일반적인 랜섬웨어들과는 달리, 대상 시스템의 파일을 하나씩 암호화하지 않습니다. 대신, Petya는 피해자의 컴퓨터를 재부팅하고 하드 드라이브의 마스터 파일 테이블(MFT)을 암호화 하고 마스터 부트 레코드(MBR)를 사용할 수 없는 상태로 만들어서 파..

국내외 보안동향 2017. 6. 29. 10:25

최초 감염 원인 우크라이나의 소프트웨어 벤더인 M.E.Doc가 27일 아침 “당사의 서버가 바이러스 공격을 받고 있다”는 공지를 발행했습니다. 하지만 몇 시간 후, Petya 랜섬웨어가 우크라이나 전체를 넘어 다른 국가에까지 퍼지기 시작하자 M.E.Doc은 페이스북에서 그들의 서버는 어떠한 악성코드도 퍼뜨리지 않았다고 부인하고 있습니다. 또한 CVE-2017-0199취약점이 포함된 doc 파일이 첨부된 이메일로도 유포 되고 있다는 주장도 있지만, 아직 입증되지는 않고 있습니다. 이 주장이 잠재적으로 사실일 가능성이 있지만, 우크라이나의 수 많은 공공 기관들을 감염시킨 원인은 아닌 것으로 보입니다. ▶ Petya랜섬웨어 대응방법 자세히 보러가기 Petya 랜섬웨어의 특징 Petya는 예전에 Petya라 불..

국내외 보안동향 2017. 6. 28. 15:13

▲ 부팅 화면에서 보여지는 페트야(PETYA) 랜섬웨어 결재 안내창 27일(현지시간)부터 유럽을 중심으로 급속히 확산되고 있는 ‘페트야(Petya) 랜섬웨어’가 워너크라이 랜섬웨어와 상당 부분 유사하며, 일부 진화된 특성으로 더욱 큰 피해도 가져올 수 있는 것으로 보입니다. 이에 사용자 주의를 당부 드립니다. 지난 5월 발생한 워너크라이 랜섬웨어 공격이 기존의 랜섬웨어와 비교해 매우 빠른 속도로 세계 각국에 확산된 이유로는 두 가지를 들 수 있습니다. 첫 번째로는 최초로 윈도 OS의 SMB 취약점을 활용한 점과 한 대의 PC가 감염되면, 인터넷에 연결되어있고 보안에 취약한 다른 PC를 무작위로 찾아내 감염 공격을 시도하여 마치 전염병과 같은 네트워크 웜(Worm)의 특성도 지니고 있었기 때문입니다. 현재..

이스트시큐리티 소식 2017. 6. 28. 13:08

안녕하세요. 이스트시큐리티입니다. SMB 취약점(MS17-010)을 이용한 PETYA 랜섬웨어가 유포되고 있습니다. 해당 취약점은 지난 5월, 전 세계적으로 큰 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어가 이용한 것과 동일합니다. 이번 Petya 랜섬웨어의 유포경로는 MeDoc이라는 SW 업데이트를 통한 것으로 추정되고 있습니다. MeDoc은 우크라이나 기업과 기관에서 주로 쓰이는 세무관련 회계프로그램으로, MeDoc 홈페이지에는 자신들의 서버가 공격을 당하고 있다는 공지글이 업로드 되었습니다(현재는 삭제됨). 또한 CVE-2017-0199취약점이 포함된 doc 파일이 첨부된 이메일로도 유포 되고 있는 것으로 추정됩니다. 현재까지 Petya랜섬웨어의 피해가 가장 심각한 국가는 우크라이나, 러시아..

국내외 보안동향 2017. 6. 28. 02:07