최근 새로운 형태의 파일리스 랜섬웨어인 Sorebrect가 발견되었습니다. 이 랜섬웨어는 악성코드를 타겟 시스템의 정상적인 svchost.exe에 인젝션 시킨 후 백신을 우회합니다. 전통적인 랜섬웨어와 다른것은, Sorebrect는 주로 기업의 서버와 클라이언트를 타겟으로 합니다. 또한 이 랜섬웨어는 동시에 로컬 및 네트워크 공유문서들을 암호화 시킵니다. 이 파일리스 랜섬웨어는 우선 관리자 계정을 무력화 시킨 후, MS의 Sysinternals PsExec의 명령어를 이용하여 파일을 암호화 시킵니다. 공격자가 RDP를 이용하여 디바이스에 Sorebreck 랜섬웨어를 감염시킬 수도 있지만, RDP와 비교하였을 때 PsExec는 더 간편합니다. PsExec는 공격자로 하여금 원격에서 명령어를 실행하고, 대화..

국내외 보안동향 2017. 6. 21. 12:58

Rufus malware used to empty ATMs running outdated OS in India 윈도우 XP를 사용하는 인도의 ATM들이 Rufus 악성코드의 공격을 받았습니다. 최근, 유럽의 여러 국가를 돌며 ATM기기에서 돈을 훔친 혐의로 27명의 사람들이 유로폴에 체포되었는데, 이들은 ATM을 타겟으로 한 악성코드를 유포하여 범죄를 저질렀습니다. 마지막으로 발견된 위협은 인도 ATM기기에서 발견된 Rufus 악성코드로, 인도당국은 이미 해당 악성코드를 이용한 다수의 공격을 발견하였습니다. Rufus 악성코드는 구 버전의 OS를 사용하는 ATM기기들을 공격대상으로 하며, 실제로 이미 감염된 ATM기기들은 여전히 서비스가 종료된 윈도우XP를 사용하고 있었습니다. 이 공격자들은 별도의 방범..

국내외 보안동향 2017. 6. 21. 10:29

DHS and FBI issue alert about North Korean 'Hidden Cobra' hackers 13일, 미국의 국토안보부(DHS)와 미국연방조사국(FBI) 연합은 DeltaCharlie 악성코드 패밀리에 대한 보고서를 발표하였습니다. 보고서에서는 이 악성코드 패밀리의 소유자(소위 Hidden Cobra조직)가 북한정부의 보호를 받고있다고 밝혔습니다. 지난 8년동안, 북한은 이 악성코드 패밀리를 이용하여 여러번의 DDoS 공격을 거행하였습니다. Hidden Cobra 조직은 2009년부터 활동을 하기 시작하였으며, 심지어 그보다 더 이른 2007년부터 사이버 스파잉 및 테러 활동에 참가한 것으로 추정되고 있습니다. 이번에 발표한 주의공지에서는 해당 조직과 관련된 정보와 DeltaCh..

국내외 보안동향 2017. 6. 20. 13:22

With this PHP rootkit you can take over a server hiding it in PHP server modules 최근 네덜란드의 한 개발자는, 공격자들이 PHP웹서버를 점령하는데 사용할 수 있는 PHP루트킷을 개발했습니다. 이 루트킷은 PHP 서버 모듈에 숨어 악성행위를 하게됩니다. 기존의 루트킷들은 OS의 가장 낮은 레벨에서 동작하며 악성행위를 위해 커널 작업 작업에 인터셉트하지만, 이번에 새로히 개발된 루트킷은 OS커널대신 PHP 인터프리터와 상호작용을 합니다. 루트킷을 PHP 모듈로 작성하면 접근성이 향상될 뿐만 아니라, Zend Engine을 사용하는 방법을 배우는 것은 커널 모듈을 쓰는 것을 배우는 것 보다 훨씬 쉬운 장점이 있습니다. 또한 코드베이스 자체가 작고..

국내외 보안동향 2017. 6. 20. 10:28

안녕하세요. 이스트시큐리티입니다. 보안 전문 블로그인 ‘알약 공식 블로그’와 '알약 공식 페이스북'을 대대적으로 개편했습니다! (와아 짝짝짝~) ※ 알약 공식 페이스북 (▶바로가기) 이번 블로그 개편은 이스트시큐리티가 지난 1월 이스트소프트의 통합 보안 자회사로 분사하며 확장된 영역의 보안 사업을 추진함에 따라, 사이버 보안과 관련된 폭넓고 전문적인 정보를 제공하고 소통하기 위해 진행되었습니다. 알약 블로그와 함께 알약 공식 페이스북의 프로필과 커버페이지도 새롭게 변경했습니다. 기존 알약 공식 블로그는 2014년 1월 처음 개설된 이후 만 3년 6개월 동안 약 300만 명이 방문하는 등 국내에서 가장 활성화된 보안 블로그 중 하나로 성장해왔습니다. 특히, 사이버 보안과 관련된 각종 정보를 일반인도 쉽고 ..

이스트시큐리티 소식 2017. 6. 20. 10:15

Wikileaks Unveils 'Cherry Blossom' — Wireless Hacking System Used by CIA Wikileaks는 Vault 7 시리즈의 일환으로 CIA가 Wi-Fi 장치의 취약점을 악용해 인터넷 활동을 모니터링하기 위해 사용한 프레임워크에 대해 자세히 설명했습니다. “Cherry Blossom”이라 명명 된 이 프레임워크는 ‘Cherry Bomb’ 프로젝트의 일환으로 CIA가 SRI International의 도움을 받아 설계한 것으로 추정 됩니다. Cherry Blossom은 라우터들 및 무선 AP 등을 포함한 무선 네트워킹 기기들을 위한 원격으로 제어 가능한 펌웨어 기반 임플란트입니다. 이는 승인 되지 않은 접근 권한을 얻어 펌웨어를 커스텀 Cherry Bloss..

국내외 보안동향 2017. 6. 19. 13:59

MS가 이번에 발표한 6월 정기보안패치에 현재 악용중인 2가지의 원격코드실행 취약점인 Windows Search 원격코드실행취약점(CVE-2017-8543)과 LNK 파일 원격코드실행취약점(CVE-2017-8464) 패치도 포함되었습니다. Windows Search 원격코드실행 취약점 윈도우 검색서비스(WSS)는 윈도우에서 기본적으로 활성화 되어있는 서비스입니다. 해당 서비스는 사용자들이 여러 Windows서비스와 클라이언트 사이에서 검색 기능을 제공해주는 서비스로, Windows검색이 메모리 중의 대상을 처리하는 과정에서 원격코드실행이 가능한 취약점입니다. 해당 취약점이 악용되려면, 공격자는 Windows Search서비스에 조작된 SMB 메세지를 전송하면 됩니다. CVE번호CVE-2017-8543 영..

국내외 보안동향 2017. 6. 19. 10:49

안녕하세요. 이스트시큐리티입니다. 최근 ‘최신영화 TV 다시보기’로 위장한 악성앱이 국내 포털 사이트의 블로그 서비스를 통해 유포되는 정황이 포착되어 이용자들의 주의를 당부 드립니다. [그림 1] 블로그 서비스를 통해 유포되는 악성앱 ‘무료TV.apk’는 ‘무료TV’라는 이름으로 설치가 이루어지며, ‘문자 메시지 수정 및 읽기, SMS 메시지 보내기’ 등의 TV 시청과 무관한 설치권한(Permission)을 요구하고 있습니다. [그림 2] 무료TV 설치 화면 이용자가 ‘무료TV’에 현혹되어 설치 및 실행을 하면 ‘TV다시 보기 사이트’를 웹뷰(Web-View)로 보여줍니다. 하지만 이는 이용자들을 안심시키기 위한 속임수이며, 실제로는 공격자 서버(C&C)로 감염 기기 내 저장된 수신된 메시지 정보 등을 ..

악성코드 분석 리포트 2017. 6. 15. 15:32