파이어아이의 취약점 통해 공격자들이 멀웨어 파일을 화이트리스트에 추가해FireEye flaw enabled attackers to whitelist malware files 보안 연구원들이 파이어아이 분석 엔진에 멀웨어가 화이트리스트로 등록되도록 하는 취약점을 발견하였습니다. Blue Frost Security의 연구원에 따르면, 이 취약점은 공격자가 “윈도우에서의 FireEye의 가상 동적 분석을 완벽히 우회하며, 내부 화이트리스트에 임의의 바이너리를 추가하여 하루가 지나서 화이트 리스트의 항목이 모두 삭제되기 전까지 분석을 건너뛰도록” 허용 한다고 하였습니다. 연구원들은 이 바이너리들이 가상실행엔진(VXE)으로 분석된다고 말했습니다. 가상머신안에 멀웨어를 넣어둡니다. 하지만 분석을 시작하기 전 이 바..

국내외 보안동향 2016. 2. 19. 14:19

2월 18일, 중국에서 Apple Pay 정식서비스 시작 2016년 2월 18일 새벽 5:00부터 Apple Pay 중국에서 정식으로 서비스를 시작하였습니다. Apple Pay를 지원하는 중국 은행들은 아래와 같습니다. 工行、农行、建行、中行、交行、邮储、招行、兴业、中信、民生、平安、光大、华夏、浦发、广发、北京银行、宁波银行、上海银行,广州银行 위 19개 은행들은 Apple Pay를 지원하는 직불카드와 신용카드를 발행하였습니다. 이것들은 Apple Pay와 관련된 것들로 새로운 결제서비스를 이용할 수 있습니다. 이로서 중국은 세계에서 5번째로, 아시아에서는 첫번째로 Apple Pay 서비스를 시작한 국가가 되었습니다. Apple Pay는 지문인식기술인 Touch ID를 통하여 안전하게 로그인 할 수 있으며, 이 서..

국내외 보안동향 2016. 2. 19. 13:49

Dridex 제작자들이 만든 최신 Locky 랜섬웨어, 워드 doc 파일로 위장Locky ransomware, disguised in Word docs, latest from Dridex creators Locky라는 이름을 가진 랜섬웨어가 새로 발견되었습니다. 이 랜섬웨어는 Dridex 개발자들이 만든것으로 추정됩니다. (▶ Dridex 악성코드 분석보고서 보러가기) 이 랜섬웨어는 보통 이메일로 전파되며, 이 랜섬웨어가 포함된 MS워드파일은 대부분의 안티바이러스를 우회할 수 있는것으로 나타났습니다. 현재는 대부분의 안티 바이러스 제품들에서 탐지가 되지만, 최초 유포된 후 24시간 동안은 단 3개의 안티바이러스 제품들만이 탐지한 것으로 확인되었습니다. 이 랜섬웨어는 소셜 엔지니어링 기법을 두번 사용하는데..

국내외 보안동향 2016. 2. 18. 17:24

CVE-2015-7547: glibc getaddrinfo 스택 버퍼 오버플로우 취약점 최근 구글 엔지니어가 특정 호스트에 연결을 시도할 때 마다 SSH 클라이언트에서 segfault가 발생한다는 사실을 알아냈습니다. 이에 대해 추가로 조사를 진행하던 중, 문제는 SSH가 아니라 glibc에 존재한다는 사실을 발견하였다고 합니다.연구 끝에 구글은 이 이슈가 원격 코드 실행으로도 이어질 수 있다고 결정내렸습니다. glibc란?GNU C Library의 약자로, C언어로 작성한 프로그램이 동작하기 위해 필요한 C 표준 라이브러리의 한종류입니다. GNU프로젝트의 일환으로 만들어졌으며, GNU시스템과 리눅스에서 많이 사용됩니다. 이슈 요약 초기 연구를 통해 구글은 해당 이슈가 모든 버전의 glibc 2.9 이상..

국내외 보안동향 2016. 2. 17. 14:20

기기를 루팅시키고, 모든 것을 지워버릴 수 있는 안드로이드 멀웨어 등장This Android Malware Can Root Your Device And Erase Everything 스마트폰의 루트 권한을 얻어 폰 저장공간을 완전히 지워버릴 수 있는 안드로이드 멀웨어가 발견되었습니다. Mazar BOT 이라 명명 된 이 멀웨어는 수 많은 숨겨진 기능들을 가지고 있으며, 스마트폰을 해커 봇넷의 좀비로 만들 수도 있다고 경고하였습니다. Mazar은 악성 APK의 다운로드 링크가 포함된 스팸문자를 통하여 유포됩니다. 사용자가 이 링크를 클릭하면 안드로이드 기기에 APK가 다운로드 되며, 실행되면 새로운 어플리케이션을 설치하라는 창을 띄웁니다. 이때 새로운 어플리케이션의 이름은 MMS Messaging 이며 관..

국내외 보안동향 2016. 2. 17. 09:00

Hydracrypt, Umbrecrypt 랜섬웨어로 암호화 된 파일 복호화 툴 공개Here's How to Decrypt Hydracrypt & Umbrecrypt Ransomware Files Angler Exploit Kit을 통해 배포되는 새로운 랜섬웨어인 Hydracrypt와 Umbrecrypt의 복호화 툴이 나왔습니다. 이 랜섬웨어들은 둘 다 CrypBoss 랜섬웨어 패밀리에 속하며, 지난 해 CrypBoss 랜섬웨어의 소스코드가 Pastebin에 유출됨에 따라, Fabian Wosar보안연구원이 이를 분석하여 암호화 알고리즘을 해킹하는데 성공하였고, CrypBoss와 그의 변종인 Hydracrypt와 Umbrecrypt를 위한 복호화 툴을 만들었습니다. HydraCrypt와 UmbreCrypt..

국내외 보안동향 2016. 2. 15. 14:32

TLS 1.2 다운그레이드를 할 수 있는 SLOTH공격 (CVE-2015-7575) 공격자가 강제적으로 해쉬 알고리즘을 다운그레이드 할 수 있으며, TLS, IKE, SSH프로토콜의 충돌을 일으킬 수 있는 SLOTH 공격이 발견되었습니다. SLOTH 공격이란? Security Losses from Obsolete and Truncated Transcript Hashes의 약자로 인터넷 프로토콜상에서의 불완전하고 취약한 서명 해쉬가 문제가 되어 발생하는 보안손실을 말합니다. 예를 들어 MD5 서명은 2005년부터 암호학적으로는 파손된 것으로 알려져 있으나, 이는 표준 데스크탑 워크스테이션에 충돌공격이 실제로도 가능한 지금까지도 TLS에 사용되고 있습니다. TLS 1.2 클라이언트나 서버가 RSA-MD5 서..

국내외 보안동향 2016. 2. 15. 09:24

써드파티 앱 스토어에서 안드로이드 루팅 멀웨어 발견User Beware: Rooting Malware Found in 3rd Party App Stores 써드파티 앱 스토어 일부에서 악성 앱들이 발견되었습니다. 이 악성앱들은 인기있는 모바일 게임, 보안앱, 카메라 앱, 음악 스트리밍 앱 등으로 위장하여 다운로드 수를 높혔습니다. 또한 이 악성앱들 중 ANDROIDOS_LIBSKIN.A 악성코드가 포함되어 있는 앱들은 기기를 루팅할 수 있는 것으로 나타났습니다. 이 앱들은 사용자 기기에 사용자 모르게 다른 앱들을 내려받으며, 다른 앱들을 다운로드 하도록 유도하는 광고 창등을 띄우며, 사용자 데이터를 수집하여 공격자에게 전송하기도 합니다. 현재까지 ANDROIDOS_LIBSKIN.A로 탐지된 악성 apk는..

국내외 보안동향 2016. 2. 12. 13:50