▲ 부팅 화면에서 보여지는 페트야(PETYA) 랜섬웨어 결재 안내창 27일(현지시간)부터 유럽을 중심으로 급속히 확산되고 있는 ‘페트야(Petya) 랜섬웨어’가 워너크라이 랜섬웨어와 상당 부분 유사하며, 일부 진화된 특성으로 더욱 큰 피해도 가져올 수 있는 것으로 보입니다. 이에 사용자 주의를 당부 드립니다. 지난 5월 발생한 워너크라이 랜섬웨어 공격이 기존의 랜섬웨어와 비교해 매우 빠른 속도로 세계 각국에 확산된 이유로는 두 가지를 들 수 있습니다. 첫 번째로는 최초로 윈도 OS의 SMB 취약점을 활용한 점과 한 대의 PC가 감염되면, 인터넷에 연결되어있고 보안에 취약한 다른 PC를 무작위로 찾아내 감염 공격을 시도하여 마치 전염병과 같은 네트워크 웜(Worm)의 특성도 지니고 있었기 때문입니다. 현재..

이스트시큐리티 소식 2017. 6. 28. 13:08

2017년 5월 12일, 전 세계적인 사이버 공격이 발생하여 크게 이슈가 되었습니다. 스스로를 워너크라이(WannaCry)라는 랜섬웨어로 칭하는 사이버 공격은 최신 제로데이를 이용하여 빠른 확산에 성공했습니다. 해외 보안 업체 시만텍은 랜섬웨어의 경우, 작년 한 해에만 매일 4,000건 이상의 공격이 있었다고 밝혔습니다. 이처럼 사이버 공격은 더욱 스마트해지며 그 파급력도 함께 커지고 있습니다. 워너크라이(WannaCry) 랜섬웨어는 전통적인 방식인 파일 암호화기능을 수행하지만, SMBv1 취약점과 전자메일을 이용한 방법이 추가된 형태입니다. SMBv1 제로 데이 공격은 445포트가 열려있을 경우 인터넷에 연결된 장치를 직접 공격할 수 있으며, 전자메일 피싱으로 악성코드가 실행되는 경우 로컬 망에서도 악..

전문가 기고 2017. 6. 27. 13:17

최근 FFmpeg의 HLS 재생목록 처리과정에서 로컬파일공개 가능한 취약점이 발견되었습니다. FFmpeg는 오디오 및 비디오 포멧파일들을 처리하는데 사용되는 오픈소스 소프트웨어 입니다. FFmpeg는 HLS 재생목록을 처리할 수 있으며, 알려진 재생목록은 외부 파일 호출을 포함하기도 합니다. 보안전문가는 avi파일 중의 GAB2자막모듈을 통해 FFmpeg의 이러한 특성 이용하면, XBIN codec을 통하여 비디오변환 웹사이트의 로컬파일들을 획득할 수 있다고 밝혔습니다. 또 다른 보안 전문가는 외부파일호출을 포함하는 HLS 재생목록을 이용하여 실제로 임의의 로컬파일을 읽어들이는 취약점을 재현해 내기도 했습니다. 이번에 발견된 취약점은 Google, Yahoo, Youtube등 대형 동영상 사이트 및 스트..

국내외 보안동향 2017. 6. 27. 13:03

MS가 이번에 발표한 6월 정기보안패치에 현재 악용중인 2가지의 원격코드실행 취약점인 Windows Search 원격코드실행취약점(CVE-2017-8543)과 LNK 파일 원격코드실행취약점(CVE-2017-8464) 패치도 포함되었습니다. Windows Search 원격코드실행 취약점 윈도우 검색서비스(WSS)는 윈도우에서 기본적으로 활성화 되어있는 서비스입니다. 해당 서비스는 사용자들이 여러 Windows서비스와 클라이언트 사이에서 검색 기능을 제공해주는 서비스로, Windows검색이 메모리 중의 대상을 처리하는 과정에서 원격코드실행이 가능한 취약점입니다. 해당 취약점이 악용되려면, 공격자는 Windows Search서비스에 조작된 SMB 메세지를 전송하면 됩니다. CVE번호CVE-2017-8543 영..

국내외 보안동향 2017. 6. 19. 10:49

일반적인 엔드포인트 영역의 사용자(End User, 이하 사용자)들은 보안에 대한 관심이 적은 편입니다. 언론 매체를 통해 위협적인 공격이나 치명적인 피해 사례를 꾸준히 보도해도, 그들 자신과는 상당히 거리가 먼 일이라고 생각합니다. 이러한 안이한 보안 의식은 엔드포인트 영역에서 미처 관리하지 못한 작은 구멍을 만들어 냅니다. 분명한 사실은, 그 작은 취약점으로 인해 전체적인 보안이 너무도 쉽게 무너질 수 있다는 것입니다. 이 사실은 이미 여러가지 침해 사고를 통해 증명된 부분이며, 지금 이 순간에도 그러한 사고가 발생하고 있을지 모릅니다. 공격자는 엔드포인트 보안의 열쇠를 노린다 엔드포인트 영역은 저마다의 강력한 자물쇠를 갖고 있으며, 사용자는 이에 대한 열쇠를 갖고 있습니다. 그 열쇠들이 잘 관리된다..

전문가 기고 2017. 6. 7. 10:56

SMB 취약점을 통해 유포되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어, 이용자 긴급 주의 2017년 5월 12일부터 미국, 중국 등 전세계 70여개 국 이상에서 워너크라이(WannaCry) 또는 워너크립터(WannaCryptor) 랜섬웨어에 감염되고 있습니다. 해당 랜섬웨어는 SMB 취약점을 통해 확산되고 있습니다. 이번에 사용된 SMB 취약점은 ‘Shadow Brokers’에서 공개한 일명 NSA 사이버무기인 ‘EternalBlue’입니다. 마이크로소프트(MS)는 이미 3월 14일경 MS17-010으로 취약점을 패치했으나, 아직 업데이트하지 않은 전세계 컴퓨터들이 감염 위험에 노출되고 있습니다. 이번 공격에 사용된 워너크라이(WannaCry)/워터크립터(WannaCry..

이스트시큐리티 소식 2017. 5. 13. 14:38

마이크로소프트, Windows 악성코드 스캐너의 치명적인 RCE 취약점 발견... 긴급 패치 발행해Microsoft Issues Emergency Patch For Critical RCE in Windows Malware Scanner 마이크로소프트의 자체 바이러스 백신 소프트웨어가 윈도우 7, 8.1, RT, 10, 서버 2016을 사용하는 컴퓨터를 더욱 위험하게 만든 것으로 확인되었습니다. 구글 프로젝트 제로 연구원은 마이크로소프트의 자체 안티바이러스 엔진인 Microsoft Malware Protection Engine(MMPE)에 치명적인 RCE취약점(CVE-2017-0290)을 발견하였습니다. 제보된 RCE 취약점은 “웜” 기능과 함께 디폴트 설치 버전에서 발생합니다. 이 웜 기능은 자동으로 감..

국내외 보안동향 2017. 5. 10. 17:35

패치되지 않은 워드프레스 취약점(CVE-2017-8295), 공격자가 어드민 패스워드 리셋할 수 있게해 Unpatched Wordpress Flaw Could Allow Hackers To Reset Admin Password 세계에서 가장 유명한 CMS인 워드프레스에 취약점이 발견되었습니다. 원격의 공격자는 이를 통해 특정 상황에서 타겟 사용자의 패스워드를 리셋할 수 있습니다. 해당 취약점은 폴란드 보안 연구원 Dawid Golunski가 발견하여 워드프레스에 제보했습니다. 그러나 워드프레스 측은 이 의견을 묵살하였습니다. Dawid Golunski는 "이 문제는 2016년 7월 이후 여러번 제보되었으나, 진전이 없기 때문에 공식 패치 없이 대중에게 공개하게 됐다."고 밝혔습니다. 이번 취약점(CVE-..

국내외 보안동향 2017. 5. 8. 16:55