PgMiner botnet attacks weakly secured PostgreSQL databases 보안 연구원들이 PostgreSQL 데이터베이스에 크립토마이너를 설치하는 봇넷 공격을 발견했습니다. 연구원들이 PgMiner라 명명한 이 봇넷은 금전적 이익을 얻기 위해 웹 기술을 노리는 수 많은 사이버 범죄 활동들 중에서 가장 최근 발견된 것입니다. Palo Alto Networks Unit 42의 연구원들에 따르면, 이 봇넷은 인터넷에 연결된 PostgreSQL 데이터베이스에 브루트포싱 공격을 수행합니다. 이 공격은 간단한 패턴을 통해 수행됩니다. 봇넷은 공개 네트워크 범위 중 하나를 랜덤으로 뽑은 후 (예: 18.xxx.xxx.xxx) 해당 범위 내 IP 주소에서 온라인에 PostgreSQL 포..

국내외 보안동향 2020. 12. 14. 09:06

안녕하세요? 이스트시큐리티입니다. 가상화폐 시세의 급등과 함께 채굴 기능이 있는 앱들이 등장하고 있습니다. 이러한 채굴 기능은 안드로이드 공식 마켓인 구글 플레이스토어의 정상 앱에서 발견되고 있으며, 해당 개발자가 정상 앱의 새로운 버전을 배포할 때 마이너를 추가하여 배포한다. 문제는 이를 사용자들에게 고지하지 않는 것입니다. 기기의 웹 브라우저를 활용한 마이너와 so 파일을 활용한 마이너가 주를 이루고 있습니다. 특히, so 파일을 활용하는 마이너는 "피닉스 코인"을 채굴하며 기기의 화면이 꺼져 있고 충전 중일 때만 채굴을 하여 사용자가 쉽게 알아차리기 어렵습니다. 본 분석 보고서에서는 so 파일을 활용한 마이너를 상세 분석 하고자 합니다. 악성코드 상세 분석 [그림 1] 정상앱 속의 채굴 해당 악성코..

악성코드 분석 리포트 2018. 2. 23. 09:00

Fileless cryptocurrency miner CoinMiner uses NSA EternalBlue exploit to spread 새로운 파일리스 채굴기인 CoinMiner가 발견 되었습니다. 이는 확산을 위해 NSA의 EternalBlue 익스플로잇과 WMI 툴을 사용하는 것으로 나타났습니다. CoinMiner는 감염 된 시스템에서 명령어를 실행하기 위해 WMI(Windows Management Instrumentation) 툴킷을 이용하는 파일리스 악성코드입니다. 보안전문가는 “이 공격은 지속성 확보를 위해 WMI를 사용한다. 특히, 스크립트 실행을 위해 WMI Standard Event Consumer 스크립팅 프로그램 (scrcons.exe)를 사용한다. 시스템에 침투하기 위해, 악성코..

국내외 보안동향 2017. 8. 23. 16:07