2017/11 썸네일형 리스트형 대량의 스팸 캠페인을 통해 배포되는 Scarab 랜섬웨어 금년 6월에 최초 발견된 Scarab 랜섬웨어가 현재 인터넷에서 가장 큰 스팸 봇넷인 Necurs을 통해 배포되고 있다. Scarab은 Necurs 봇넷의 Locky, Jaff, GlobeImposter랜섬웨어 이후 4번째 랜섬웨어이다. 이번 레포트는 F-Secure, Forcepoint, MalwareHunter 그리고 MyOlineSecurity에서의 조사 내용을 모두 포함하고 있다. 먼저 Forcepoint에 따르면, Necurs 봇넷은 이미 약 1250만 개의 이메일을 전송했으며, Scarab 랜섬웨어의 새로운 버전으로 기존의 메일과는 다른 모양으로 전송된것으로 확인되었다. Scarab 이메일은 스캔된 이미지를 아카이브 형식으로 변장해서 전송된다. 해당 파일은 Visual Basic 스크립트를 포.. 더보기 삼바 SMB1 취약점 발견 다양한 리눅스 배포판에서 공유되는 인기있는 SMB 네트워킹 프로토콜 실행을 구현한 삼바에서 원격의 공격자가 컨트롤 할 수 있도록 하는 취약점을 발견했다. 2012년 4.0 버전대의 삼바가 이 문제에 모두 해당된다. 해당 취약점은 힙 메모리 할당을 해제할 때, 잠재적으로 공격자가 자신이 원하는 위치에 임의의 조작된 코드를 삽입하여 실행할 수 있도록 SMB1 요청을 SMB 서버로 전송함으로 공격한다. 패치와 관련된 배포 파일은 11월 21일부터 공개되었으며, 영향을 가진 제품을 사용하는 모든사람들의 패치를 장려하고 있다.[https://hotforsecurity.bitdefender.com/blog/samba-smb1-vulnerability-patch-now-or-disable-if-possible-192.. 더보기 홈페이지 방문자를 이용한 크립토마이닝 개요 ENISA, 크립토마이닝 스크립트를 악용한 크립토재킹 공격 주의 주요내용 홈페이지 운영자의 수익 창출을 위한 Monero(XMR) 가상화폐 채굴 서비스 제공(Coinhive社 등) - 홈페이지에 자바스크립트 API를 삽입한 후 방문자의 CPU 자원을 사용하여 가상화폐 Monero(XMR) 채굴 - 온라인 광고를 줄여도 수익을 얻는 이점이 있지만, 사용자의 편의를 해칠 수 있어 논란이 되기도 함 (악용 사례) 동의여부를 묻지 않고 방문자 컴퓨터의 CPU 자원 활용하여 홈페이지 운영자가 아닌 공격자가 수익 창출 - 해킹한 사이트에 해당 스크립트 또는 해당 스크립트가 삽입된 홈페이지 주소 삽입 - 해당 페이지 방문 시 크립토마이닝 실행 - 홈페이지를 이용하는 동안 방문자의 CPU를 이용해 채굴 수행 시사.. 더보기 미국, 사이버보안 교육 실시 의무화 관련 입법 발의 개요 미국 국토안보부(DHS)의 하원 의원, 미국 의회 소속 모든 의원들 및 직원들을 대상으로 한 사이버보안 교육 의무화 법안 상정 주요내용 국토안보부의 캐서린 라이스(Kathleen Rice) 하원 의원이 의회에 소속된 모든 의원들 및 직원들이 연례 사이버보안 교육을 실시해야 한다는 내용의 「2017년 의회 사이버보안 교육*」 법안을 의회에 상정 * Congressional Cybersecurity Training Resolution of 2017 미 국토안보부 소속 의원들 및 직원들이 사이버 공격 증가를 인지하게 하고, 정부 시스템의 정보 및 데이터 무결성을 보호하기 위한 것이 목적 캐서린 하원 의원은 미국 정부, 정치 및 민간 부문 시스템에 지속적인 사이버 공격 위협에 직면했으며, 의원들은 시스템의.. 더보기 intel 펌웨어 취약점 보안 업데이트 권고 □ 개요 o Intel社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트를 발표 [1] o 영향 받는 버전 사용자는 해결방안에 따라 최신버전으로 업데이트 권고 □ 내용 o 인텔® 관리 엔진(Intel® ME) - 커널에서 버퍼오버플로우로 인한 임의 코드 실행 취약점(CVE-2017-5705) - 커널에서 발생하는 권한 상승 취약점(CVE-2017-5708) - AMT에서 버퍼오버플로우로 인한 임의 코드 실행 취약점(CVE-2017-5711, CVE-2017-5712) ※ AMT (Active Management Technology) : 원격 유지보수 및 무선 관리 등을 수행하는 기술 o 인텔® 서버 플랫폼 서비스(Intel® SPS) - 커널에서 버퍼오버플로우로 인한 임의 코드 실행 취약점(CVE.. 더보기 MS, DDE 공격 완화 권고문 발표 마이크로소프트는 DDE(Dynamic Data Exchange)를 공격 벡터로 사용하는 것과 관련된 보안 권고문을 발표하였다. 이 권고문은 새 오피스 레지스트리 설정을 수동으로 생성하는 DDE 공격 시나리오를 완화하기위한 권고 사항을 제공한다. http://threatpost.com/microsoft-provides-guidance-on-mitigating-dde-attacks/128833/http://www.scmagazine.com/microsoft-issues-warning-on-dynamic-data-exchange-vulnerability/article/706466/http://technet.microsoft.com/library/security/4053440 더보기 구글 플레이 스토어에 가짜 왓츠앱 왓츠앱 메시징 앱의 가짜 버전이 구글 플레이 스토어에서 삭제되기 전에 최소 백만번이상 다운로드 되었다. 이 가짜 앱에는 광고가 포함되어 있으며 단말기로 소프트웨어를 다운로드 할 수 있는 기능이 있다. http://threatpost.com/1m-downloads-later-google-pulls-phony-whatsapp-from-google-play/128778/http://www.theregister.co.uk/2017/11/03/fake_whatsapp_app/http://www.zdnet.com/article/fake-whatsapp-app-fooled-million-android-users-on-google-play-did-you-fall-for-it/http://www.bbc.com/news/.. 더보기 ASUS 공유기 제품군 업데이트 안내 (KRACK vulnerability) ASUS RT-AC68U Firmware version 3.0.0.4.382.18547ASUS RT-AC58U Firmware version 3.0.0.4.380.8119ASUS RT-AC86U Firmware version 3.0.0.4.382.18219Security fixed- Fixed KRACK vulnerability- Fixed CVE-2017-14491: DNS - 2 byte heap based overflow- Fixed CVE-2017-14492: DHCP - heap based overflow- Fixed CVE-2017-14493: DHCP - stack based overflow- Fixed CVE-2017-14494: DHCP - info leak- Fixed CVE-2017-.. 더보기 'Fancy Bear' 러시아 해커, MS Office DDE Exploit 사용 사이버 범죄자들이 새롭게 발견된 마이크로소프트 오피스 취약점을 악용하기 시작했다. 반면 이미 마이크로소프트사는 이를 보안 이슈로 고려하지 않고 이미 패치하는것을 거부, 발표했다. 해커는 매크로 사용과 메모리 변조 없이 타겟 장치에서 임의 코드 실행에 사용되는 DDE(Dynamic Data Exchange)를 이용하여 공격하는 방법이다. 원래 DDE 프로토콜은 마이크로소프트의 두 애플리케이션이 같은 데이터를 공유할 수 있도록 사용되는 여러 방법중 하나이다. 이 프로토콜은 엑셀, 워드, 비쥬얼베이직 등 여러 앱에서 사용되고 있다. DDE 공격이 대중에게 알려진지 얼마지나지 않아, 이 방법을 악용한 사건들이 속속히 리포트 되고있는 실정[https://thehackernews.com/2017/11/apt28-o.. 더보기 새로운 Ordinypt 랜섬웨어, 주로 독일 타겟팅 최근 Ordinypt라 불리는 새로운 랜섬웨어가 주로 독일을 대상으로 발견되었다. 기존의 랜섬웨어와는 다르게 사용자의 문서를 암호화하는 대신 임의의 데이터를 파일에 덮어쓰는 것이 특징이다. 해당 랜섬웨어는 Michael Gillepie라 불리는 사람으로부터 발견되었고, 최초에는 HSDFSDCrypt라 알려졌지만, 이후에 G Data에 의해서 Ordinypt 랜섬웨어로 이름을 변경했다. Petya 랜섬웨어와 비슷하게, 이 랜섬웨어는 구직 광고 답변 메시지 형식으로 가장하여 첨부파일이 담겨있는 전자메일로 배포[https://www.bleepingcomputer.com/news/security/ordinypt-ransomware-intentionally-destroys-files-currently-target.. 더보기 이전 1 2 3 4 다음