2017-07-21 보안뉴스

1. [기사]‘금융보안 표준화 수요조사 안내문’ 파일 열지 마세요!
[http://www.boannews.com/media/view.asp?idx=55876]
최근 금융보안원을 사칭해 ‘2017년도 금융보안 표준화 수요조사 안내문’이란 이름의 문서가 첨부된 이메일이 발송되고 있다. 금융보안원은 이러한 이메일 수신시, 첨부파일 다운로드 및 실행을 금지하고 삭제해야 한다고 강조했다. 또한, 한글 문서 편집기가 최신 버전으로 업데이트 되어 있으면 파일을 실행해도 악성코드에 감염되지 않으므로, 최신 버전으로 즉시 업데이트를 수행할 것을 요청했다. 금융보안원 허창언 원장은 악성코드 감염 예방을 위해서 지난 5월에 안내한 ‘악성코드 감염 예방 수칙’을 반드시 지켜줄 것을 당부했다.

2. [기사] Tor project ... 버그바운티 프로그램 오픈
[https://hackerone.com/torproject]
[http://thehackernews.com/2017/07/tor-bug-bounty-program.html]
몇몇 기업 및 조직이 버그를 찾는 직원이 보상을 얻도록 권장하기 위해 버그 바운티 (Bug Bounty) 프로그램을 시작했다.이에 따라, Tor Project의 비영리 단체가 마침내 "Bug Bounty Program"을 출시했다. 결함에 대한 가장 큰 배상금은 4,000 달러이다. 위험도가 높은 취약점의 경우 2,000 ~ 4,000 달러, 중간정도의 취약점의 경우 500 ~ 2,000 달러, 심각도가 낮은 버그의 경우 최소 100 달러를 받을 수 있다.

3. [기사] Broadpwn 버그로 인해 수백만 개의 Android 및 iOS 기기에 영향
[https://www.bleepingcomputer.com/news/security/broadpwn-bug-affects-millions-of-android-and-ios-devices/]
Android 및 iOS 장치에 내장 된 Broadcom Wi-Fi 칩은 공격자가 사용자의 개입 없이도 장치에서 코드를 실행할 수있는 버그에 취약한 것으로 알려졌다. 이 버그는 보안 연구원인 Nitay Artenstein에 의해 발견되었으며 Broadpwn이라는 별명을 갖고 CVE-2017-9417로 추적된다. Artenstein은 버그에 대한 정보를 공개하지 않았으며 8 월 초 라스 베이거스에서 열리는 Black Hat USA 보안 컨퍼런스에서 Broadpwn에 대한 발표를 할 예정이다. Android 보안 패치를 받지 못한 사용자는 신뢰할 수있는 Wi-Fi 네트워크에만 연결하고 'Wi-Fi 자동 연결'기능을 사용하는 경우이를 비활성화 해야 한다.

4. [기사] 이란인 두명, 미국의 방산업체 기술 해킹해 판매
[https://www.theregister.co.uk/2017/07/18/iranians_charged_hacking_us_rocketry_app/]
두명의 이란인이 미국 방위기술업체를 해킹하여 로켓 시뮬레이션 소프트웨어를 훔쳐 판매한 혐의로 기소됐다. 미 법무부는 두 사람이 개발자 Arrow-Tech를 통해 미국의 국제 무기 거래 규정에 따라 수출 제한 도구를 다운로드 할 수 있다고 주장했다. 실제로 두사람은 Arrow-Tech의 기업 네트워크에 침투하여 로켓, 미사일 및 이와 유사한 무기를 개발하는 데 사용되는 PRODAS (Projectile Rocket Ordnance Design and Analysis System) 제품군을 확보한 것으로 밝혀졌다. 현재 미 법무부는 두 사람에 대해 체포 영장을 발급한 상태이다.

5. [기사] Gnome File Manager에 Code injection flaw 발견, 이에 따라 Linux사용자는 해킹에 노출될 위험 증가
[http://thehackernews.com/2017/07/linux-gnome-vulnerability.html]
보안 연구원은 GNOME Files 파일 관리자의 축소판 처리기 구성 요소에서 코드 삽입 취약점을 발견했다. 공격에 성공하면, 해커는 대상 Linux 컴퓨터에서 악성 코드를 실행할 수 있다. Bad Taste라고 불리는 취약점(CVE-2017-11421)은 독일 연구원 Nils Dagsson Moskopp에 의해 발견되었으며, 그는 취약점을 증명하기 위해 자신의 블로그에 개념 증명 코드를 발표했다. 코드 삽입 취약점은 GNOME용 Windows 실행 파일(.exe / .msi / .dll / .lnk)에서 축소판을 생성하는 도구인 "gnome-exe-thumbnailer"에 있으며, 이를 열기 위해서는 사용자가 시스템에 Wine 응용 프로그램을 설치해야 한다. 취약점 악용에 성공한 공격자는 파일 시스템에 악의적 인 VBScript 코드가 포함 된 조작 된 Windows Installer (MSI) 파일을 파일 이름으로 보낼 수 있다. 이 파일이 취약한 시스템에 다운로드되면 더 이상의 사용자 조작없이 시스템을 손상시킬 수 있다.

6. [기사] NukeBot 뱅킹 악성코드 소스코드 공개 이후, 이를 활용한 샘플들 발견
[https://www.grahamcluley.com/publication-nukebot-trojans-source-code-leads-new-operational-samples/]
2017년 3월 말에 발생한 NukeBot의 소스 코드 누출은 자신의 위협을 푸시하려고하는 악성 코드 개발자의 관심을 끌었다. 카스퍼스키 랩의 Sergey Yunakovsky는 새 샘플을 발견했다. 몇몇은 "활동적"이지만, 대부분은 제한된 형태로만 존재하는 것으로 보인다. 이 데이터를 통해 카스퍼스랩은 NukeBot의 명령 및 제어 (C & C) 주소를 추출한 것으로 알려졌다. 하지만 일부 트로이 목마는 이 보안 기능을 우회할 수 있고, 공격의 위험을 상당히 높일 수 있다.

7. [기사] 팔로알토 네트웍스 “랜섬웨어 대응과 예방 위한 시스템 관리 방안은…”
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=21969]
랜섬웨어 등 악성코드는 이에 대응하기 위한 시그니처 패턴이 만들어지는 속도를 추월하고 있고, 신종 악성코드가 탐지 되지 않는(Zero-day) 기간이 늘어나고 있다. 이에 따라 팔로알토 네트웍스는 20일 기자간담회를 열고 랜섬웨어 예방 및 대응 방안을 발표하며 다중 보안을 지원하는 지능형 엔드포인트 보안 솔루션인 ‘트랩스(Traps™) 4.0’을 소개하는 시간을 가졌다. 새롭게 출시된 트랩스 4.0을 통해 멀웨어 및 익스플로잇 차단 기능을 강화하는 한편 맥OS(macOS) 및 안드로이드(Android) 등 다양한 운영체제를 지원한다고 밝혔다.

8. [기사] 멀웨어 ‘KONNI’, 북한 미사일 관련 문서로 위장해 악성코드 유포
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=21974]
지난 3년간 배포되어 왔던 ‘KONNI RAT(원격 접속 트로이 목마)’의 최근 활동이 발견됐다.악성 문서 공격 기법으로 사용해 온 KONNI 캠페인은 사용자가 .scr 파일의 문서를 열면 해당 컴퓨터에서 악성 코드가 실행되는 방식이다. 탈로스는 계속 진화하는 KONNI 멀웨어의 최신 버전으로 북한 미사일 개발 역량을 언급한 캠페인을 발견했다. 이번 캠페인에 사용된 악성코드는 2017년 초 배포된 것과 유사한 기능을 가지고 있다. 이 공격은 다음 도메인에 호스팅된 신규 CnC 인프라를 사용, 웹 페이지에 대한 HTTP 포스트 요청이 도메인 자체에서 /weget/download.php, /weget/uploadtm.php 또는 /weget/upload.php로 호스팅되면 KONNI의 CnC 트래픽이 발생한다. 시스코는 “KONNI 멀웨어 업데이트 버전이 계속 발견되고 있어 주의가 요구된다. 특히 이러한 이슈와 관련이 높은 조직의 경우 유인성 악성문서를 통한 감염을 막기 위한 더욱 철저한 보호 조치가 이루어져야 한다”고 전했다.