2017-07-25 보안뉴스

1. [기사] 샤오미 나인봇(Ninebot) mini PRO에서 다량의 보안취약점 발견
[http://blog.alyac.co.kr/1230]
보안연구원들은 사용자의 PIN 번호 없이 공격자가 사용자의 전동휠에 접속가능한 취약점을 발견하였다. 조작된 Nordic UART 불루투스 연결 프로그램을 이용하면 어떠한 보안 PIN 번호 없이도 보안 매커니즘을 우회하여, 블루투스를 통하여 miniPRO와 성공적으로 연결이 가능하다. 두번째로 발견된 취약점은 miniPRO와 사용자(APP) 간의 통신이 모두 평문으로 이루어 지는 것이다. 즉, 전동휠과 사용자가 데이터를 주고받는 중간에서 누군가가 데이터를 탈취한다면, 그 내용을 모두 확인할 수 있다는 의미이다. 세번째 취약점은 펌웨어 업데이트 무결성에 대한 보안검증 부재이다. 공격자는 이 취약점을 노리고, DNS 스푸핑을 이용하여 apptest.ninebot.cn의 A레코드를 변경하는 방식을 통해 전동휠에 임의의 악성코드를 푸시할 수 있다.

2. [기사] 5년동안 탐지되지 않았던 Stantinko 봇넷, 시스템 50만대 감염시켜
[http://securityaffairs.co/wordpress/61250/malware/stantinko-botnet.html]
[http://blog.alyac.co.kr/1232]
최근 보안연구원들은 Stantinko라 명명 된 거대한 봇넷을 발견했다. 이 봇넷은 최소 5년동안 탐지되지 않았으며, 전 세계 약 50만대의 컴퓨터들을 감염시킨 것으로 확인되었다. 공격자들은 사용자 컴퓨터에 다양한 프로그램을 설치하고, 백그라운드에서는 tantinko를 실행하는 FileTour라는 프로그램을 사용하여 컴퓨터들을 감염시켰다. 보안 연구원들은 "Stantinko 악성코드가 다양한 암호화 기술을 사용하고, 고도화 된 기술을 주기적으로 도입함으로서 최소 5년동안 백신의 탐지를 피했다"고 밝혔다. 이 봇넷은 사용자 pc에 주로 광고 인젝션 및 클릭 사기를 위하여 감염된 시스템 브라우저에 확장 프로그램을 설치한다. Stantinko 악성코드가 설치한 악성 브라우저 확장 프로그램은 “The Safe Surfing”과 “Teddy Protection”으로, 이 두 프로그램 모두 크롬 웹 스토어를 통해 배포되며, 원치않는 url을 블록하는데 사용된다. 또한 이 악성코드는 감염 시스템 전체를 제어할 수 있는 권한 획득을 시도하는데, 이를 통해 공격자들이 다수의 악성행위를 할 수 있도록 한다.

3. [기사] 중국, Xinjiang의 소수 민족들에게 Jingwang이라 알려진 스파이웨어를 설치하도록 강요
[https://www.bleepingcomputer.com/news/government/china-forces-muslim-minority-to-install-spyware-on-their-phones/]
[https://www.infosecurity-magazine.com/news/xinjiang-arrested-state-spyware/]
신강 지방의 중국 당국은 위구르 무슬림 소수 민족의 주민들에게 휴대 전화에 앱을 설치하도록 강요하고있다. Jingwang으로 알려진 감시 앱은 테러 관련 콘텐츠에 대한 당국의 블랙리스트와 일치하는 파일을 장치에서 검색한다고 한다. 실제로 이 응용 프로그램은 사용자의 파일에 대한 MD5 해시를 만들고 알려진 테러리스트 콘텐츠 데이터베이스와 비교한다. 또한 사용자의 Weibo 및 WeChat 데이터베이스를 복사하여 사용자의 IMEI, IMSI 및 WiFi 로그인 정보와 함께 정부 서버에 업로드 한다. 이를 통해 특정 콘텐츠의 확산을 막고 불법 및 악의적 인 사이트에 대한 액세스를 차단할 수 있다고 보고서는 전했다.

4. [기사] Hacker, Veritaseum 플랫폼에서 Ethereum 840 만 달러 가치 훔치다
[https://www.bleepingcomputer.com/news/security/hacker-steals-8-4-million-worth-of-ethereum-from-veritaseum-platform/]
Veritaseum은 해커가 플랫폼의 ICO에서 840만 달러를 훔쳤다는 사실을 확인했다. ICO (Initial Coin Offering)는 전통적인 IPO (Initial Public Offering)와 유사하지만, 회사의 주식 대신 구매자가 온라인 플랫폼에서 토큰을 얻는다는 차이점이 있다. 사용자는 토큰을 발행 회사에서 구매하기 전까지 토큰을 보관하거나 Ethereum을 위해 다른 사용자에게 토큰을 판매 할 수 있다. Veritaseum의 설립자 인 Reggie Middleton은 해킹을 발견하고 뉴스가 BitcoinTalk 포럼으로 확산 된 플랫폼의 슬랙 채널에 대한 세부 정보를 게시했다. ICO가 진행 중이었고 토큰이 요구 되었기 때문에 해커는 즉시 다른 구매자에게 판매한 것으로 보인다. 이 사건은 지난 한주 동안, Ethereum 플랫폼의 네번째 해킹이자 두 번째 ICO 해킹사건이다. Middleton은 해커가 VERI 토큰을 판매 후 840 만 달러의 Ethereum을 생산했다고 추정했다.

5. [기사] Source Code For SLocker Android Ransomware 유출 위험
[http://thehackernews.com/2017/07/android-ransomware-source-code.html]
[http://securityaffairs.co/wordpress/61323/malware/slocker-source-code.html]
가장 오래된 모바일 잠금 화면 및 파일 암호화 ransomware 중 하나인 SLocker 소스 코드가 온라인에서 유출되었다. 때문에 더 많은 Android ransomware 변종을 개발할 수있는 사이버 범죄자가 늘어날 것으로 보인다. SLocker는 휴대폰의 파일을 암호화하고 명령 및 제어 (C & C) 통신을 위해 Tor를 사용하는 ransomware이다. 이 맬웨어는 희생자가 몸값을 지불하도록 설득하는 법 집행 기관으로 자리 매김했다. 일단 감염되면 SLocker는 사용자가 인지하지 못하거나 동의하지 않은 상태인 장치의 백그라운드에서 작동하고 모바일 장치에서 이미지, 문서 및 비디오를 암호화한다. 그 후 Android ransomware가 전화를 가로 채 사용자 액세스를 완전히 차단하고 피해자가 몸값 지불을 통해 잠금을 해제하려고 시도한다.

6. [기사] Fruitfly Mac malware의 변종이 활동하고 있다
[https://www.cnet.com/news/mac-fruitfly-malware-variant-still-lurking-in-the-wild/]
ZDNet에 따르면 수백 가지 맥에서 침입형 소프트웨어의 새로운 변종이 발견되었다고 한다. 멀웨어의 컨트롤러는 파일, 웹캠, 스크린, 키보드 및 마우스 등을 이용해 감염된 컴퓨터를 원격으로 제어 할 수 있다. 또한 애플이 1월에 Fruitfly의 초기 버전을 보호하기 위해 패치를 설치했지만 애플의 최신 운영 체제를 실행하는 맥이 현재 악성 코드의 반복에 취약한지는 분명하지 않다며 사용자의 주의를 당부했다.

7. [기사] 윈도우즈 '그림판' 역사속으로
[https://support.microsoft.com/en-us/help/4034825/features-that-are-removed-or-deprecated-in-windows-10-fall-creators-up]
[https://www.bleepingcomputer.com/news/microsoft/microsoft-to-remove-classic-paint-app-from-windows-10-this-fall/]
Microsoft는 올 가을, Windows 10에서 기존 Windows Paint 응용 프로그램을 제거할 계획이다. Windows 10 Fall Creators 업데이트는 10월 중 출시될 예정이다.Microsoft는 기존 Windows Paint 응용 프로그램 대신 "Paint 3D" 프로그램을 사용할 수 있을 것이라고 말했다.이 응용 프로그램은 기본 3D 편집 기능만 지원되지만 클래식 페인팅 응용 프로그램과 3D 편집 소프트웨어 간의 하이브리드를 제공한다. Fall Creators 업데이트에서 제거 된 다른 중요한 기능으로는 IIS 다이제스트 인증, Outlook Express, Reader 응용 프로그램 (현재 Edge의 일부), 읽기 목록 응용 프로그램 (현재 Edge의 일부), Syskey.exe (Microsoft는 Bitlocker 사용을 권장 함), System Image 백업 (SIB) 솔루션 등이 있다.