2017-08-16 보안뉴스

1. [기사] Gmail, 의심스러운 링크에 대해 iOS 사용자에게 경고
[https://www.welivesecurity.com/2017/08/14/gmail-now-warns-ios-users-suspicious-links-fight-phishing-threats/]

구글은 iOS 용 Gmail 앱에 피싱 (anti-phishing) 보안 체크를 가져와 사용자가 iPhone이나 iPad의 Gmail 메시지에서 의심스러운 링크를 클릭 할 때 경고 메시지를 표시한다고 발표했다. 이때, Google이 위험하다고 인지하는 링크를 클릭하면 URL을 방문하는 것에 대한 경고가 더욱 강하게 나타난다. 이 새로운 기능은 앞으로 2주 후 Gmail 앱의 iOS 사용자 기반을 통해 출시 될 예정이다. 애플 측은, 이 기능을 너무 맹신하는 것보단 사용자가 어떤 안전망을 설치하든 클릭하는 링크에 대해 항상 주의를 기울일 필요가 있다고 강조했다.

2. [기사] Diablo6, Mamba... 위험한 2개의 랜섬웨어 재등장
[http://thehackernews.com/2017/08/locky-mamba-ransomware.html]

WannaCry와 Petya 이전에는 Mamba 풀 디스크 암호화 ransomware와 Locky ransomware가 전 세계적으로 혼란을 일으켰다. 이 두 랜섬웨어는 더 새롭고 파괴적인 변종으로 다시 발견되었다. Locky는 피해자가 악의적인 첨부 파일을 클릭하도록 유도한 뒤, 컴퓨터 및 네트워크에서 거의 모든 파일 형식을 암호화하고 Bitcoins의 몸값이 공격자에게 지급될 때까지 잠금을 해제하지 않는다. 온라인 별칭 Racco42를 사용하는 보안 연구원은 감염된 컴퓨터의 파일을 암호화하고 .diablo6 파일 확장자를 추가하는 새로운 Locky 변종을 처음 발견했다. ransomware 변종은 첨부 파일로 Microsoft Word 파일을 포함하는 전자 메일을 제공한다. 이 파일을 열면 VBS Downloader 스크립트가 실행되어 원격 파일 서버에서 Locky Diablo6 페이로드를 다운로드하려고 시도한다. 이 Locky Diablo6 변종은 희생자로부터 0.49 Bitcoin ($ 2,079 이상)을 요구하는 것으로 보인다. 또 다른 랜섬웨어인 Mamba는, 파일 대신에 영향을받는 컴퓨터에서 전체 하드 디스크를 암호화하며, 몸값을 지불하지 않으면 시스템을 완전히 사용할 수 없게 만든다. Mamba는 DiskCryptor를 사용하여 대상 조직의 컴퓨터 하드 드라이브를 완전히 암호화한다. 이때 DiskCryptor에서 사용되는 암호화 알고리즘이 매우 강력하므로 데이터를 해독 할 수있는 방법이 없는 것으로 보인다. 따라서 사용자의 주의가 강력히 요구된다.

3. [기사] LG전자 서비스센터 초유의 마비 사태! “랜섬웨어 감염 맞다”
[http://www.boannews.com/media/view.asp?idx=56332&mkind=1&kind=1] 
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=22793]

LG전자 서비스센터 서버망이 14일 악성코드에 감염돼 서비스센터 접수망이 일시 마비되면서 센터를 찾은 고객들이 불편을 겪는 사고가 발생했다. LG전자 측은 14일 늦은 밤에야 한국인터넷진흥원(KISA)에 악성코드 감염사고를 신고했다. 일부 센터 몇 곳에서 “현재 LG전자서비스 서버가 랜섬웨어 공격을 받은 상태로 모든 전산이 마비된 상황이라 접수 및 서버스 처리가 지연되고 있다”는 안내문을 부착하면서 14일 언론에 보도되기 시작했다. 몇 가지 드러난 정황에 따르면, 이번 LG전자 서비스센터 서버가 윈도 운영체제의 공유 프로토콜 SMB 원격코드 실행 취약점을 악용해 웜 형태로 확산되는 랜섬웨어에 감염된 것으로 확인되고 있다. LG전자가 이번 랜섬웨어를 방어하기 위해 SMB 취약점을 패치했겠지만 해당 랜섬웨어는 SMB 취약점과 상관없이 메일 등 다양한 형태로 유입될 수 있어 각별한 주의가 필요하다.

4. [기사] 공인인증서 탈취 악성코드 다시 기승! 네이버·KISA 피싱 페이지로 연결
[http://www.boannews.com/media/view.asp?idx=56371&mkind=1&kind=1] 

지난 주말부터 시작해서 광복절까지 이어진 여름철 마지막 연휴기간 동안 공인인증서 탈취를 노린 악성코드가 기승을 부린 것으로 드러났다. 해당 악성코드는 해커들에 의해 이미 해킹된 웹사이트를 방문만 해도 감염되는 드라이브 바이 다운로드(Drive-by-Download) 방식으로 전파되는데, 악성코드는 우선적으로 피해자 PC 내에 존재하는 공인인증서를 탈취하는 것으로 조사됐다. 또한, 해커들은 파밍 공격을 위한 서버 IP(198.1.xxx.xx7)를 획득한 후, hosts 파일을 변조해 시작페이지를 변경함으로써 감염 PC를 네이버와 흡사한 파밍 URL로 이동시키게 된다. 이어 우리나라의 정보보호 전문기관인 한국인터넷진흥원(KISA)의 전자금융사기 예방서비스를 사칭한 페이지로 연결시켜 보안카드 번호 또는 OTP 인증코드 입력을 유도함으로써 예금 인출 등 2차 범죄를 노린다는 게 KAIST 사이버보안연구센터 측의 설명이다. 해커들이 이번 파밍 공격으로 피해자들로부터 탈취한 정보에는 은행명, 이름, 공인인증서, 주민번호, 계좌번호, 계좌비밀번호, 핸드폰 번호, 보안카드 넘버 등이 모두 포함된 것으로 드러나 악성코드 감염은 물론 실제 예금 인출 피해까지 발생했을 가능성이 커지고 있다. 

5. [기사] 조작된 USB를 연결하여 인접한 다른 허브의 usb 데이터를 훔칠 수 있는 것으로 밝혀져...
[https://www.adelaide.edu.au/news/news94082.html]

University of Adelaide 연구원은 50가지 이상의 다른 컴퓨터와 외부 USB 허브를 테스트한 결과 90% 이상이 외부 USB 장치로 정보를 유출한 것으로 나타났다. "USB 연결 장치에는 키보드, 카드 리더기 및 지문 판독기가 포함되어있어 컴퓨터에 민감한 정보를 보내는 경우가 많습니다."라고 프로젝트 리더인 Yuval Yarom 박사는 말했다. 또한, 악의적인 장치가 동일한 외부 또는 내부 USB 허브의 인접한 포트에 연결되어 있는 경우, 이 정보를 캡처 할 수 있다고 밝혔다. 이는 암호나 개인 정보를 보여주는 키 입력이 쉽게 도난 당할 수 있음을 의미한다. 따라서 사용자가 인증되지 않은 USB장치는 되도록 사용하지 않는 것을 권장한다.

6. [기사] 잘못된 업데이트로 인한 'Smart Locks'
[http://thehackernews.com/2017/08/firmware-smart-locks.html]
[https://threatpost.com/smart-locks-bricked-by-bad-update/127427/]

지난 주 많은 Airbnb 고객은 스마트 잠금 장치에 내장 된 키패드를 사용하여 도어 잠금을 해제 할 수 없었다. 회사 측에 따르면이 문제는 Wi-Fi 지원 스마트 잠금 장치 제품 범위가 지난 주 잘못된 무선 펌웨어 업데이트를 수신한 후 발생했기 때문에 잠금 장치에 "치명적인 오류"가 발생하여 작동하지 않게된 것으로 보인다. 이 오류는 펌웨어 업데이트가 실제로 7000i 모델 스마트 잠금용 이었지만 실수로 6000i 제품으로 보내졌기 때문에 발생했다. LockState의 RemoteLock 6i (6000i)는 원격 제어 및 모니터링은 물론 펌웨어 업데이트를 위해 가정용 Wi-Fi 네트워크에 연결하는 인터넷 연결 스마트 잠금 장치이다. 회사는 이 사고로 인한 피해 고객에게 잠금 장치에 대한 모든 운송 비용을 부담하고, 호환 가능한 모든 스마트 홈 장치를 원격 제어할 수있는 가입 기반 서비스인 LockState Connect Portal에 대해 1년간 무료 서비스를 제공하기로 하였다.