2017-08-18 보안뉴스 정리

1. [기사] 자동차의 패치 할 수 없는 결함으로 해커가 안전 기능을 사용 중지 할 수 있어
[http://thehackernews.com/2017/08/car-safety-hacking.html]
[https://www.bleepingcomputer.com/news/security/unpatchable-flaw-affects-most-of-todays-modern-cars/]

최근들어 많이 사용하는 자동차의 자동 제어 시스템은 운전 경험을 훨씬 향상 시키지만 동시에 해킹 당할 위험을 높인다. 이미 몇몇 보안연구원들은 자동차를 원격으로 납치하는 방법, 에어백과 같은 중요한 기능을 비활성화하는 방법, 원격으로 자동차를 훔치는 방법을 시연했다. 하지만 최근, 공격자가 연결된 차량의 에어백 및 기타 안전 시스템을 비활성화하여 수많은 공급 업체 및 차량 모델에 영향을 줄 수있는 새로운 해킹 트릭을 발견했다. 해킹은 특히 오류를 포함한 메시지를 "프레임"이라고 부르는 CAN의 메시징 시스템을 대상으로 한다. 시스템에 오류 메시지가 오버로드되면 공격자는 장치를 Bus Off 상태로 전환하여 더 큰 CAN 시스템에서 잘라 버리고 작동 불능 상태로 만들 수 있다.

2. [기사] Click Adware(GhostClicker), Google Play 스토어에서 340 개의 앱 확인
[https://www.bleepingcomputer.com/news/security/auto-clicking-android-adware-found-in-340-apps-on-the-google-play-store/]

GhostClicker라는 Android 애드웨어 제품군 개발자는 공식 Google Play 스토어에서 악성 코드를 여러 번 몰래 훔쳐 최대 340 개의 평범한 Android 앱을 숨길 수 있었다. Google Play 스토어에서 Android 애드웨어를 사용하는 경우가 너무 많아서 모든 애드웨어 제품군을 추적하는 것이 어려워졌습니다. 공격 방법은 여러 구성 요소에 걸쳐 악의적인 동작을 분할하고 실행을 지연하며, 명백한 테스트 환경에서 실행을 방지하기 위해 샌드 박싱 방지 검사를 사용하는 것이다. GhostClicker는 이러한 기술 중 두 가지를 사용한다. 첫째는 악의적인 코드를 Google 모바일 서비스(GMS) API와 Facebook 광고의 소프트웨어 개발 키트(SDK)로 나누는 것이다. 둘째는 스마트 폰의 사용자 에이전트 문자열에 "넥서스"가 포함되어있는 경우 멀웨어가 실행되지 않도록 방지하는 샌드 박싱 방지 검사를 이용한 기술이다. GhostClicker 애드웨어 개발자는 이 두가지 트릭을 사용한 악성 앱을 구글 스토어에 이미 업로드한 것으로 밝혀졌다.

3. [기사] Foxit PDF Reader에 2개의 Critical 제로데이 취약점 공개(CVE-2017-10951, CVE-2017-10952)
[http://thehackernews.com/2017/08/two-critical-zero-day-flaws-disclosed.html]

보안 연구원은 Foxit Reader 소프트웨어에서 보안 읽기 모드로 파일을 열도록 구성되지 않은 경우 대상 컴퓨터에서 임의의 코드를 실행할 수 있는 두가지 제로 데이 보안 취약점을 발견했다. 첫번째 취약점(CVE-2017-10951)은 연구원 Ariele Caltabiano가 Trend Micro의 Zero Day Initiative (ZDI)와 협력하여 발견한 명령 주입 버그이며, 두번째 버그(CVE-2017-10952)는 공격적인 파일 쓰기 문제로 밝혀졌다. 공격자는 악의적으로 조작된 PDF 파일을 Foxit 사용자에게 보내고 열도록 유도함으로써 공격할 수 있다. Foxit는 Foxit Reader에서 기본적으로 활성화된 "안전한 읽기 모드" 기능을 사용하지 않기 때문에 두가지 취약점을 모두 패치하지 않은 것으로 보인다. 두 개의 패치되지 않은 취약점은 Foxit Reader의 JavaScript API를 통해 트리거 될 수 있다. 따라서 사용자는 이메일을 통해 받은 파일을 열어 볼때는 항상 주의해야 한다고 강조했다.

4. [기사] 페이스북 메신저로 받은 동영상 링크, 무심코 클릭했다간 털린다!
[http://www.boannews.com/media/view.asp?idx=56414&mkind=1&kind=1]

위협정보 대응 전문 서비스를 제공하는 제로서트 측은 “최근 페이스북 계정을 노리고 악성코드 설치를 유도하는 악성링크가 발견됐다”며 “악성 확장프로그램 설치로 인해 크롬 브라우저에 저장된 페이스북 계정 등이 탈취될 수 있다”며 주의를 당부했다. 이번에 발견된 악성 링크는 bit[.]ly, bitly[.]com 형태의 단축URL이며, 페이스북 메신저를 통해 동영상 링크로 유포되고 있다. 만약 페이스북 사용자가 유포되고 있는 악성 URL을 클릭하면 구글 독스에 올려진 동영상 화면과 가짜 유튜브 사이트로 이동되며, 최종적으로 크롬 웹 스토어에 올려진 Nepogi, Napeg, Dakiyepi 등 이름의 코덱 확장프로그램 설치를 유도한다. 코덱 확장 프로그램이 설치되면 공격자는 크롬 브라우저의 권한을 갖게 되고 저장된 페이스북 아이디와 패스워드를 이용해 악성 행위를 하게 된다. 현재 웹 스토어에 올려진 확장프로그램은 삭제된 상태다. 하지만 공격자들도 이를 미리 파악하고 다른 확장프로그램을 올려 Depiv 확장 프로그램으로 연결되는 등 지속적으로 악성 URL유포가 포착되고 있다. 따라서 페이스북 사용자들은 출처가 불분명한 링크와 악성 프로그램이 설치되지 않도록 각별히 주의해야 한다.

5. [기사] Faketoken 안드로이드 뱅킹 트로이잔의 최신 버전은 통화를 녹음하고 transportation 어플리케이션을 타겟으로 하는 것으로 알려져..
[https://www.scmagazine.com/new-version-of-faketoken-android-banking-trojan-records-calls-targets-transportation-apps/article/682427/]

악성 오버레이를 사용하여 금융 앱 사용자를 속여 자격 증명을 제공하는 것으로 알려진 모바일 뱅킹 트로이 목마는 여행, 교통 및 교통 티켓 결제 앱을 대상으로 진화했으며 전화 통화를 기록하는 것으로 밝혀졌다. 카스퍼스키 랩 보안 목록 블로그 게시물에 따르면 Faketoken.q라고 불리는 Faketoken 안드로이드 멀웨어의 새 버전은 감염된 장치의 호출과 실행된 응용 프로그램을 모니터링한다. 특정 번호로 전화가 걸리거나 수신된 경우 맬웨어는 이를 기록하고 공격자에게 파일을 보낸다. 또한 특정 대상 응용 프로그램이 열리면 Faketoken.q는 가짜 사용자 인터페이스를 표시하여 피해자가 데이터를 입력하도록 유도함으로써 공격할 수 있다. 이 사용자 인터페이스는 추후 사기 거래에 사용될 가능성이 있다. 또한 이 트로이 목마는 은행이 보안 목적으로 사용자에게 보낸 트랜잭션을 승인하기 위해 들어오는 SMS 코드를 도용할 수 있는 것으로 알려졌다.

6. [기사] 오래된 취약점에 대한 새로운 공격법 들고 나온 해커들
[http://www.boannews.com/media/view.asp?idx=56417&mkind=1&kind=1]

최근 해커들이 파워포인트 파일을 활용해 옛 취약점을 재활용하는 것이 포착되었다. 이번에 재조명된 취약점은 CVE-2017-0199로, 원래는 제로데이 원격 코드 실행 취약점이었다. 이 공격을 성공시키면 공격자는 감염시킨 시스템의 통제권을 가져가 계정을 새롭게 만들거나 데이터를 열람, 편집, 삭제할 수도 있게 된다. 이번에 이 취약점이 악용되고 있는 걸 다시 발견한 건 보안 업체 트렌드 마이크로(Trend Micro)로, “지난 번과 다르게 파워포인트 파일이 활용되고 있었다”고 말한다. 이 파일은 스피어피싱 메일 형태로 피해자에게 전달된다. 특히 통신사나 케이블 제조사에서 보낸 것처럼 위장된 메일이라고 한다. 이메일에는 PPSX 파일이 첨부되어 있고, 이 파일을 여는 순간 logo.doc라는 파일이 추가로 다운로드된다. 이 두 번째 실행파일은 렘코스(REMCOS)라는 원격 접근 툴(RAT)에 트로이목마 기능을 접붙인 것이다. 공격자들은 원격으로 명령을 실행하기도 하고 시스템 통제권을 앗아가기도 한다. 또한 키로거, 스크린 로거, 웹캠 캡처, 음성 녹음 등의 기능도 수행한다.