최근 보안동향 (17) 썸네일형 리스트형 캐시미르블랙(KashmirBlack) 봇넷에 대해서 1. 캐시미르블랙(KashmirBlack) 이란? 암호화폐 채굴과 스팸, 웹사이트 변조 공격을 위해 개발된 봇넷 ->워드프레스(WordPress), 줌라(Joomla), 드루팔(Drupal)기반 웹사이트들을 감염시킴 2. 캐시미르블랙의 특징 ①모듈 방식의 인프라 구조를 지님 ②드롭박스(Dropbox), 깃허브(Github)와 같은 클라우드 서비스에 C&C를 마련해 고루 사용함 ->필요한 파일을 저장하고 통신 부하의 균형을 잡음 ③이미 공객된 취약점들을 익스플로잇하여 주로 인기 높은 CMS 플랫폼을 공략 참고 : www.boannews.com/media/view.asp?idx=91996&page=8&kind=1 www.imperva.com/blog/crimeops-of-the-kashmirblack-bot.. 록랫(RokRAT) 랜섬웨어에 대해 북한의 APT37, 바이러스토탈에 악성 워드 문서를 활용한 공격 ->RokRAT을 주입하기 위해, VBA 자체 디코딩 기술을 사용 ->악성 매크로는 다른 매크로 내에서 인코딩 된 다음 동적으로 디코딩되어 실행 ※ unpacker stub (자체 디코딩 기술) : 문서를 열 때 악성 매크로의 압축을 풀고 디스크에 기록하지 않고 Microsoft Office의 메모리에 기록 ->여러 보안 메커니즘을 쉽게 우회 가능 1. 록랫(RokRAT) 랜섬웨어란? 클라우드 기반 원격 접근 트로이목마(RAT)로, 피해자의 시스템으로부터 여러 가지 정보를 추출해 여러 공공 클라우드 서비스에 저장 -> 피씨클라우드(PcCloud), 드롭박스(Dropbox), 박스(box), 얀덱스(Yandex)와 같은 서비스들이 주로 활용 .. 블루크랩(Js.BlueCrab) 랜섬웨어에 대해 1. 블루크랩(Js.BlueCrab) 랜섬웨어란? 다운로드 페이지를 위장한 피싱 페이지로부터 유포 ->최근 '유튜브 영상 고화질 다운로드'로 위장한 피싱 사이트에서 '블루크랩 랜섬웨어'를 유포하는 사례가 발생 2. 공격방법 ①공격자는 취약한 웹서버를 탈취 후 '유튜브 영상 고화질 다운로드'라는 키워드를 이용한 악성 게시글을 업로드 ②사용자가 검색 사이트에 영상 고화질 다운로드 관련 키워드를 입력하면 검색 사이트 결과에 공격자가 제작한 피싱 사이트가 노출 ->사용자가 피싱 사이트에 접속해 다운로드 링크를 클릭하면 압축파일 형태(.zip)의 파일이 다운로드 ③압축해제 후 자바스크립트 형태(.js)의 파일을 실행하면 '관리자 권한'을 요구하는 팝업창이 나타나고 '예'를 누를 경우, 사용자의 PC가 '블루크랩 .. 블리딩투스(Bleeding Tooth) 취약점에 대해 1. 블리딩투스(Bleeding Tooth)란? -> CVE-2020-12351 리눅스 커널 5.9 이전 버전의 경우 블리딩투스 취약점에 노출되어 있다. 인증 과정을 통과하지 않은 사용자가 장비 근처에서 디도스 공격을 하는 취약점 2. 블리딩투스 취약점의 특징 '제로 클릭 공격'을 가능하게 한다. ->피해자가 특정 링크를 누르거나 파일을 열지 않아도 공격이 성립한다. 3. 블리딩투스 공격 ①공격자는 공격 대상자의 Bluetooth 범위 내에서 악용하며, 대상 장치의 bd 주소를 알고 있다 ②이 점을 이용하여, 공격자는 악의적인 l2cap 패킷을 전송한다. -> 서비스 거부 또는 커널 권한으로 임의 코드 실행이 가능해진다. 4. 대안책 리눅스 커널을 5.10 이상 버전으로 올리는 것 *업데이트 권고 5. .. 미라이형 loT 멀웨어 틴트(Ttint)에 대해 1. 틴트(Ttint) 봇넷이란? 원격 접근 트로이목마(RAT)로, 미라이(Mirai)를 기본으로 하고 DDoS 공격기능을 탑재하고 있는 봇넷이다. ★미라이(Mirai) loT 장비를 해킹하여 DDoS공격을 발생시키는 악성코드이다. ->차별점 : 웹 소킷 프로토콜을 사용한다 2. 공격 기능 ①소켓5(Socket5) 프록시 기능 ②라우터 DNS 조작 기능 : 영향을 받는 라우터 장치아래에서 사용자의 네트워크 접근을 가로채어 중요한 정보를 감시하거나 훔칠 수 있다. ③iptable 조작 기능 : 조작을 통해, 트래픽 포워딩(forwarding)과 target address 변환을 쉽게 달성할 수 있다. ④시스템 명령어 실행 기능 : popen 함수를 통해 C2에서 실행한 사용자 지정 시스템 명령을 실행한다 .. 블랙에너지(BlackEnergy) 3 멀웨어 1. 블랙에너지(BlackEnergy) 3 멀웨어를 사용한 사례 2016년 우크라이너의 전력 발전소에 악성코드를 통해 대규모 정전사태를 일으킴 2. 공격 방안 ①스피어피싱 이메일을 통해 멀웨어를 뿌림 ②이메일을 통해 블랙에너지 3 멀웨어는 패치가 되지 않은 오피스가 설치된 시스템을 찾아 매크로를 발동 (네트워크 스니핑을 하기위해) ③매크로를 이용하여 페이로드를 시스템에 퍼트림 ->이를 통헤, 로그인 정보를 포함한 많은 정보를 획득 ④또한 킬디스크(KillDisk)라는 디스크 삭제 멀웨어가 함께 사용 ->이를 통헤, 수동 통제로 전환되고 시스템 전체가 약해짐 (air-gap(망분리)처리되었어야 할 시스템이 인터넷에 연결되어 있었음) ★대립 되는 의견 "정말로 정전을 직접 일으킬 정도로 블랙에너지 멀웨어와 .. 틱톡 프로(TikTok Pro)에 대해 1. 틱톡 프로(TikTok Pro)란? 틱톡이 언제 금지될지 몰라 걱정하고 있는 사용자들의 심리를 노려서 각종 정보를 훔쳐가는 멀웨어이다. ※더욱 본격적인 스파이 기능을 갖춘, 프리미어급 멀웨어가 설치된다. 2. 공격방법 ①새 버전의 틱톡 광고를 하고 다운을 유도하는 메시지를 살포한다. ②링크를 클릭한 사용자의 장비에 멀웨어가 설치된다. ③실행 시, 페이스북 크리덴셜(credential)을 입력하라는 안내와 함께 여러 권한 허용 팝업창이 뜬다. ->페이스북 로그인 정보는 /storage/0/DCIM/.fdat에 저장되고 C&C서버로 전송된다. ④넘어간 크리덴셜은 여러 권한을 통한 스파잉이 시작된다. ⑤가짜 경고 창을 띄우고 피해자가 이 경고 내용에 신경을 쓰는 동안 앱의 아이콘이 삭제된다. ->사용자는.. 크립토시뷸(KryptoCibule)에 대해 1. 크립토시뷸(KryptoCibule)이란? 암호화폐와 관련된 세 가지 유형의 공격을 실시가능한 멀웨어 패밀리. 토르(Tor)네트워크만이 아니라 비트토렌트(BitTorrent) 프로토콜, 트랜스미션(Transmission)이라는 토렌트 클라이언트, 아파치(Apache) httpd, 부루(Buru) SFTP 서버를 공격에 활용한다는 특징을 가지고 있다. 주로 해적판 소프트웨어와 영화, 게임 등을 통해 퍼지고 있다. (2020-09-04 기준, 피해자들은 체코와 슬로바키아에서 나타나고 있다.) 2. 네 가지 암호화폐 관련 공격 기술 ①모네로(Monero) 채굴 ②이더리움(Ethereum) 채굴 ③암호화폐 지갑 주소를 클립보드에서 바꿔치기 함으로써 송금을 엉뚱한 곳으로 유도하기 ④암호화폐와 관련된 파일들 훔.. 다르마(Dharam) 랜섬웨어에 대해 1. 다르마(Dharam) 랜섬웨어란? 사용자가 해당 가짜 설치파일을 실행하면 랜섬웨어에 즉시 감염되어 사용자 PC내 파일이 암호화되고 사용자 PC에 설정된 '윈도우 시스템 복원 지점'을 삭제해 사용자의 시스템 복구를 방해한다. 이후 파일 복구 대가로 비트코인을 요구하는 화면(랜섬노트)이 나타난다. 공격자는 이 랜섬노트에 '언제 연락하는 지에 따라 금액이 변한다'고 적어 가격흥정도 시도한다. 2. 유포방식 공격자는 파일 생성 날짜, 속성 등을 변경.관리하기 위한 특정 외산 프로그램(프리웨어)의 실행파일을 위장해 이메일, 파일공유 사이트(P2P)등으로 다르마 랜섬웨어를 유포한다. 3. 최근 '이란 아마추어 해커'들이 다르마 랜섬웨어를 이용한 방식 처음에는 APT 공격자들이 주로 사용해 왔으나, 2020년 .. Pulse Secure의 VPN에서 발견한 취약점(CVE-2020-8218) 1. VPN이란? 큰 집단의 여러 곳에 있는 컴퓨터들을 잇는 사설 네트워크를 만들 때, 인터넷 네트워크와 암호화 기술을 이용하여 통신 시스템을 구축하는 것이다. 2. SSL VPN 업무자동화 시스템 SSL VPN과 그룹웨어의 결제시스템을 연동하여 VPN의 정책적용을 자동화해주는 정책관리 솔루션이다. 기능은 자동으로 사용기한에 맞게 정책을 적용해주고, 신청현황 및 사용현황, 리포트, 메일관리 등의 기능을 통해 운영업무의 효율성과 안정성을 제공한다. ->"보안 솔루션 전문 업체 펄스시큐어(Pulse Secure)가 신종 코로나 바이러스 사태 여파로 직장을 폐쇄하거나 직장을 폐쇄하거나 재택 근무에 돌입한 기업들에 보안 원격 액세스 솔루션(VPN)을 무료로 제공할 계획이다." 3. 발견된 취약점(CVE-2020.. 이전 1 2 다음
