Fileless cryptocurrency miner CoinMiner uses NSA EternalBlue exploit to spread 새로운 파일리스 채굴기인 CoinMiner가 발견 되었습니다. 이는 확산을 위해 NSA의 EternalBlue 익스플로잇과 WMI 툴을 사용하는 것으로 나타났습니다. CoinMiner는 감염 된 시스템에서 명령어를 실행하기 위해 WMI(Windows Management Instrumentation) 툴킷을 이용하는 파일리스 악성코드입니다. 보안전문가는 “이 공격은 지속성 확보를 위해 WMI를 사용한다. 특히, 스크립트 실행을 위해 WMI Standard Event Consumer 스크립팅 프로그램 (scrcons.exe)를 사용한다. 시스템에 침투하기 위해, 악성코..

국내외 보안동향 2017. 8. 23. 16:07

Cyberspies Are Using Leaked NSA Hacking Tools to Spy On Hotels Guests 러시아와 관련이 있는 악명높은 사이버 스파잉 그룹이 WannaCry와 NotPetya에 사용 된 유출 된 NSA 해킹툴을 사용하고 있는 것으로 나타났습니다. 이들은 유럽 국가들에서 호텔의 고객들을 스파잉하기 위해 Wi-Fi 네트워크를 노리고 있었습니다. 보안 연구원들은 이 캠페인이 유럽 호텔들에서 Wi-Fi 네트워크를 사용하는 가치 높은 고객들을 대상으로 원격으로 크리덴셜을 훔치며, FancyBear 해킹 그룹과 관련이 있다고 밝혔습니다. 새로이 발견 된 이 캠페인은 EternalBlue라고도 불리우는 윈도우의 SMB 익스플로잇 (CVE-2017-0143)을 악용하고 있는 것으로 ..

국내외 보안동향 2017. 8. 16. 10:15

최근 RiskSense 보안연구원은 20년동안 존재하던 Windows SMB 취약점을 발견하였으며, 이를 SMBloris라 명명하였습니다. Slowloris와 SMBloris는 서버를 무력화 시킬 수 있으나, 다른점은 SMBloris는 Web서버만을 타겟으로 하고 있다는 점입니다. 이번 SMBloris 취약점은 WannaCry가 사용했던 SMB 취약점을 분석하는 과정에서를 발견하였습니다. 이 취약점을 악용하면, 공격자는 20줄의 파이선 코드와 라즈베리파이를 이용하여 원격에서 윈도우 서버를 무력화 시킬 수 있습니다. 하지만 MS는 해당 취약점에 대하여 수정하지 않겠다고 밝혔습니다. 해당 공격은 서버의 가용한 메모리를 모두 할당하며, OS는 오랜 시간동안 메모리 목록에서 할당되지 않은 메모리를 찾습니다. 이..

국내외 보안동향 2017. 8. 3. 17:30

WannaCry Inspires Banking Trojan to Add Self-Spreading Ability 보안연구원들은 최근 랜섬웨어를 전 세계로 효과적으로 유포하기 위하여, 뱅킹 트로이목마에 웜과 유사한 기능 추가를 시도중인 사이버 범죄자 그룹을 발견하였습니다. “1000029” (v24)로 알려진 크리덴셜을 훔치는 TrickBot 뱅킹 악성코드의 새로운 변종이, WannaCry와 Petya 랜섬웨어가 악용한 Windows Server Message Block(SMB)를 사용하는 것으로 나타났습니다. TrickBot은 작년부터 전 세계의 금융 기관들을 노린 뱅킹 악성코드입니다. (▶자세히 보기) 이 트로이목마는 보통 이름 없는 “국제 금융 기관”의 인보이스로 위장한 이메일 첨부파일을 통해 확산됩..

국내외 보안동향 2017. 8. 3. 15:03

Source Code For SLocker Android Ransomware That Mimics WannaCry Leaked Online 얼마 전, WannaCry 모방 랜섬웨어로 소개해 드렸던 안드로이드 랜섬웨어들 중 하나인 SLocker 랜섬웨어의 소스코드가 온라인에 유출되었습니다. (▶ 워너크라이 랜섬웨어 화면으로 위장한 모바일 랜섬웨어 등장 자세히 보기) 이로서 공개된 랜섬웨어의 소스코드를 이용하여, 사이버 범죄자들은 더욱 고성능의 안드로이드 랜섬웨어를 개발해 낼 수 있게 되었습니다. 이번에 공개된 SLocker 랜섬웨어의 소스코드는 'fs0c1ety'라는 닉네임을 사용하는 사용자가 공개했으며, 이 사용자는 모든 GitHub 사용자들에게 이 코드에 기여하고 버그 리포트를 제출하라고 요구하고 있습..

국내외 보안동향 2017. 7. 25. 15:38

AV-TEST: The number of malware decreases, but their complexity increases AV-TEST의 보안 리포트 2016/2017에 따르면, 2016년에 탐지 된 악성코드 샘플들의 수는 비록 2015년에 비해 감소했지만, 더욱 정교해진 것으로 나타났습니다. 최근 NotPetya와 WannaCry와 같은 랜섬웨어 기반의 대규모 공격들, Mirai와 같은 IoT 악성코드, 뱅킹 악성코드들은 탐지를 피하고 빠르게 확산되기 위해 새로운 정교한 기술들을 구현했습니다. AV-TEST는 2016년 대략 1.275억개의 악성코드 샘플을 발견했으며, 2015년 발견 된 악성코드 샘플 수는 1.44억개(+14%) 입니다. 이 연구소는 매일 약 35만개의 새로운 악성코드 샘플들..

국내외 보안동향 2017. 7. 6. 15:20

최초 감염 원인 우크라이나의 소프트웨어 벤더인 M.E.Doc가 27일 아침 “당사의 서버가 바이러스 공격을 받고 있다”는 공지를 발행했습니다. 하지만 몇 시간 후, Petya 랜섬웨어가 우크라이나 전체를 넘어 다른 국가에까지 퍼지기 시작하자 M.E.Doc은 페이스북에서 그들의 서버는 어떠한 악성코드도 퍼뜨리지 않았다고 부인하고 있습니다. 또한 CVE-2017-0199취약점이 포함된 doc 파일이 첨부된 이메일로도 유포 되고 있다는 주장도 있지만, 아직 입증되지는 않고 있습니다. 이 주장이 잠재적으로 사실일 가능성이 있지만, 우크라이나의 수 많은 공공 기관들을 감염시킨 원인은 아닌 것으로 보입니다. ▶ Petya랜섬웨어 대응방법 자세히 보러가기 Petya 랜섬웨어의 특징 Petya는 예전에 Petya라 불..

국내외 보안동향 2017. 6. 28. 15:13

▲ 부팅 화면에서 보여지는 페트야(PETYA) 랜섬웨어 결재 안내창 27일(현지시간)부터 유럽을 중심으로 급속히 확산되고 있는 ‘페트야(Petya) 랜섬웨어’가 워너크라이 랜섬웨어와 상당 부분 유사하며, 일부 진화된 특성으로 더욱 큰 피해도 가져올 수 있는 것으로 보입니다. 이에 사용자 주의를 당부 드립니다. 지난 5월 발생한 워너크라이 랜섬웨어 공격이 기존의 랜섬웨어와 비교해 매우 빠른 속도로 세계 각국에 확산된 이유로는 두 가지를 들 수 있습니다. 첫 번째로는 최초로 윈도 OS의 SMB 취약점을 활용한 점과 한 대의 PC가 감염되면, 인터넷에 연결되어있고 보안에 취약한 다른 PC를 무작위로 찾아내 감염 공격을 시도하여 마치 전염병과 같은 네트워크 웜(Worm)의 특성도 지니고 있었기 때문입니다. 현재..

이스트시큐리티 소식 2017. 6. 28. 13:08