알약 월간 보안동향 보고서 - ESTsecuritycdn1.estsecurity.com/statichomepage/img/newsletter/... · 2017. 3. 23. · 기간 2017 년 02월 01 일 ~ 2017 년 02월 28 일 총

알약 월간 보안동향 보고서.

2017년 3월

Copyright 2014-present ESTsoft corp. All rights reserved.

Copyright by ESTsoft corp. All rights reserved.

알약 3월 보안동향보고서 CONTENTS

Part1 2월 악성코드 통계

Part2 악성코드 이슈 분석

Part3 보안 이슈 돋보기

Part4 해외 보안 동향

악성코드 통계

허니팟/트래픽 분석

스미싱 분석

개요

악성코드 상세 분석

결론

2월의 보안 이슈

2월의 취약점

영미권

중국

일본



알약 3월 보안동향보고서

2 월 총평

2017년 2월에도 랜섬웨어의 공격이 계속 이어졌습니다. 특히 기존에는 없었던 프린터 해킹이라는 새로운 기법이 확인되어 이슈가

크게 되었습니다.

‘당신의 프린터가 해킹되었습니다’라는 메시지를 외부에 오픈된 네트워크와 연결된 프린터를 해킹하여 출력시키는 이슈가 발생하였

습니다. 사용자가 별다른 인쇄 명령을 하지 않았음에도 불구하고 프린터를 통해 해킹이 되었다면서 랜섬머니를 요구하는 공격이 발

생되었습니다. 이는 각 프린터 기기를 제어하기 위해 사용되는 PCL(Printer Command Language), PJL(Printer Job Language)등의 통

신 언어를 악용해서 인터넷에 연결된 특정 프린터로 인쇄 명령을 전송하는 것으로 확인되었습니다. 실제적으로 프린터가 작동 불능

이 되거나 시스템에 랜섬웨어 공격을 직접적으로 수행한 경우는 아니었지만 향후 발전된 형태의 공격이 가능하다는 점에서 이슈가

되었습니다.

그 외에도, 전통적으로 있어왔던 이메일을 통한 랜섬웨어 공격도 계속 이어졌습니다. 기존에도 조금씩 발견되기도 했지만 특히 2월

에는 ‘한국맞춤형’ 랜섬웨어 공격이 여러 차례 발견되었는데요. 공격자들은 교육일정표를 위장하거나 유명 단체를 사칭하는 형태로

한국인이 관심을 가지기 쉬운 주제로 메일을 보내 사용자로 하여금 첨부파일을 열람하게 하는 형태로 공격을 진행했습니다.

랜섬웨어 공격자들은 단순하게 불특정다수에게 메일을 뿌리는 것이 아니라 연말정산이슈나 조직내 연초 내부지침사항처럼 주로 2

월에 사용자들이 많은 관심을 보일만한 내용으로 메일이나 첨부파일제목을 구성하여 공격을 시도하는 치밀함까지 보이고 있습니다.

항상 최근 보안이슈사항에 대해 관심을 가지고, 랜섬웨어에 공격을 당하더라도 피해를 겪지 않도록 주기적으로 중요 자료를 별도 매

체에 백업하는 것은 물론 이메일에 첨부된 파일을 실행하기 전에는 꼭 다시 한번 확인해보는 자세가 필요합니다.


Part1. 2월의 악성코드 통계

악성코드 통계

허니팟/트래픽 분석

스미싱 분석



1. 악성코드 통계

감염 악성코드 TOP15

감염 악성코드 Top 15는 사용자 PC에서 탐지된 악성코드를 기반으로 산출한 통계이다.

2017년 2월의 감염 악성코드 Top 15 리스트에서는 지난 1월에 1위를 차지했던 Trojan.HTML. Ramnit.A 악성코드가 2달

연속으로 1위를 차지했으며 2위 역시 지난달 2위였던 Adware.Searchsuite이 차지했다. 지난달에는 10위였던

Trojan.Acad.Bursted.AS가 7계단 뛰어올라 3위를 차지한 것이 확인된다. Trojan.Acad.Bursted.AS는 오토캐드와 관련된 설정을

임의로 변경하거나 오토캐드 파일을 삭제 또는 AutoLisp 스크립트파일을 감염시키는 악성코드이므로 오토캐드를 업무상

활용하시는 기업들의 주의가 필요하다.

순위 등락 악성코드 진단명 카테고리 합계

(감염 건수)

1 - Trojan.HTML.Ramnit.A Trojan 1591648

2 - Adware.SearchSuite Adware 1354200

3 ↑7 Trojan.Acad.Bursted.AS Trojan 396984

4 ↓1 Exploit.CVE-2010-2568.Gen Exploit 371529

5 ↓1 Trojan.LNK.Gen Trojan 330940

6 ↑1 Worm.ACAD.Bursted.doc.B Worm 274802

7 ↓2 Misc.Keygen Trojan 271504

8 ↓1 Win32.Neshta.A Trojan 259118

9 - Win32.Ramnit Trojan 258769

10 New Gen:Variant.Graftor.182194 Trojan 245804

11 ↓3 Win32.Ramnit.N Trojan 204384

12 ↓4 Worm.ACAD.Kenilfe Worm 203085

13 - Virus.IFrame.jL Virus 167564

14 - Adware.GenericKD.4222691 Adware 144671

15 New Adware.GenericKD.4273871 Adware 144539

*자체 수집, 신고된 사용자의 감염 통계를 합산하여 산출한 순위임 2017년 02월 01일 ~ 2017년 02월 28일



악성코드 유형별 비율

악성코드 유형별 비율에서 트로이목마(Trojan) 유형이 가장 많은 57%를 차지했으며, 애드웨어(Adware) 유형이 26%로 그 뒤를

이었다.

카테고리별 악성코드 비율 전월 비교

2월에는 1월에 비해 트로이목마, 애드웨어 유형의 악성코드가 크게 증가하였다 .

트로이목마

57%

트로이목마 (Trojan)

스파이웨어 (Spyware)

애드웨어 (Adware)

취약점 (Exploit)

웜 (Worm)

기타 (Etc)

백도어 (Backdoor)

바이러스 (Virus)

하이재커 (Hijacker)

호스트파일 (Host)

취약점

6%

애드웨어

26%

바이러스

3%웜

8%

5%

0%

3%

3%

8%

9%

0%

24%

0%

48%

100%

0%

0%

0%

3%

6%

8%

0%

26%

0%

57%

100%

0% 20% 40% 60% 80% 100%

기타(Etc)

호스트파일(Host)

백도어(Backdoor)

바이러스 (Virus)

취약점(Exploit)

웜 (Worm)

하이재커(Hijacker)

애드웨어(Adware)

스파이웨어 (Spyware)

트로이 목마 (Trojan)

2월

1월



2. 허니팟/트래픽 분석

2월의 상위 Top 10 포트

허니팟/정보 수집용 메일서버를 통해 유입된 악성코드가 사용하는 포트 정보 및 악성 트래픽을 집계한 수치

최근 3개월간 상위 Top 5 포트 월별 추이

3389

22

32%

2%

22222

1%

1433

2%

80

1%

23

22

25

3306

3389

1433

8080

22222

80

5900

36%

2%

23

8080

1%

3306

25

22%

5900

1%

23 22 25 21 3389

2016년 12월

2017년 1월

2017년 2월



악성 트래픽 유입 추이

외부로부터 유입되는 악의적으로 보이는 트래픽의 접속 시도가 감지된 수치

단위 : 악의적 트래픽 접속 시도 감지 건수 2016년 09월 ~ 2017년 02월

7001875

10547461

9097428

720480

1273736

663586

2016년 9월 2016년 10월 2016년 11월 2016년 12월 2017년 1월 2017년 2월



3. 스미싱 분석

알약 안드로이드를 통한 스미싱 신고 현황

기간 2017년 02월 01일 ~ 2017년 02월 28일

총 신고건수 2,730건

키워드별 신고내역

키워드 신고 건수 비율

결혼 32 1.17%

택배 25 0.92%

동영상 9 0.33%

초대 8 0.29%

결혼 6 0.22%

사진 5 0.18%

여행 4 0.15%

돌잔치 3 0.11%

주말 2 0.07%

어플다운 1 0.04%

스미싱 신고추이

지난달 스미싱 신고 건수 3,864건 대비 이번 달 2,730건으로 알약 안드로이드 스미싱 신고 건수가 전월 대비 1,134건 감소했다.

이번 달은 결혼 관련 스미싱이 대부분을 차지했으며, 어플 다운로드 스미싱이 새로 등장했다.



알약이 뽑은 2월 주목할만한 스미싱

특이문자

순위 문자 내용

1 [Web 발신] 다음 URL 을 터치하시면 어플이 다운됩니다.

2 행복한주말되세요 ~♡

3 [초대](꼭^♡^)(^♡^와)주♡세♡요~

다수문자

순위 문자 내용

1 (^♡^저）☆（희^♡^）☆（결> 혼<합)니☆다^^

2 [Web발신] 백명숙고객님 8.30 배송입니다 확인하세요

3 여o기o에y 너 r이상한 동영상j 있w는데 바로 삭q제하세요

4 [초대](꼭^♡^)(^♡^와)주♡세♡요~

5 전 o기억나o세i요? 동창g인데h요 여기z에 같k이 찍은사h진 있어요

6 [법원] 등기 발송하였으나 전달부가(부재중) 이였습니다 내용확인

7 l2 우 리(같n이 여행가요- 고고싱^~

8 [Web발신] ^^우리 둘째아들첫돌^^10월30일 오후:6시 선샤인웨딩홀9층바로가기

9 행복한주말되세요 ~♡

10 [Web발신] 다음URL을 터치하시면 어플이 다운됩니다.


Part2. 2월의 악성코드 이슈 분석

개요

악성코드 상세 분석

결론


Part2. 2월의 악성코드 이슈

[Multi-Stage Downloader의 은밀한

파밍 공격 위협]악성코드 분석 보고서

1. 개요

오래 전부터 국내에서 활동하고 있는 전자금융사기 조직은 국내 애드웨어 서버를 해킹하여 온라인게임 계정 탈취를 시도하는

온라인게임핵 악성코드부터 메모리해킹, 파밍 악성코드에 이르기까지 수많은 악성코드들을 유포해왔다.

[그림 1] 전자금융사기 조직의 진화

이들 조직은 최근까지 국내 일부 애드웨어 서버를 이용하여 특정 시간대에만 은밀하게 파밍 악성코드를 유포해왔다. 국내 중소 웹

사이트에서 유포되는 악성코드와 달리 애드웨어를 통한 경로에서는 ‘멀티 스테이지 방식의 다운로더(Multi-Stage Downloader)’

악성코드가 활용이 되어 보안 관제를 회피하려고 한다.

또한 금융 정보 탈취를 목적으로 개설한 파밍 사이트에서는 인출과 관련해 추가적인 정보를 요구하고 있으며, 한국인을 대상으로

하는 코드도 확인 되어, 국내 온라인뱅킹 이용자들의 위험도가 높아지고 있어 주의가 필요하다.



2. 악성코드 상세 분석

2.1 유포 과정 분석

여전히 많은 이용자들은 안전한 공식 홈페이지를 이용하는 것보다 포털 사이트에서 검색하여 프로그램을 손쉽게 다운받으려고

한다. 그렇기에 애드웨어 다운로더를 관리하는 업자들은 이용자들의 이러한 검색 행태를 이용한다.

즉 이용자들의 주로 검색할 만한 키워드를 글의 내용과 제목에 포함시키고, 다운로더 링크를 교묘히 삽입해서 블로그에 글을 올린다.

일례로 안드로이드 기기에서 작동하는 게임을 다운받기 위해 포털 사이트에서 검색할 경우 아래의 검색 결과를 확인할 수 있다.

[그림 2] 포털 사이트 검색 결과 화면

[그림 3] 다운로드를 미끼로 한 다운로더 유도 화면



만일 이용자가 현혹되어 다운로드할 경우 아래와 같은 다운로더가 실행된다. 마치 정상 프로그램을 다운받을 수 있는 프로그램처럼

보여지지만, 이용자가 인지 못하는 곳에 다수의 애드웨어를 설치할 수 있는 리스트가 숨어있다.

[그림 4] 숨어 있는 애드웨어 리스트 화면

이용자가 무심결에 ‘파일전송시작’ 버튼을 누르게 되면, 골드 버전 파일과 함께 애드웨어가 설치된다. 그리고 공격자는 상기 애드웨어

리스트 중에서 취약한 서버를 해킹해 파밍 악성코드를 유포한다. 이 과정에서 이용자들은 파밍 악성코드에 노출이 되어 피해를 보게

된다.

2.2 악성코드 유포 방식

최근 애드웨어 경로를 통한 전자금융사기 조직의 유포 방식은 두 가지이며, 첫 번째는 국내 애드웨어 서버 내 구성요소 파일들을

파밍 악성코드로 변조하는 방법, 두 번째는 서버의 업데이트 구성요소 페이지를 악성 URL이 포함된 페이지로 변조하는 방법이

있다.

[그림 5] 파밍 악성코드 유포 방식



첫 번째 방법의 경우 공격자는 애드웨어 서버를 해킹하여 실제 이용자가 설치했을 때 사용할 구성요소 파일들을 변조한다.

대표적으로 *-Ton은 업데이트 동작 없이 광고 동작을 수행한다. 따라서 공격자는 서버 내 설치 파일을 파밍 악성코드로 변조한다.

두 번째 방법의 경우 공격자는 애드웨어 서버와 특정 웹 서버를 해킹한다. 애드웨어 서버는 서버 내 업데이트 구성요소 페이지를

악성 URL이 포함된 페이지로 변조하며, 정상 웹 서버에는 파밍 악성코드 파일들을 업로드한다.

대표적으로 동일한 IP 대역에 위치한 *****AdPop, ****Pop, ***Line과, ******* Utility Update는 아래와 같은 형태로 페이지가

변조되어 다른 웹 서버에 업로드된 파일의 URL을 로딩하여 다운로드 및 실행한다.

[그림 6] 업데이트 구성요소 페이지 변경 화면

실제 제휴 프로그램 배포 사이트들을 조사한 결과 이용자들이 파밍 악성코드에 직간접적으로 노출 될 가능성이 높음을 확인할 수

있다.

[그림 7] 제휴 프로그램 내 파밍 유포 애드웨어 리스트



2.3 상세 분석

2.3.1 Multi-Stage Downloader 악성코드

Multi-Stage Downloader의 경우 2016년 4월 초부터 *******Tab, ******Keyword를 통해 유포가 이루어 졌으며, 꾸준히 변화를

거듭해오고 있다.

[그림 8] 악성코드 기능 개요도

1) Wininet API을 활용하여 국내 특정 웹 사이트에서 확장자 없는 cod43 파일, 즉 Binary Block를 받아온다.

[그림 9] Binary Block 다운로드 화면



2) 정상적으로 다운로드 되었을 경우 Binary Block Section으로 이동하여 test(숫자).jpg를 다운로드하고 다운로드한 파일 영역의

Entry Point로 이동한다.

[그림 10] Binary Block에 복사하는 화면

3) test(숫자).jpg Section에서는 한국어 지원 여부를 체크하고, 현재 시스템이 한국어를 지원하지 않는다면 프로세스를 종료한다.

[그림 11] 시스템 언어가 한국어인지 확인하는 코드 화면

4) 시스템 언어가 한국어라면, 기기의 맥 어드레스를 수집하여 아래의 형태로 C&C로 전송하고, 동시에 파밍 악성코드를 임시

폴더에 다운로드 및 실행한다..

(C&C주소)/ca.php?m=(암호화된 맥어드레스)&h=949



2.3.2 파밍 악성코드

최종적으로 파밍 악성코드는 로컬 호스트(127.0.0.1)의 특정 포트를 프록시로 설정한다. 즉 로컬 호스트의 특정 포트로 서버를

구축하고, 파밍 사이트에 접속할 수 있도록 한다. 또한 재부팅 시 파밍 실행을 위해 레지스트리에 등록한다.

[그림 12] 자동 구성 스크립트 변경 화면

[그림 13] C&C 정보

그리고 공인인증서(NPKI) 정보 탈취와 함께 국내 주요 포털 사이트 접속 시 금융감독원 팝업창을 노출해,

이용자에게 ‘고객 정보 유출’과 같은 키워드로 불안감을 조성하여 금융 정보 입력을 유도한다.



[그림 14] 파밍 사이트 금융감독원 팝업창 화면

최근 파밍 사이트에서는 주민등록증 등의 신분증 발행일자와 은행에 계좌 개설시 등록한 주소도 추가적으로 요구하고 있다. 이는

은행 예금 계좌에서 인출간 추가적으로 인증절차에 필요한 정보를 사전에 확보하여 아무런 문제 없이 보다 더 세밀히 돈을 빼내기

위한 목적으로 보여진다.

[그림 15] 신분증발행일자, 은행 주소 입력 유도 화면



3. 결론

국내 애드웨어 서버의 경우 단순히 이용자들로부터 광고 수익만을 추구하려고 하기에, 서버 관리를 제대로 하지 않는 경우가 많다.

그렇기에 전자금융사기 조직이 이러한 점을 악용하여 파밍 악성코드를 유포하고 있는 실정이다.

이번 공격의 경우, 국내 웹 사이트를 통한 DBD(Drive-By-Download) 공격 방식에서 사용되는 Adobe Flash Player, Java 등의 보안

취약점과 무관하게 감염이 쉽고, 여전히 많은 이용자들이 공식 홈페이지 대신 신뢰할 수 없는 사이트를 통해 필요한 파일들을

다운로드하고 있어서, 공격자에게 큰 메리트로 작용되고 있다.

또한 시스템 언어가 한국어인지 확인하는 점은 전자금융사기 범죄의 대상을 한국인으로 하고 있으며, 감염 PC 정보를 카운트 로그에

축적하고 있는 점은 정보 필터링 이후, 추가 공격이 가능하다는 점을 시사한다.

단순히 파밍만으로 끝나는 일이 아니라 얼마든지 다양한 공격으로 진화할 수 있음을 의미하고 있다. 또한 수집된 금융 정보나 감염

PC의 DB를 블랙마켓(Black Market)에서 제 3자에게 판매할 수 있는 점도 상당히 위협적이라고 할 수 있다.

[그림 16] 감염자가 기록된 로그 화면



따라서 서버 관리자는 침해사고가 발생하지 않도록 서버 내 취약점을 제거해야 하고, 일반 이용자들은 필요한 프로그램들은 출처가

불분명한 곳보다는 공식 홈페이지에서 다운받을 수 있도록 보안 습관을 가질 수 있도록 해야 한다.


Part3. 보안 이슈 돋보기


2월의 취약점




알약이 뽑은 TOP 이슈

- 4차 산업혁명 대비.. 금융보안 전문 자격제도 만든다

금융보안원은 올해 금융보안 전문자격제도를 도입한다고 밝혔다. IT 지식뿐만 아니라 컴플라이언스와 금융서비스 전반에 높은

이해도를 가진 자격제도이다. 금융 IT법규와 인터넷 뱅킹 보안 등 금융권에 특화한 보안 분야를 검증하며, 민간 자격증으로

시작할 예정이다.

- 3년전 보안 취약점 ‘하트블리드’, 20만여 개 사이트 여전히 방치… SK 브로드밴드가 최대

세계 20여만개 웹사이트가 ‘하트블리드’에 여전히 취약한 것으로 나타났다. 2014년에 발견된 이 취약점은 공격 코드가 단순하고

로그 기록이 남지않을 뿐만 아니라 피해 규모 산출이나 언제부터 공격을 당했는지 가늠하기 조차 어렵다. 취약점이 발견된 지

3년이 지났지만, 하트블리드 취약점에 노출된 웹사이트는 미국이 4만 2032개로 가장 많았으며, 그 뒤를 이어 한국이 1만

5380개 였습니다. 그 중 SK브로드밴드는 6376개로 취약한 사이트를 가장 많이 호스팅하는 기관으로 뽑혔습니다.

- 국내 첫 SW ‘정보보호 인증’ 탄생

한국산업기술시험원은 ‘SW제품에 대한 개인정보보호 기능’ 분야 KTL 인증을 도입하고 첫 인증서를 발급했다. KTL SW 제품

개인정보보호기능 인증은 개인정보보호법을 바탕으로 자체 기술 규격을 적용했으며, 개인정보보호법 6개 법령 중 SW제품에서

지원하는 기술 요구 사항을 발췌해 반영했다. 우리나라 최초 SW제품에 개인정보보호 기능 인증이 주어진 것이다.

- 5년만에 개정된 개인정보 암호화 안내서

개인정보 처리자가 개인정보를 안전하게 저장하고 전송하는데 필요한 암호화와 관련된 안내서인 ‘개인정보의 암호화 조치 안내서’

개정안이 최근 발표 됐다. 이번 개정안은 2012년 10월에 발표한 안내서 이후 처음 개정되었으며, 그동안 바뀐 법률이나 시행령,

최신 암호화 기술 등을 잘 짚어서 안내하고 있다.



- 온라인 맞춤형 광고 시 이용자에게 미리 고지해야

방송통신위원회는 앞으로 페이스북, 구글, 네이버 등 인터넷 기업들은 이용자의 웹 검색 등을 토대로 한 맞춤형 광고를 하려면

미리 이용자에게 개인 정보를 수집한다는 사실을 알려야 한다는 내용의 온라인 맞춤형 광고 개인정보보호 가이드라인을

제정했다. 이 가이드라인은 사업자나 이용자 대상 설명회와 교육을 거쳐 7월부터 시행되지만, 법적 강제성이 없는

가이드라인이기 때문에 지키지 않는다고 해서 사업자를 처벌할 수는 없다.

- 아시아나 해킹, ‘핵티비즘’ 앞세운 ‘웹변조’로 추정

20일 아시아나항공 홈페이지가 익명의 해커 집단으로부터 해킹을 당했다. 아시아나 홈페이지 첫 화면에는 ‘정의도 평화도

없다’는 메시지와 함께 복면을 쓴 남성들의 그림이 나오는 해킹 화면이 뜨면 정상적인 접속이 불가능 했다. 이에

미래창조과학부와 한국인터넷진흥원, 경찰 등이 공동으로 현장조사에 참여했으며, 개인정보 탈취를 위한 목적 보다는 단순한 웹

변조 형태일 것이라고 추정하였다.

- 중고폰 유통에 ‘데이터 영구 삭제’ 의무화해야 할까

최순실 사태로 스마트폰의 데이터를 영구 삭제하는 시장이 열릴 조짐인 가운데, 중고폰을 유통할 때 폰 안의 데이터를 영구

삭제한 뒤 유통하도록 의무화해야 하는가를 두고 논란이 거세지고 있다. 데이터 영구 삭제를 의무화하자는 측은 개인정보 유출의

위험성을 주장하고 있으며, 반대하는 측은 해외 어느 나라에도 영구 삭제가 의무화되지 않았다는 점을 지적하며 권장할 일이지

의무화는 안된다는 입장을 보이고 있다.

- 군, 북 해킹 대응 ‘사이버 킬 체인’ 구축하기로

국방부가 북한의 사이버 공격에 대응하는 ‘사이버 킬 체인’ 구축 기본계획을 연내 수립하기로 했다. 사이버상의 공격자는 표적에

대한 공격을 위해 일련의 공격 단계를 거치는데, 이런 단계 중 어느 한 단계의 공격을 탐지, 차단, 대응해 목표달성 이전에

무력화시키는 방어 개념을 사이버 킬 체인이라고 한다. 기본계획에는 현행 국방사이버방호체계 구성과 현황을 분석하고, 북한

사이버 위협 및 공격 양상을 비롯한 예상되는 공격 유형과 기술 분석 내용이 포함될 것이라고 밝혔다.



2월의 취약점 이슈

WordPress 보안 업데이트 권고

WordPress社는 취약한 인증, SQL 인젝션 취약점, 크로스 사이트 스크립팅 취약점, 권한 상승 취약점 총 4종을 해결한

보안 업데이트를 발표[1]

- 상세정보

영향 받는 버전의 사용자는 최신 버전으로 업데이트 권고

[영향 받는 소프트웨어]

WordPress v4.7.1 및 이하버전

- 해결법

영향 받는 소프트웨어 최신 버전 설치

– 대쉬보드(알림판) – 업데이트 – “Update Now” 클릭



[참고사이트]

[1] https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/



Cisco 다중 취약점 보안 업데이트 권고

Cisco社는 자사의 제품에 영향을 주는 취약점을 해결한 보안 업데이트를 발표

공격자는 해당 취약점을 악용하여 권한 상승, 서비스 거부 등의 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트

권고

- 상세정보

o Cisco Industrial Ethernet 2000 Series 스위치의 Common Industrial Protocol에서 발생하는 서비스 거부 취약점

(CVE-2017-3812) [1]

o Cisco Prime Service Catalog의 웹 프레임워크에서 발생하는 URL 리다이렉트 취약점(CVE-2017-3810) [2]

o Cisco Prime Home의 웹 기반 GUI에서 발생하는 권한 상승 취약점(CVE-2017-3791) [3]

o Cisco Firepower Device Manager(FDM)의 로그 시스템에서 발생하는 로그 기록 변조 취약점(CVE-2017-3822) [4]

o Cisco FirePower 시스템에서 발생하는 보안 기능 우회 취약점(CVE-2017-3814) [5]

o Cisco Firepower 4100 Series Next-Generation Firewall(NGFW) 및 Firepower 9300 Security Appliance의 명령어 처리 모듈에서

발생하는 시스템 명령 실행 취약점(CVE-2017-3806) [6]

o Cisco Firepower Management Center(FMC)의 정책 모듈 스푸핑 취약점(CVE-2017-3809) [7]

o Cisco Email Security Appliances(ESA)용 Cisco AsyncOS 소프트웨어의 Multipurpose Internet Mail Extensions(MIME) 스캐너에서

발생하는 인증 우회 취약점(CVE-2017-3818) [8]

o Cisco cBR Series Converged Broadband 라우터에서 발생하는 서비스 거부 취약점(CVE-2017-3824) [9]

o Cisco IOS XE 소프트웨어를 실행하는 Cisco ASR 1000 Series Aggregation Services Routers의 SNMP 기능에서 발생하는 서비스

거부 취약점(CVE-2017-3820) [10]

[영향 받는 제품]

참고사이트에 명시되어 있는 ‘Affected Products’를 통해 취약한 제품 확인

- 해결법

취약점이 발생한 Cisco 소프트웨어가 설치된 Cisco장비의 운영자는 해당사이트에 명시되어 있는 ‘Affected Products’ 내용을

확인하여 패치 적용

[참고사이트]

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170201-psc1

[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170201-psc

[3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170201-prime-home

[4] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170201-fpw2

[5] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170201-fpw1

[6] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170201-fpw



[7] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170201-fmc

[8] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170201-esa1

[9] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170201-cbr

[10] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170201-asrsnmp

한컴오피스 2월 정기 보안 업데이트 권고

한글과컴퓨터社는 아래한글 등 오피스 제품에 대한 보안 업데이트를 발표

- 상세정보

영향 받는 버전의 사용자는 악성코드 감염에 취약할 수 있으므로, 아래 해결방안에 따라 최신버전으로 업데이트 권고

[해당 시스템]

제품군 세부 제품 영향 받는 버전

한컴오피스 NEO

공통 요소 9.6.1.6154 버전 및 하위 버전

한글 NEO 9.6.1.4060 버전 및 하위 버전

한셀 NEO 9.6.1.4486 버전 및 하위 버전

한쇼 NEO 9.6.1.4703 버전 및 하위 버전

한워드 NEO 9.6.1.4606 버전 및 하위 버전

뷰어 9.6.1.6160 버전 및 하위 버전

한컴오피스 2014 VP


한글 2014 VP 9.1.1.3434 버전 및 하위 버전

한셀 2014 VP 9.1.1.3401 버전 및 하위 버전

한쇼 2014 VP 9.1.1.3502 버전 및 하위 버전

한컴오피스 2010 SE+


한글 2010 SE+ 8.5.8.1535 버전 및 하위 버전

한셀 2010 SE+ 8.5.8.1448 버전 및 하위 버전

한쇼 2010 SE+ 8.5.8.1590 버전 및 하위 버전



- 해결법

한글과컴퓨터 홈페이지에서 보안업데이트 파일을 직접 다운로드 받아 설치하여 영향 받지 않는 버전(보안#48)으로 업데이트[1]

한글과컴퓨터 자동 업데이트를 통해 최신버전으로 업데이트

- 시작 → 모든 프로그램 → 한글과컴퓨터 → 한컴 자동 업데이트 2014

[참고사이트]

[1] http://www.hancom.com/cs_center/csDownload.do



프린터, 포스기 대상 인쇄물 자동 출력 공격 주의

공격자에 의해 프린터, 포스기(POS) 대상 해킹 관련 영문 메세지가 자동으로 출력되는 사례가 발생하여 이에 대한

이용자 주의 당부

※ 네트워크 인쇄 및 이메일 주소 인쇄 기능을 악용, 외부 인터넷에 연결된 제품 대상으로 인쇄물을 출력시켜 정상

서비스에 차질 발생

- 상세정보

[영향 받는 제품]

네트워크 출력 기능이 포함된 프린터, 포스 기기

[출력 사례]



- 해결법

o 영향 받는 기기를 공인 IP 사용이 아닌 내부 사설IP로 변경하여 사용 권고

o 방화벽에서 프린터 제어 PCL(Printer Command Language), PJL(Printer Job Language)프로토콜이 사용하는 포트(9100번)를

외부와 차단 권고

o 허용된 사용자 IP만 인쇄 기능을 동작 시킬 수 있도록 방화벽 및 프린터 권한 설정 권고

o 프린터 인쇄물 정보 유출을 사전에 예방하기 위해 프린터 관리자(웹 페이지 등)의 디폴트 패스워드를 안전하게 변경하여 사용하고

캐시파일, 스캔파일 등을 주기적으로 삭제

BIND DNS 신규 취약점 보안 업데이트 권고

ISC는 BIND 소프트웨어에서 발생하는 원격 서비스 거부(Denial of Service) 취약점을 해결한 보안 업데이트 발표 [1]

- 상세정보

DNS64와 RPZ를 동시에 설정하여 사용하는 경우, 구동 중 오류로 인해 서버 구동이 중단될 수 있는 취약점(CVE-2017-3135)


o BIND 9.9.3~9.9.9-P5

o BIND 9.9.10b1

o BIND 9.10.0~9.10.4-P5

o BIND 9.10.5b1

o BIND 9.11.0~9.11.0-P2

o BIND 9.11.1b1

- 해결법

o BIND 버전 업그레이드를 통한 조치

- BIND 9.9.9-P6, 9.10.4-P6, 9.11.0-P3으로 업그레이드

o 설정을 통한 조치

- DNS64와 RPZ를 동시에 사용하지 않도록 설정

[참고사이트]

[1] https://kb.isc.org/article/AA-01453



Netween E110i 제품 사용 주의 권고

Netween E110i (IP Camera) 제품에서 사용자를 대상으로 보안 위협이 될 수 있는 다수의 취약점이 발견됨

- 상세정보

해당 제품은 시스템 명령 실행(백도어), 관리자 페이지 임의접근(인증우회) 등의 취약점이 존재하여 개인정보 유출, 피싱 등 피해

가능

[영향 받는 제품 및 소프트웨어]

Netween E110i (3.0.9 이하)

- 해결법

o 취약점에 의한 피해 최소화를 위해 해당제품 사용자에게 다음과 같은 사항을 권고함

- 제조사에서 해당 취약점을 보완하는 프로그램 배포 및 적용까지, 사용 자제

※ 보완 프로그램 배포 예정일: 미정

- 부득이한 사용시 외부망(인터넷)이 차단된 폐쇄망에서 사용



Adobe 제품군 보안 업데이트 권고

Adobe社는 Adobe Flash Player, Digital Editions, Campaign에 영향을 주는 취약점을 해결한 보안 업데이트를

발표[1][2][3]

낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

- 상세정보

o Adobe Flash Player에서 발생하는 13개의 취약점을 해결하는 보안 업데이트를 발표[1]

- 임의코드 실행으로 이어질 수 있는 타입 혼란 취약점 (CVE-2017-2995)

- 임의코드 실행으로 이어질 수 있는 정수형 오버플로우 취약점 (CVE-2017-2987)

- 임의코드 실행으로 이어질 수 있는 Use-Ater-Free 취약점(CVE-2017-2982, CVE-2017-2985, CVE-2017-2993, CVE-

2017-2994)

- 임의코드 실행으로 이어질 수 있는 힙 오버플로우 취약점 (CVE-2017-2984, CVE-2017-2986, CVE-2017-2992)

- 임의코드 실행으로 이어질 수 있는 메모리 손상 취약점 (CVE-2017-2988, CVE-2017-2990, CVE-2017-2991, CVE-2017-

2996)

o Adobe Digital Editions에서 발생하는 9개의 취약점을 해결하는 보안 업데이트를 발표[2]

- 임의코드 실행으로 이어질 수 있는 힙 오버플로우 취약점 (CVE-2017-2973)

- 메모리 누수로 이어질 수 있는 버퍼 오버 플로우 취약점 (CVE-2017-2974, CVE-2017-2975, CVE-2017-2976, CVE-2017-

2978, CVE-2017-2977, CVE-2017-2979, CVE-2017-2980, CVE-2017-2981)

o Adobe Campaign에서 발생하는 2개의 취약점을 해결하는 보안 업데이트를 발표[3]

- 인증 된 사용자가 클라이언트 콘솔에 액세스하여 시스템에 임의로 읽고 쓰기가 가능한 보안 우회 취약점(CVE-2017-2968).

- XSS으로 연계 가능한 입력 유효성검사 취약점(CVE-2017-2969)


소프트웨어 명 동작 환경 영향 받는 버전

Adobe Flash Player Desktop Runtime 윈도우즈, 맥, Linux 24.0.0.194 및 이전 버전

Adobe Flash Player for Google Chrome 윈도우즈, 맥, Linux, ChromeOS 24.0.0.194 및 이전 버전

Adobe Flash Player for Microsoft Edge and

Internet Explorer 11 Windows 10, 8.1 24.0.0.194 및 이전 버전

Adobe Digital Editions 윈도우즈, 맥, 안드로이드 4.5.3 및 이전 버전

Adobe Campaign v6.1 윈도우즈, Linux 16.4 Build 8724 및 이전 버전



- 해결법

o Adobe Flash Player 사용자

- 윈도우즈, 맥, Linux 환경의 Adobe Flash Player Desktop Runtime 사용자는 24.0.0.221 버전으로 업데이트 적용

※ Adobe Flash Player Download Center(http://www.adobe.com/go/getflash)에 방문하여 최신 버전을 설치하거나, 자동

업데이트를 이용하여 업그레이드

- Adobe Flash Player가 설치된 Google Chrome는 자동으로 최신 업데이트 버전 적용

- Windows 10 및 Windows 8.1에서 Microsoft Edge, 인터넷 익스플로러 11에 Adobe Flash Player를 설치한 사용자는 자동으로

최신 업데이트가 적용 (17년 2월 21일 업데이트 배포)

o Adobe Digital Editions 사용자

- 윈도우즈, 맥 환경의 Adobe Digital Editions 사용자는 4.5.4 버전으로 업데이트 적용

※ Adobe Digital Editions Download(https://www.adobe.com/solutions/ebook/digital-editions/download.html)에 방문하여

최신 버전을 설치

- 안드로이드 환경의 Adobe Digital Editions 사용자는 4.5.4 버전으로 업데이트 적용

※ 업데이트 링크(https://play.google.com/store/apps/details?id=com.adobe.digitaleditions)를 이용하여 최신 버전을 설치

o Adobe Campaign 사용자

- 윈도우즈, 맥 환경의 Adobe Campaign v6.11 사용자는 참고 사이트 확인 후 최신 버전으로 업데이트 적용[4]

[참고사이트]

[1] https://helpx.adobe.com/security/products/flash-player/apsb17-04.html

[2] https://helpx.adobe.com/security/products/Digital-Editions/apsb17-05.html

[3] https://helpx.adobe.com/security/products/campaign/apsb17-06.html

[4] http://docs.campaign.adobe.com/doc/AC6.1/en/INS_Additional_configurations__Server_side_configurations.html#Limiting_uploadable_files



Cisco 제품군 다중 취약점 보안 업데이트 권고

Cisco社는 자사의 제품에 영향을 주는 취약점을 해결한 보안 업데이트를 발표

공격자는 해당 취약점을 악용하여 XSS 및 정보 유출 등의 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트 권고

- 상세정보

o Cisco Secure Acess Control System(ACS)에서 발생하는 XSS 취약점(CVE-2017-3838) [1]

o Cisco Secure Acess Control System(ACS)에서 발생하는 URL 리다이렉트 취약점(CVE-2017-3840) [2]

o Cisco Secure Acess Control System(ACS) 정보 유출 취약점(CVE-2017-3841) [3]

o Cisco Email Security Appliances(ESA) 및 Cisco Web Security Appliance(WSA)용 Cisco AsyncOS 소프트웨어에서 발생하는

사용자 필터 우회 취약점(CVE-2017-3827) [4]

o Cisco Meeting Server(CMS) API 서비스 거부 취약점(CVE-2017-3830) [5]

o Cisco Meeting Server HTTP 패킷 처리의 취약점(CVE-2017-3837) [6]

o Cisco Unified Communications Manager에서 발생하는 XSS 취약점(CVE-2017-3821, 3828, 3829) [7][8][9]

o Cisco Unified Communications Manager에서 발생하는 정보 유출 취약점(CVE-2017-3836) [10]

o Cisco Firepower Management Center의 웹 프레임워크에서 발생하는 XSS 취약점(CVE-2017-3847) [11]

o Cisco Intrusion Prevention System Device Manager(IDM)에서 발생하는 정보 유출 취약점(CVE-2017-3842) [12]

o Cisco Identity Services Engine(ISE)에서 발생하는 SQL 인젝션 취약점(CVE-2017-3835) [13]

o Cisco Prime Collaboration Assurance에서 발생하는 파일 다운로드 취약점(CVE-2017-3843) [14]

o Cisco Prime Collaboration Assurance에서 파일 디렉토리 접근이 가능한 취약점(CVE-2017-3844) [15]

o Cisco Prime Collaboration Assurance에서 발생하는 XSS 취약점(CVE-2017-3845) [16]

o Cisco Unified Communications Manager의 웹 프레임워크에서 발생하는 XSS 취약점(CVE-2017-3833) [17]

o Cisco UCS Director의 웹 기반 GUI에서 발생하는 권한 상승 취약점(CVE-2017-3801) [18]

o Cisco Secure Access Control System(ACS)에서 XML External Entities의 부적적할 처리로 시스템 정보를 읽을 수 있는 취약점

(CVE-2017-3839) [19]


참고사이트에 명시되어 있는 ‘Affected Products’을 통해 취약한 제품 확인



- 해결법

취약점이 발생한 Cisco 소프트웨어가 설치된 Cisco장비의 운영자는, 해당되는 참고사이트에 명시되어 있는 ‘Affected Products’

내용을 확인하여, 패치 적용

[참고사이트]

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-acs

[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-acs2


[4] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-asyncos

[5] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-cms

[6] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-cms1

[7] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-cucm

[8] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-cucm1



[11] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-fpmc

[12] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-idm

[13] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-ise

[14] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-pcp1



[17] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-ucm

[18] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170215-ucs




OpenSSL 신규 취약점 보안 업데이트 권고

OpenSSL에서 서비스 거부 공격이 가능한 취약점을 해결한 보안 업데이트 발표 [1]

- 상세정보

핸드 셰이크가 진행되는 과정에서 암호 알고리즘(Encrypted-Then-Mac)을 재검토 할 때 충돌이 발생하는 취약점

(CVE-2017-3733)

[영향 받는 제품 및 버전]

- OpenSSL 1.1.0 버전

- 해결법

o OpenSSL 1.1.0 버전 사용자는 1.1.0e 버전으로 업데이트 [2]

[참고사이트]

[1] https://www.openssl.org/news/secadv/20170216.txt

[2] https://www.openssl.org/source/



리눅스 커널 로컬 권한 상승 취약점

리눅스 커널의 DCCP 프로토콜에서 use-after-free을 악용해 로컬 사용자가 루트 권한을 얻거나 서비스 거부를

유발하는 취약점 (CVE-2017-6074)발견[1]

- 상세정보

해당 취약점에 영향을 받는 버전 사용자는 인가되지 않은 사용자가 루트 권한을 획득할 수 있으므로 해결방안에 따라 최신버전으로

업데이트 권고

[영향을 받는 소프트웨어]

- Linux Kernel 4.9.11을 포함한 이전 버전을 사용하는 시스템

- 해결법

o 해당 취약점에 해당되는 커널 버전 사용자는 최신 버전으로 업데이트 수행 [2]

o 보안 업데이트가 공개된 운영체제를 운영하고 있을 경우, 참고 사이트의 내용을 참조하여 보안 조치 또는 업데이트 수행

- Debian [3]

- Ubuntu [4]

- Red Hat/CentOS [5]

- SUSE/openSUSE [6]

- Fedora [7]

- CoreOS [8]

[참고사이트]

[1] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6074

[2] https://www.kernel.org/

[3] https://security-tracker.debian.org/tracker/CVE-2017-6074

[4] https://www.ubuntu.com/usn/usn-3207-2/

[5] https://access.redhat.com/security/cve/CVE-2017-6074

[6] https://www.suse.com/security/cve/CVE-2017-6074/

[7] https://bugzilla.redhat.com/show_bug.cgi?id=1425822

[8] https://coreos.com/releases/


Part4. 해외 보안 동향

영미권

중국

일본



1. 영미권

당신의 Netgear 라우터가 패스워드 우회 결점에 취약한지 확인하세요

Check If Your Netgear Router is also Vulnerable to this Password Bypass Flaw

Netgear 라우터의 사용자들에게 또 나쁜 소식이다. Netgear 라우터가 또 다른 심각한 보안 취약점으로 인해 공격을 받고있다.

하지만 이번엔 수십 개 이상의 라우터 모델이 영향을 받는다.

Trustwave의 보안 연구원들은 백만 명 이상의 Netgear 고객들에게 잠재적으로 영향을 미칠 수 있는 31개의 Netgear 모델에

존재하는 이 새로운 인증 취약점에 대해 경고했다.

Trustwave의 SpiderLabs의 연구원인 Simon Kenin이 발견한 이 새로운 취약점은, 원격의 해커가 패스워드 복구 프로세스에

존재하는 결점을 악용해 `넷기어 라우터의 관리자 패스워드를 얻을 수 있도록 허용한다.

Kenin은 그의 Netgear 라우터의 관리 페이지에 접근하려고 시도했으나 암호를 잃어버리는 바람에 이 결점(CVE-2017-5521)을

발견할 수 있었다.

영향을 받는 라우터의 완전한 접근 권한을 얻기 위한 버그 악용

이 연구원은 그의 라우터를 해킹할 수 있는 방법을 찾기 시작했고 지난 2014년의 익스플로잇 몇 개를 이용해 이 취약점을 발견할

수 있었다. 이 취약점은 그가 라우터에 쿼리를 보내 로그인 크리덴셜을 쉽게 받아올 수 있어 기기에 온전히 접근할 수 있도록

허용했다.

하지만 Kenin은 라우터의 원격 관리 옵션이 활성화 되어 있을 경우 새로 발견한 이 취약점이 원격으로 악용될 수도 있다고 밝혔다.

라우터의 제조사는 원격 관리 옵션이 디폴트로 비활성화 된 상태라고 밝혔지만, 이 연구원은 “백만 대 이상이 아니라면 수십만 대의”

원격으로 접속이 가능한 라우터들이 존재한다고 밝혔다.

Kenin은 “원격 관리가 인터넷을 사용하도록 설정 되어 있을 경우, 원격의 공격자가 이 취약점을 사용할 수 있다. 이 기능은 디폴트로

켜져 있지는 않다. 하지만, 취약한 라우터가 있는 네트워크에 물리적으로 접근이 가능한 누구라도 이를 로컬에서 악용할 수 있다.

여기에는 취약한 장비를 사용하는 까페, 도서관과 같은 공용 WI-Fi 공간들도 포함 될 것이다.”고 밝혔다.

악의적인 공격자가 이 취약점을 악용할 경우, Netgear 라우터의 어떠한 패스워드도 완벽히 우회 가능해 라우터의 설정을 변경하거나

봇넷으로 둔갑 시키거나 완전히 새로운 펌웨어를 업로드 하는 등 영향을 받는 라우터를 완전히 제어할 수 있게 된다.

Kenin은 다양한 Netgear 라우터에 이 결점을 시험해본 후, 10,000대 이상의 취약한 기기들이 이 결점이 존재하는 펌웨어를

사용하고 있었고 원격으로 접근이 가능하다는 것에 놀랐다.

그는 파이썬으로 작성 된 테스트를 위한 익스플로잇 코드도 공개했다.



취약한 Netgear 라우터들 목록

이 취약점에 영향을 받는 Netgear 라우터들의 목록은 아래와 같다:

• R8500

• R8300

• R7000

• R6400

• R7300DST

• R7100LG

• R6300v2

• WNDR3400v3

• WNR3500Lv2

• R6250

• R6700

• R6900

• R8000

• R7900

• WNDR4500v2

• R6200v2

• WNDR3400v2

• D6220

• D6400

• C6300 (firmware released to ISPs)

Netgear 라우터의 펌웨어를 지금 업데이트 하라

Kenin은 Netgear 측에 이 결함에 대해 알렸고, 회사는 그들의 많은 제품군에서 이 문제를 확인했다.

Netgear는 영향을 받는 모든 라우터들을 위한 펌웨어 업데이트를 공개했다. 사용자들은 장비를 업그레이드 하기를 강력히

권고한다.

[출처] http://thehackernews.com/2017/01/Netgear-router-password-hacking.html

https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2017-003/?fid=8911

http://kb.netgear.com/30632/Web-GUI-Password-Recovery-and-Exposure-Security-Vulnerability



애플의 iCloud, 삭제된 사파리 브라우징 히스토리를 수 년 이상 보관해

Apple’s iCloud saved the deleted Safari browsing history over the years

러시아의 포렌식 회사인 Elcomsoft에 따르면, 애플의 iCloud가 삭제 된 사파리 브라우징 히스토리를 수 년이 넘게 보관해 감시로

이어질 수 있게 되었다.

연구원들은 iCloud 계정으로부터 기록을 추출하던 중 이 이슈를 발견하였다. 그들은 삭제 된 것으로 보이는 사파리 브라우저

히스토리를 계정으로부터 뽑아낼 수 있었다. 연구원들은 웹사이트를 방문한 날짜, 시간, 그리고 해당 기록이 삭제 된 날짜, 시간과

같은 정보를 추출해낼 수 있었다.

사파리의 히스토리는 특정 iCloud 계정을 사용하는 기기들 사이에서 동기화된다. 사용자가 한 장비에서 기록을 삭제할 경우, 이는

다른 모든 장비들이 인터넷에 연결되고 몇 초 이내에 사라질 것이다.

사용자들은 iCloud에 그들의 브라우징 히스토리를 저장하도록 설정할 수 있다. 이렇게 하면 사용자의 모든 연결 된 기기들에서 조회

가능하다. 하지만 연구원들은 사용자들이 히스토리를 삭제하더라도 iCloud에서는 이를 삭제하지 않고 실제로는 사용자에게 보이지

않는 형식으로 저장하고 있었던 것으로 나타났다.

Elsomsoft의 CEO인 Vladimir Katalov는 “하지만, 이러한 기록들은 애플의 iCloud에 훨씬 오랫동안 보관 될 것이다. 실제로, 우리는

1년 이상 된 기록도 발견했다. 사용자는 이러한 기록들을 볼 수 없으며, 이들이 아직도 애플의 서버에 여전히 존재한다는 사실을

모르고 있다.”고 밝혔다.

연구원들은 iCloud 계정에서 파일들을 추출하기 위해 Elcomsoft의 Phone Breaker 포렌식 툴을 사용했다.

이는 어떻게 동작하는가?

iCloud에서 사파리 히스토리를 추출해내기 위해서는 사용자의 애플 ID를 인증 받아야 한다. 이 작업은 로그인 크리덴셜을

사용하거나, 사용자의 컴퓨터에서 추출한 인증 토큰을 사용하면 된다. 인증 토큰들은 iCloud와 동기화 된 윈도우나 맥 컴퓨터의

iCloud의 제어판에서 자동으로 생성 된다.

Elcomsoft의 Phone Breaker는 전문가들이 iCloud 인증 토큰을 추출하는데 이용될 수 있다.

“토큰을 사용하여 로그인 하면, 패스워드와 사용자의 계정에 이중 인증이 설정 되어 있을 경우 보조 인증 단계를 우회할 수 있다.

결과적으로, iCloud 접근 경고는 사용자에게 전달 되지 않을 것이다.”



이는 감시활동을 실행할 수 있는 가능성을 의미하기 때문에 심각한 문제라고 볼 수 있다.

Katalov는 “동기화 된 데이터를 범죄 과학 수사에 사용할 경우 큰 도움을 줄 것이다. 최상의 경우 하루에 한 번 생성 되는 클라우드

백업과는 달리, iCloud 동기화는 거의 실시간으로 작동한다. 용의자의 활동을 거의 실시간으로 추적할 수 있기 때문에, 감시 및

조사에 매우 유용하게 사용될 수 있을 것이다.”

“사용자가 iCloud에서 브라우징 히스토리를 삭제하는 것은 거의 불가능하다고 볼 수 있기 때문에, 불법 행위를 발견하는 것은 훨씬

쉬워질 것이다. 사용자가 브라우저 기록을 삭제하거나 iPhone을 초기화해 버리더라도, 전문가들은 극단주의 적이거나 불법인

웹사이트들의 방문 기록을 복구할 수 있게 될 것이다.”고 밝혔다.

하지만 애플이 iCloud 서비스가 삭제된 기록을 저장하고 있다는 사실을 알고 있는지 여부는 불분명하다.

애플은 코멘트 요청에 즉시 응답하지는 않았지만, Elcomsoft의 전문가들은 그들이 이 이슈를 공개한 후부터 애플이 iCloud에서

오래 된 브라우저 히스토리들을 “제거”하기 시작했다고 밝혔다.

Elcomsoft는 iCloud와 사파리 브라우징 히스토리 동기화를 비활성화 하기를 권고하였다.

[출처] http://securityaffairs.co/wordpress/56197/mobile-2/pull-safari-browsing-history.html



더 이상 Gmail을 통해 JavaScript 파일을 보내는 것이 불가능해져

Sending JavaScript Files over Gmail No Longer Possible

더 이상 Gmail을 통해 JavaScript 첨부파일을 보낼 수 없게 되었다.

이번 조치는 몇 주 전에 발표 되었으며, 이는 최근 몇 년 동안 JavaScipt 파일에 너무 많은 멀웨어들이 숨겨져있는 것이 발견 되어

이루어진 보안조치이다.

이제 Gmail에서 JavaScript 첨부 파일을 보내거나, 예전 이메일에서 JavaScript 첨부파일을 다운로드 하려고 시도하면 “보안상의

이유로 차단 됨”이라는 새로운 경고 메시지를 보게 된다.

구글이 차단한 것은 JavaScript 파일만이 아니다.

구글은 보안상 이유로 몇 년동안 Gmail에서 .exe .jar .pif를 포함한 많은 파일들을 차단해왔다.

하지만 만약 꼭 JavaScipt 첨부파일을 보내야 한다면, 구글에서 설정한 몇 가지 해결 방법이 있다. 구글 드라이브, 구글 클라우드

스토리지, 또는 다른 스토리지 솔루션을 이용하는 것이다. 구글 드라이브와 같은 클라우드 서비스에 파일을 업로드 하면 파일이 zip,

rar로 압축 되어 있는 상태일 경우에도 자동으로 파일을 스캔해 바이러스나 멀웨어가 있는지 확인하기 때문이다.

이후 다운로드 링크를 다른 사람들에게 보냈을 때, 그들은 파일이 이미 스캔 되어 위험 수준이 낮기 때문에 안전하다고 판단할

것이다.

[출처] http://news.softpedia.com/news/sending-javascript-files-over-gmail-no-longer-possible-513108.shtml



2. 중국

대만에서 모바일 데이터 장애 발생!

台湾遭遇史上最严重断网：4G全挂了！

2월 12일 오후 14시쯤, 대만 사용자들의 4G 연결이 되지 않는 현상이 발생하였습니다.

대만 매체에 따르면 인터넷 연결 장애가 발생한 사용자들은 모두 대만의 대형 이동통신사인 HiNet 고객인 것으로 확인되었습니다.

사건이 발생한 공휴일 오후, 사용자들은 데이터가 느리다는 느낌을 받았으며, 단순히 사용자가 많아 발생하는 현상일 것이라고

생각했습니다. 하지만 곧 이어 대규모 데이터 장애가 발생하였습니다.

북대만구역의 데이터 장애는 매우 심각했으며, 현재 HiNet의 명확한 해명을 기다리고 있는 상황입니다.

[출처] http://news.zol.com.cn/626/6268630.html



바이두 그룹 계열사의 홈페이지에서 악성코드 발견!

2월 28일, 중국의 보안업체 huorong그룹이 보고서를 공개하였습니다. 이 보고서에서는 바이두 그룹의 계열사 홈페이지인

http://www.skycn.net/와 http://soft.hao123.com/ 두 홈페이지에서 사용자가 파일을 다운받을 때 악성코드에 감염될 가능

가능성이 있다고 밝혔습니다.

이 두 회사는 모두 바이두 그룹이 십여년 전에 인수한 회사들 입니다.

이 악성코드는 사용자 컴퓨터에 침투한 후, 드라이버 로드 등 다양한 방법을 통하여 자신을 숨기고, "클라우드" 원격컨트롤을 통하여

사용자들의 검색 히스토리, 온라인 상점 이용 내역 등 각종 트래픽들을 탈취할 수 있습니다.

huorong그룹은 최근 사용자PC 분석을 통하여 의심스러운 파일들 HSoftDoloEx.exe 、bime.dll

、MsVwmlbkgn.sys、LcScience.sys、WaNdFilter.sys를 채증했는데, 이 파일들은 모두 바이두의 서명이 포함되어 있었습니다.

이 악성코드로 의심되는 파일들은 모두 nvMultitask.exe 파일과 연관되어 있었습니다. 사용자들이 http://www.skycn.net/과

http://soft.hao123.com/ 홈페이지에서 어떠한 파일을 내려받을 때는 모두 이 파일이 함께 번들로 포함되어 함께 사용자 PC에

설치됩니다.다운로더는 실행 후 사용자 모르게 백그라운드에서 nvMultitask.exe파일을 드랍하고 실행하여 악성코드를 인젝션

합니다. 사용자가 어떠한 동작을 하지 않고 바로 다운로더 프로그램을 닫아도 악성코드에 감염되는 것입니다.

분석결과 이 악성코드는 2016년 9월에 완성된 것으로 확인되었습니다. 또한 과도한 트래픽 사용을 유도하는 "원격 스위치"는

최근에 활성화 되었는데, 감염된 PC는 지정된 영역 혹은 시간, 혹은 랜덤한 선택조건에 따라 트래픽이 하이재킹 당합니다.

보안업계에서는 이를 클라우드 하이재킹이라 부릅니다.

이 악성코드는 제거 기능이 없으며, 컴퓨터가 부팅될 때마다 함께 동작하며 최신버전으로 업데이트 받습니다. 뿐만 아니라, C&C

서버의 명령을 하달받고 추가 파일을 로드하고 자신과 관련된 레지스트리와 파일들을 보호하여 삭제되는 것을 차단합니다.

악성코드는 실행 후 사용자 브라우저 사용내역, 메인, 자주가기 등의 정보들을 탈취하며, 트래픽을 hao123사이트로 전송합니다.

동시에 전자상거래 사이트 및 인터넷 광고들의 링크를 변경하여 이러한 트래픽을 통한 수익을 창출합니다.



이러한 사실은 바이두에 보고가 되었으며, 바이두는 현재 해당 악성코드에 관하여 사실을 인정하였습니다.

[출처] http://mini.dahe.cn/2017/02-28/108337636.html



3. 일본

2월14일에 다시‘바이러스 메일이 확산 중! 제목은……’ 경시청이 Twitter에서 주의 호소

2月14日に再び「ウイルス付メールが拡散中！件名は……」警視庁がTwitterで注意呼び掛け

바이러스 메일이 확산 중이라고 해서 경시청이나 경찰청 등이 14일, Twitter계정에서 조기경계 정보를 트윗했다. 14일에 송신된 사실

이 확인되고 있는 바이러스 메일의 제목으로는 ‘계좌인락(引落)’, ‘지불조건확인서’, ‘doc’, ‘scan’, ‘Re:’, ‘Fwd:’, ‘IMG’, ‘invoice’, ‘payment’,

‘photo’, ‘transfer’, ‘cargo’, ‘parcel’, ‘foto’, ‘image’, ‘copy’, ‘transf.’, ‘report’, ‘bill’, ‘pay’, ‘inv.’, ‘Fwd:상품발송공지’, ‘Fwd: 사가와큐빈(佐川急便)’

등이 있다. 첨부된 파일은 Word파일이나 PDF파일 등을 가장한 바이러스라고 해서 주의하도록 호소하고 있다.

메일의 본문의 문면 등은 일반사단법인 일본사이버범죄대책센터(Japan Cybercrime Control Center：JC3)의 웹사이트에서 주의환기

정보로 공개하고 있다.

http://internet.watch.impress.co.jp/img/iw/docs/1044/387/html/trend.png.html



바이러스 메일의 구체 예가 JC3 웹사이트에서 공개되어 있다

JC3에 따르면 ‘Gozi’ 등의 악성코드의 감염확대를 꾀하는 메일이 일본을 표적으로 대량 송신되고 있어서, 첨부되어 있는 파일을

열어서 감염되어버리면 금융기관 등의 정보가 탈취되어 부정송금 등의 범죄피해를 입을 우려가 있다. 또한 이들 예 이외에도

바이러스 메일은 다수 송신되고 있기 때문에 첨부파일을 개봉하게 만들거나 링크처 사이트의 열람을 하게 만드는 수상한 메일에는

충분히 주의할 필요가 있다고 한다.

트렌드마이크로주식회사에 따르면, 악성코드 ‘Ursnif(Gozi의 별명)’에 감염시키기 위한 스팸메일이 일본시간 화요일 아침에 뿌려지는

정기적인 공격패턴이 2016년 후반부터 관측되고 있다. 11월 이후 일시적으로 부정기적이 되거나 확인되지 않게 된 시기도

있었으나, 올해 들어서 1월17일 화요일에 부활되었다. 트렌드마이크로제품에서 검출된 Ursnif의 검출대수는 같은 날 일시적으로

2914대로 증가했다. 그 후 18일에 108대, 19일에 65대, 20일에 25대와 같이 감소추세에 있다고 한다.

경시청과 경찰청, JC3에서도 1월17일 이후 확인된 바이러스메일의 제목 등을 조기경계정보/주의환기정보로 공표하여 주의를

호소하고 있으나, 곧 공격이 일시 진정되었는지 1월26일 이후에는 새로운 조기경계정보/주의환기정보는 나오지 않았다.



메일을 경유하여 확산된 것으로 보이는 ‘Ursnif’의 검출수의 추이. 트렌드마이크로의 클라우드형 시큐리티기술기반 ‘Trend Micro Smart

Protection Network(SPN)’에 의한 것 (출전 : 트렌드마이크로)

[출처] http://internet.watch.impress.co.jp/docs/news/1044387.html

http://internet.watch.impress.co.jp/img/iw/docs/1044/387/html/trend.png.html



Google Play의 일본어 가짜 사이트 출현, SMS로 유도하는가?

Google Playの日本語偽サイト出現、SMSで誘導か

트렌드마이크로는 2월16일, ‘Google Play’에서 일본어 사이트로 위장한 피싱사이트에 대한 주의를 호소했다. SMS로 유도하는

수법을 확인했다고 한다.

이 회사에 따르면, 피싱사이트는 1월 중순부터 가동되고 있다고 하며, 유도 경로에 SMS가 사용되고 있다고 한다. SMS에는

Google계정에 의한 지불방식 등록을 촉구하는 메시지와 단축URL이 기재되어 있는데 유도처가 피싱사이트인지를 URL을 보고

구별하는 것은 어렵다.

피싱사이트로 유도하는 SMS (출전：트렌드마이크로)



SMS에서 유도된 피싱사이트 (출전：트렌드마이크로)

Google Play로 위장한 피싱사이트는 2016년 7월경부터 확인되고 있으며, 단속적으로 공격이 계속되고 있다고 한다. 이 회사는

1월에도 마이크로소프트계정을 노린 피싱공격이 발생했다는 점에서 ‘복수의 서비스 이용의 인증에 사용되는 계정정보는

사이버범죄자에게 있어서 이용가치가 높고 계속적으로 표적이 되는 정보’라고 해설했다. Google계정이나 Apple ID, Yahoo!계정,

마이크로소프트계정, Amazon계정 등의 정보를 탈취하는 공격에 주의하도록 조언하고 있다.

또한 공격자는 복수의 부정사이트를 단기간에 돌려 사용하거나 위장하여 명칭을 변경하거나 하기 때문에 ‘메일이나 SMS, 각종

다이렉트 메시지 등에서 유도하는 Web에 관해서는 반드시 URL의 도메인을 확인하길 바란다’(트렌드마이크로)고 했다.

[출처] http://www.itmedia.co.jp/enterprise/articles/1702/16/news110.htm

http://image.itmedia.co.jp/l/im/enterprise/articles/1702/16/l_glplyphis01.jpg



‘MyJCB’의 가짜 사이트에 주의 – 정규사이트의 디자인을 도용

「MyJCB」の偽サイトに注意 - 正規サイトのデザインを盗用

JCB의 회원용 웹 서비스 ‘MyJCB’의 이용자를 노린 피싱공격이 확인되었다. 피싱대책협의회가 주의를 호소하고 있다.

이번에 확인된 피싱사이트(위 화면 : 피싱대책협의회)과 디자인이 도용 당한 정규 ‘MyJCB’의 페이지(아래 화면)

이번에 확인된 피싱메일은 ‘【중요：반드시 읽어주십시오】 MyJCB등록 확인’ 등의 제목으로 송신되고 있다. 본문에는 ‘제삼자에 의한

접속이 있어 등록 ID를 잠정적으로 변경했다’ 등으로 불안을 부추기고 메일 안에 있는 링크에서 가짜 사이트로 유도하고, ID나

패스워드를 재설정해야 한다는 등의 말로 속여서 신용카드번호나 유효기한을 사취하고자 하고 있었다.

이번에 확인된 피싱사이트는 정규 ‘MyJCB’에 존재하는 신규등록이나 ID 확인에 이용하는 페이지를 도용하고 있어, 디자인으로 가짜

사이트라는 사실을 판별하는 것은 불가능하다. 또한 ‘myjcb’ 등의 문자열을 포함하는 도메인을 피싱사이트에 이용하고 있었다.

2월20일 12시 시점에서 이 사이트의 가동이 확인되고 있어, 폐쇄를 위해서 JPCERT코디네이션센터가 조사를 진행하고 있다. 이

협의회에서는 피싱사이트에 주의하도록 호소하는 동시에 유사한 피싱공격을 발견했을 경우에 정보를 제공하길 바란다고 안내하고

있다.

[출처] http://www.security-next.com/078694


알약 3월 보안동향보고서 Contact us

㈜이스트소프트 보안이슈대응팀

Tel : 02-3470-2999

E-mail : [email protected]

알약 홈페이지 : www.alyac.com

Documents

알약 월간 보안동향 보고서 - ESTsecuritycdn1.estsecurity.com/statichomepage/img/newsletter/... · 2017. 3. 23. · 기간 2017 년 02월 01 일 ~ 2017 년 02월 28 일 총