Kant's IT/Issue on IT&Security

국내외 정보보안 동향 4월 1주

Kant Jo 2016. 4. 11. 22:14
보안동향 4월2주

Security News on a this week

국내외 지난주 뉴스들을 정리하였습니다. 첫 글이라 부족한 점이 많지만 이해부탁드립니다.

국내 뉴스

이번주 큰 뉴스는 3가지이다.

  1. 공무원 응시생 정부서울청사 인사혁신처 사무실 침입 사건
  2. 랜섬웨어
  3. Adobe 제로데이 취약점(CVE-2016-1019)

1. 공무원 응시생 서울 정부청사 인사혁신처 사무실 침입 사건

광화문에 위치한 정부서울청사 건물에 20대 공무원 응시생이 몇 차례 침입하여 시험지 유출 시도 및 합격자 명단 조작을 하였다.
이는 정부청사 건물이 물리적 보안과 정보보안이 매우 취약하다는 것을 반증한다.

보안뉴스 - 정부청사 뚫린 이유 살펴보니…가장 큰 취약점은 ‘사람’

http://www.boannews.com/media/view.asp?idx=50199&kind=&sub_kind=

보안뉴스 - 논란의 정부청사, 보안시스템 종합대책 마련한다

http://www.boannews.com/media/view.asp?idx=50207&kind=&sub_kind=

10개 정부청사 보안시스템 긴급 점검

http://www.etnews.com/20160408000171

공무원 응시생이 노린 PC 바이오스 취약점은?

http://www.etnews.com/20160407000209

2. 랜섬웨어

올해 전세계 최고의 화두는 랜섬웨어이다.
악성 자바스크립트가 담긴 스팸메일을 통해 감염하는 방법이 이용되면서 많은 피해자들이 생겨났다.
그리고 스피어피싱을 이용해 특정 기업을 노린 공격도 있어, 개인뿐만 아니라 기업들도 주의해야 한다.

삼삼 랜섬웨어, 특정 기업 노리는 표적형으로 진화

http://www.boannews.com/media/view.asp?idx=50198&kind=&sub_kind=

거침없는 랜섬웨어 록키, 지난 5일까지 ‘고공행진’

http://www.boannews.com/media/view.asp?idx=50193&kind=&sub_kind=

록키와 마크텁, 그리고 록쿠까지…모바일로 번지는 랜섬웨어

http://www.boannews.com/media/view.asp?idx=50163&kind=&sub_kind=

국내 주요 의료기관 랜섬웨어 대응현황 긴급진단

http://www.boannews.com/media/view.asp?idx=50174&kind=&sub_kind=

말하는 랜섬웨어 ‘Cerber’ 국내 유포 확산으로 피해 증가

http://www.boannews.com/media/view.asp?idx=50220&kind=&sub_kind=

Locky 랜섬웨어의 변화 (3가지)

http://asec.ahnlab.com/1039

백업파일 파괴하고 LAN 통해 공격 확산하는 신종 랜섬웨어 ‘SAMAS’ 분석

http://dailysecu.com/news_view.php?article_id=13623

모바일 결제 방식이 추가된 Rokku 랜섬웨어 주의 (2016.4.4)

http://hummingbird.tistory.com/6322

파일 암호화와 추가적인 악성코드를 설치하는 Shade 랜섬웨어 주의 (2016.4.7)

http://hummingbird.tistory.com/6325

[분석보고서] Trojan.Ransom.LockyCrypt 분석보고서

http://blog.alyac.co.kr/589

Locky 랜섬웨어에 대하여 알아보자!

http://blog.alyac.co.kr/586

해외 스팸메일 - Photos 2

http://intumyself.tistory.com/2392

외국 스팸 메일 - Changes in Your Booking Nr:30368

http://intumyself.tistory.com/2393

외국 스팸 메일 - Actual Status on Your Balance 20117

http://intumyself.tistory.com/2394

해외 스팸 메일 - Your Latest Documents from Angel Springs Ltd [STA054C]

http://intumyself.tistory.com/2396

랜섬웨어 공포 확산…문서중앙화 솔루션 ‘급부상’

http://www.boannews.com/media/view.asp?idx=50151&kind=&sub_kind=

3. Adobe 제로데이 취약점(CVE-2016-1019)

이번에 나온 취약점은 CVE-2016-1019로 Adobe Flash Player 21.0.0.197 및 이전 버전에 영향을 미친다.

이 취약점은 과거부터 해커들이 이용한 취약점이였으나 Adobe가 최근 발견하였다.
하지만 패치가 4월 8일(현지시간)에 나와 상당시간 제로데이 취약점이 되어 큰 피해를 입혔다.

현재 이에 대한 업데이트가 나왔으므로 사용자들은 업데이트하여 피해를 예방해야 한다.

어도비 플래시 플레이어, 당분간 사용금지 필요

http://www.boannews.com/media/view.asp?idx=50197&kind=&sub_kind=

[긴급] 플래시 제로데이 취약점 이용한 악성코드 유포

http://www.boannews.com/media/view.asp?idx=50205&kind=&sub_kind=

Adobe Flash Player 취약점(CVE-2016-1019) 발견! 지금 바로 패치하세요!

http://blog.alyac.co.kr/596

4. 기타 뉴스

애플리케이션 보안을 위한 가장 실제적인 첫 걸음 1

http://www.boannews.com/media/view.asp?idx=50159&kind=&sub_kind=

애플리케이션 보안을 위한 가장 실제적인 첫 걸음 2

http://www.boannews.com/media/view.asp?idx=50175&kind=&sub_kind=

애플리케이션 보안, 취약할 수밖에 없는 이유 5가지

http://www.boannews.com/media/view.asp?idx=50183&kind=&sub_kind=

IT 및 보안 업계의 최신 유행어 7개와 그 유례

http://www.boannews.com/media/view.asp?idx=50217&kind=&sub_kind=

1.3억명 애플 사용자들에게 영향을 줄 수 있는 취약점 발견!

http://blog.alyac.co.kr/588

금융권 노리는 트로이목마, 늘었나 줄었나

http://www.boannews.com/media/view.asp?idx=50144&kind=&sub_kind=

[주간 보안이슈] 클라우드 이용자의 자동백업 정보, 구글 검색 노출 外

http://www.boannews.com/media/view.asp?idx=50158&kind=&sub_kind=

[주간 악성링크] 호스팅사, ARP 스푸핑 공격 당해 악성코드 유포 外

http://www.boannews.com/media/view.asp?idx=50171&kind=&sub_kind=

[악성코드 분석 보고서] 사용자 행동을 감시하는 악성코드

http://erteam.nprotect.com/523

마이크로소프트, 심각한 계정 탈취 보안취약점 패치

http://blog.alyac.co.kr/591

How to install Viper 1.3-dev

http://www.hakawati.co.kr/399

해외 뉴스

1. 모색 폰세카 문서 유출 사건

해외에서 이번주 크게 이슈된 것은 파나마의 로펌 모색 폰세카 해킹으로 인한 문서 유출이다.
이 유출된 문서에는 시진핑 친척, 푸틴, 메시, 노태우 아들 노재현 등 다양한 인물들의 내용이 포함되어 전세계적으로 큰 논란을 일으키고 있다.

문서 유출량은 2.6테라, 100만여건이 넘는 문서들인데, 이 문서들이 노출되는 동안 모색 폰세카는 알지 못하였다.
2.6테라의 데이터가 한꺼번에 유출되었는지 몇일에 걸쳐 유출되었는지 모르나 어떻게 이를 감지하지 못하였는지 의문이다.
그리고 이와 같은 큰 데이터를 유출되었다면 서버 한 곳에 데이터가 모여있을 가능성이 높다.
데이터는 필요에 따라 분류해서 각기 다른 보안방법으로 다른 곳에 보관해야 데이터가 유출에 따른 피해도가 적어진다.

조세피난을 도와주는 큰 로펌인 모색 폰세카가 보안이 취약한 점은 의문이다.

대형 법률 사무소 모색 폰세카 해킹 당해 탈세 기록 유출

http://www.boannews.com/media/view.asp?idx=50166&kind=&sub_kind=

파나마 로펌 사태, 정보보안이 배워둬야 할 것 7가지

http://www.boannews.com/media/view.asp?idx=50191&kind=&sub_kind=

2. Above Flash Player Zero-Day Vuln.

CVE-2016-1019 (Flash up to 21.0.0.182/187) and Exploit Kits

http://malware.dontneedcoffee.com/2016/04/cve-2016-1019-flash-up-to-2100182187.html

A Look Into Adobe Flash Player CVE-2016-1019 Zero-Day Attack

http://blog.trendmicro.com/trendlabs-security-intelligence/look-adobe-flash-player-cve-2016-1019-zero-day-vulnerability/

A Root Cause Analysis of the Recent Flash Zero-Day Vulnerability, CVE-2016-1010

http://blog.trendmicro.com/trendlabs-security-intelligence/root-cause-analysis-recent-flash-zero-day-vulnerability-cve-2016-1010/

3. 랜섬웨어

Ransomware: Locky, TeslaCrypt, Other Malware Families Use New Tool To Evade Detection

http://researchcenter.paloaltonetworks.com/2016/04/unit42-ransomware-locky-teslacrypt-other-malware-families-use-new-tool-to-evade-detection/

Locky: the encryptor taking the world by storm

https://securelist.com/blog/research/74398/locky-the-encryptor-taking-the-world-by-storm/

4. 기타 뉴스

No Password Required! 135 Million Modems Open to Remote Factory Reset

http://thehackernews.com/2016/04/hack-modem-internet.html

가장 인기 있고 널리 사용되는 Arris SURFboard SB6141에 원격으로 인터넷 접속을 차단하여 오프라인으로 노크하기 위한 취약점이 존재한다고 한다.

Arris는 모뎀의 사용자 인터페이스에 설정된 암호 인증을 제공하지 않아 공격자는 관리자 페이지에 ID와 패스워드 없이 접근할 수 있다.
관리자 페이지에 접근한 공격자는 관리자 인터페이스의 환경설정 페이지에 ‘Restart Cable Modem'을 볼 수 있고 이 것을 클릭하면 피해자의 모뎀은 2~3분 동안 비활성화 되어 인터넷에 접근할 수 없다.
그러나 같은 관리자 페이지는 공장 초기화 옵션을 제공한다. 공격자가 이 옵션을 클릭한 경우, 피해자의 모뎀은 약 1시간 정도 모뎀 재설정을하는 동안 약 30분간 오프라인이 될 것이다.

이 점을 이용하여 공격자는 CSRF 공격을 통해 모뎀을 공장 초기화 또는 재부팅 시킬 수 있다.

http://192.168.100.1/reset.htm (for restart)
http://192.168.100.1/cmConfigData.htm?BUTTON_INPUT1=Reset+All+Defaults (for factory reset)

이에 따라 Arris는 해당 취약점을 제거한 펌웨어 업데이트를 제공했다고 한다.

Letter frequency analysis of text using PowerShell

https://blogs.technet.microsoft.com/heyscriptingguy/2016/04/08/letter-frequency-analysis-of-a-text-using-powershell/

Installing BASH on Windows 10

http://tfl09.blogspot.kr/2016/04/installing-bash-on-windows-10.html

PortSwigger Web Security Blog

http://blog.portswigger.net/2016/04/introducing-burp-projects.html

Snort Tracking Exploit Progress with Flowbits

http://resources.infosecinstitute.com/snort-tracking-exploit-progress-with-flowbits/

Snort Session Sniping with FlexResp

http://resources.infosecinstitute.com/snort-session-sniping-with-flexresp/

Complete Tour of PE and ELF: Structure

http://resources.infosecinstitute.com/complete-tour-of-pe-and-elf-structure/

Complete Tour of PE and ELF: Section Headers

http://resources.infosecinstitute.com/complete-tour-of-pe-and-elf-part-5/

NUCLEAR DROPS TOR RUNS AND HIDES

http://blog.talosintel.com/2016/04/nuclear-tor.html

A Look At A Neutrino EK Distributor

https://blog.malwarebytes.org/threat-analysis/exploits-threat-analysis/2016/04/a-look-at-a-neutrino-ek-distributor/

VULNERABILITY DEEP DIVE: EXPLOITING THE APPLE GRAPHICS DRIVER AND BYPASSING KASLR

http://blog.talosintel.com/2016/04/apple-gfx-deep-dive.html


저작자표시 비영리 변경금지

'Kant's IT > Issue on IT&Security' 카테고리의 다른 글

보안뉴스_[속보] 커리어넷, 개인정보 유출 인정... 악명 높은 해커 ‘인텔브로커’에게 160만건 털렸다  (0) 2024.08.28
전자신문_커리어넷 해킹 공격, 암호화 풀려 2차 피해 우려  (0) 2024.08.28
금융분야 망분리 규제 개선 로드맵 정리  (0) 2024.08.18
현대자동차 유럽 지사 데이터 유출 사건 정의  (0) 2024.02.13
안랩, '2024년 5대 사이버 보안위협 전망' 발표  (0) 2023.12.29

'Kant's IT/Issue on IT&Security'의 다른글

  • 현재글국내외 정보보안 동향 4월 1주

관련글

티스토리툴바