기사 요약 : 국가정보원에서 북한 해커조직에서 지난해 말 금융보안인증서 SW의 취약점을 이용하여 주요 기관(국가, 공공기관, 방산, 바아오업체 등) 60여 곳의 PC 210여 대를 해킹한 것으로 확인된 것을 밝혀 해당 서비스를 제공하는 수많은 기업과 기관에서 패치가 시급해 보인다. - 북한 해킹 조직 : 라자루스 (2007년 창설된 북한 정찰총국 소속 해킹 단체) - 취약점이 발견된 SW : 이니텍이 개발한 전자금융, 공공부분 인증서 관련 PC용 프로그램. - 해당 SW를 이용자 : 국내외 기관, 업체, 개인 PC 1000만대 이상 설치 추정 - 취약점의 기능 : 해커가 원격에서 사용자 PC에 악성코드를 전파하고 감염시킬 수 있음. 해당 SW는 접속하면 자동 설치되는 형태이기 때문에 피해가 클 수 있음...
기사 요약 :사이버 공격을 받은 사실을 인지한 후 이를 관계기관에 신고해야 하는 신고 의무가 있지만 많은 기업들이 기업이미지 하락, 신고의무 규정을 모르거나, 책임소재가 불분명하는 등의 이유로 신고를 하지 안 하고 있다고 하여 더 실효성 있는 대책이 필요해 보인다. - 미신고 시 문제 : 민간 사이버 위협 대응체계가 제대로 작동하지 않음 - 지난해 말부터 올 1분기까지 보안 전문기업을 통해 확인한 사이버 침해 10여 건 가운데 실제 신고가 이뤄진 사례는 2건에 불과최호 기자, 랜섬웨어로 수십억 털려도 쉬쉬…해킹 신고제 강화 필요, 전자신문, https://naver.me/GxRSs0pj 랜섬웨어로 수십억 털려도 쉬쉬…해킹 신고제 강화 필요사이버 위협 확산 방지를 위해 사이버 공격을 받은 사실을 관계기관에..
기사요약 : 드림시큐리티의 Non-ActiveX 공동인증서 프로그램 MagicLine4NX에서 원격코드 실행 취약점(RCE)이 발견되어 취약한 버전의 경우 삭제하거니 최신버전으로 업데이트가 필요하다. - MagicLine4NX의 기능 : 공동인증서 로그인과 거래내역에 대한 전자서명 가능 - 악성코드의 기능 : 설치 시 시작 프로그램에 등록. 프로세스 종료 되더라도 특정 서비스에 의해 재실행하기 떄문에 프로세스에 항상 상주되어 있음. - 공격 방식 : 취약점을 이용해 svchost.exe 프로세스에 인젝션 후에 악성프로그램을 다운로드해 실행. - 취약한 버전 : MagicLine4NX 1.0.0.1~1.0.0.26 - 삭제 방법: C드라이브 내의 Program Files(x86)에서 DreamSecurit..
기사요약 : HTML 파일을 내부에 포함하고 있어 스크립트 파일 삽입이 가능한 CHM이라는 도움말 파일에서 APT 공격이 발생되었다. 해당 공격의 경우 운영체제에 기본으로 설치되어 있는 프로그램을 이용했기 때문에 프로세스 및 시그니처 기반의 탐지를 우회가능하다고 한다. - 악성코드 정보 : MITRE ATT&CK T1218(System Binary Proxy Execution). mshta.exe를 통해 파워쉘을 실행하는 악성 스크립를 공격자 서버에서 다운로드해 실행. 해당 스크립트를 통해 최종 실행되는 파워쉘 스크립티는 공격자 C2서버로부터 명령 수행 및 지속성 유지를 위한 레지스터리 RUN키에 지속성 유지를 위한 특정 명령어를 등록. - 해당 공격의 경우 EDR(Endpoint Detection a..
기사 요약 : 구글이 만든 픽셀폰에서 이미지 편집도구 마크업(markup)에서 편집했던 이미지들을 복구할 수 있는 취약점이 발견되어 사용자들의 주의가 필요해 보인다. 해당 취약점은 최소 5년이 되었으며, 크로핑된 이미지가 파일이 제대로 덮어쓰기가 되지않아서 발생한 것이다. - 배경 : 2018년 구글 안드로이드 9에서 10으로 넘어갈 때 parseMode()라는 함수 때문에 발생. 원본 이미지에 크로핑된 이미지로 덮어쓰기를 해야 하는데 제대로 되지 않아 원본 이미지를 복구 할 수있게 된 것. - 취약점 정보 : CVE-2023-21036문가용 기자, 스크린샷 일부를 복구할 수 있게 해 주는 구글 픽셀의 취약점, 보안뉴스, https://www.boannews.com/media/view.asp?idx=1..
기사요약 : 펄 언어로 제작되어 펄봇(PerlBot)이라고도 불리는 쉘봇(ShellBot)이라는 악성코드가 취약한 리눅스 SSH 서버에 설치가 되고 있다. 해당 악성코드는 DDos Bot 악성코드로 C2 서버와 IRC 프로토콜로 통신을 한다는게 특징이라고 한다. - 쉘봇이 노리는 곳 : 부적절하게 관리되고 있거나, 최신 버전으로 패치를 하지 않아 취약점에 노출된 서비스가 대상. - 부적절하게 관리 되고 있는 서버 : 단순한 형태의 계정정보 사용하는 곳 예) deploy - password, hadoop - hadoop, oracle - oracle, root - 11111, root - Passw0rd, ttx - ttx2011, ubnt - ubnt - 쉘봇 : SSH BruteForce 공격으로 스캐..
기사요약 : NTLM 크리덴셜을 탈취하는 제로데이 취약점이 발견되어 MS 아웃룩 메일을 열지 않아도 정보가 탈취될 수 있어서 빠른 업그레이드가 필요해 보인다. - NTLM 이란? MS 운영체제를 통해 구동되는 서버와 클라이언트가 네트워크 통신을 하기 위한 보안인증방식 - 취약점 정보 : CVE-2023-23397, CVSS : 9.8점 - 공격 정보 : 메일을 열지 않아도 아웃룩 클라이언트 검색 및 처리할 때 자동으로 작동되도록 특수 조작된 이메일을 전송하여 수신자가 이메일을 보기도 전에 해시 정보 탈취가 가능. ✔ PidLidReminderFileParameter 값 : SMB 서버 ** 약속 기한이 지나, 지연 알람을 할때 클라이언트가 재생할 사운드 파일 경로를 지정하는데 사용. ✔ PidLidRem..
기사 요약 : 외부에 노출되어 있으면서 계정정보를 단순하게 설정해 무차별 대입 공격이나 사전 공격에 취약한 환경 있는 MS-SQL 서버를 대상으로 넷켓(Netcat) 악성코드가 유포되고 있다는 것이 확인되었다. - 바인드 쉘 (Bind Shell) : 감염 시스템에서 특정 포트를 오픈하고 대기하며, 공격자가 해당 포트로 접속할 때 쉘을 제공하는 형태. 간단하지만, 외부에서 연결하는 형태이기 때문에 방화벽과 같은 보안 제품에서 쉽게 탐지 된다. NAT망 환경에서 외부에서 접속이 불가능. - 리버스 쉘 (Reverse Shell) : 공격자가 시스템에서 특정 포트를 오픈하고 있다가 감염 시스템에서 해당 포트로 접속하는 형태. 최초 통신과정에서 감염 시스템이 외부로 연결하는 형태이기 때문에 방화벽 같은 보안 ..
