Eyeon Security Information security company

보안 동향

㈜아이온시큐리티에서 서비스 이용 고객님들의 안정적인 시스템 운영을 위해
필수적인 주요 보안 조치 사항을 안내해드립니다.

파일레스 공격하는 어즈니프, 탐지 회피 가능성 더 높였다 관리자 2019-01-28 08:25:48
파일레스 공격하는 어즈니프, 탐지 회피 가능성 더 높였다
관리자  2019-01-28 08:25:48

 

파일레스 공격하는 어즈니프, 탐지 회피 가능성 더 높였다

 

워드 문서로부터 시작되는 다단계 공격...파워셸 등 사용해

추출한 정보 압축했기 때문에 트래픽 탐지가 더 어려워져

 

[보안뉴스 문가용 기자] 시스코(Cisco)의 탈로스 팀이 어즈니프(Ursnif) 트로이목마에 대한 새로운 내용을 발견했다. 원래는 파일레스 공격을 통해 퍼지던 것이었는데, 최근에는 여기에 더해 CAB 파일들을 사용해 수집된 데이터를 압축한다는 것이다.

즈니프 트로이목마는 5년 넘게 활동해온 멀웨어로, 사용자의 은행 크리덴셜 등 각종 민감한 정보를 훔치는 기능을 가지고 있다. 탈로스 팀에 의하면 어즈니프는 최근 공격자들 사이에서 가장 인기가 높은 멀웨어 중 하나라고 한다.탈로스 팀이 발견한 바에 의하면 최근 어즈니프를 배포하는 공격자들은 “VBA 매크로를 탑재하고 있는 마이크로소프트 워드 문서를 활용한다”고 한다. “이 가짜 문서에는 이미지가 하나 포함되어 있는데, 사용자가 문서를 열 겨우 콘텐츠를 활성화하라는 메시지 창을 띄운다”고 한다.그런데 피해자가 사용하고 있던 오피스 프로그램이 매크로 기능을 활성화하고 있다면 악성 매크로가 자동으로 실행된다. 탈로스 팀은 “오토오픈(AutoOpen) 기능이 있기 때문에 아무런 경고 메시지 없이 코드가 그대로 실행될 수도 있습니다.

이 매크로는 명령어 한 줄로 구성되어 있다. 셰입스(Shapes) 객체인 j6h1cf의 얼터네이티브텍스트(AlternativeText) 속성에 접근하는 기능을 가지고 있다. “베이스64(base64)로 암호화 된 파워셸 명령어이며, 어즈니프를 C&C 서버에서 다운로드 받아 실행합니다.”그 다음 단계에서는 레지스트리 데이터가 생성되며, 윈도우 관리 기구 명령줄(WMIC)을 사용해 파워셸을 실행시키고 APHohema 키의 값을 추출해낸다. APHohema 키는 16진법으로 암호화 된 파워셸 명령어다. 실행될 경우 함수를 하나 만드는데, 이 함수는 베이스64 기반의 파워셸을 복호화시키는 데 사용된다. 또한 악성 DLL을 포함하고 있는 바이트 어레이를 만들기도 한다.

 

 

http://www.isd.co.kr/promotion/2017_eyeon/eyeon_bt.jpg

 

http://www.isd.co.kr/promotion/2017_eyeon/line.jpg

 

새로운 랜섬웨어 등장! 현재 P2P 네트워크 통해 번지고 있어

 

철저한 검사 이후 암호화 시작...네트워크 공유 자원들도 못 쓰게 만들어

백업 파일들은 10번이나 덮어쓰기 해 복구 불가능...마스터 키도 없어

 

[보안뉴스 문가용 기자] 새롭고 위험한 랜섬웨어 샘플이 발견됐다. 미국을 비롯해 최소 9개국에서 피해자들을 양산하고 있다고, 보안 업체 맥아피(McAfee)가 경고했다. 맥아피는 협박 편지를 바탕으로 이 랜섬웨어를 아나토바(Anatova)라고 명명했다.

지난 화요일 맥아피는 아나토바에 대한 상세 내용을 공개했다. 그러면서 “난독화 기능이 뛰어나고 네트워크 공유 자원까지 감염시킬 수 있어 큰 위협이 될 수 있다”고 경고했다. 또한 “모듈 구조로 되어 있어 공격자들이 기능을 덧붙일 수도 있다”는 점도 위협적이라고 설명했다.

 

맥아피의 전문가들이 아나토바를 제일 먼저 발견한 건 한 비밀 P2P 네트워크에서였다. 그러나 P2P를 통해서만 랜섬웨어가 번진다고 결론을 내리기에는 이른 감이 있어, 다른 감염 경로들도 파악 중에 있다. “아나토바는 게임이나 앱의 아이콘을 가지고 있어 사용자들을 속입니다. 사용자들이 의심을 하지 않고 아나토바를 다운로드 받게 하기 위함이죠.

 

피해자가 다운로드 받아 실행할 경우 아나토바는 탐지를 피하기 위해 다양한 행동을 취한다. 그러면서 감염된 시스템 내에서 최대한 많은 파일을 찾아내 암호화시킨다. 그런 다음 화면에 협박 편지를 띄우는데, 그 내용은 700달러를 송금하라는 것이다.

 

“아나토바는 제일 먼저 샌드박스 환경에서 실행되는 걸 막기 위해 가상 기계 탐지 절차를 밟습니다. 그 다음 특정 몇 개 국가에서 피해를 일으키지 않도록 국가 설정 내용을 확인합니다.” 맥아피의 수석 과학자인 크리스티앙 비크(Christiaan Beek)의 설명이다. “여태까지 확인된 바로는 이전 소비에트 연방에 소속된 국가들과 시리아, 이라크, 인도에서는 공격을 하지 않습니다.

 

http://www.isd.co.kr/promotion/2017_eyeon/eyeon_bt.jpg 

 

 

참조사이트  
     

 http://www.dailysecu.com

 http://www.boannews.com

 http://www.boan.com

 http://www.dt.co.kr/

 http://www.datanet.co.kr/

 http://www.itdaily.kr

 

 

 [패치 및 업데이트]

 

DNS 하이재킹(Hijacking) 공격 발생 주의 권고

 

□ 개요

o 美 국토안보부(DHS)는 도메인네임시스템(DNS)을 노린 하이재킹 공격 발생을 경고

  * DNS 하이재킹 : DNS 서버를 공격해 특정 도메인에 연결되는 IP 주소를 다른 주소로 변경하는 공격방법

o DNS 운영 담당자들은 DNS 하이재킹 공격 발생에 대비, 아래 보안조치 방법에 따라 조치할 것을 권고

 

 

□ 주요 내용

o 美 국토안보부 산하 국가사이버보안통신통합센터(NCCIC)는 최근 대규모 DNS 하이재킹 시도를 발견하여 공지

o 공격자는 DNS 정보를 변조한 뒤 사용자 트래픽을 우회시켜 가로채거나 위조된 사이트로 연결시킬 수 있음

 

 

□ 보안조치 방법

o 도메인 등록정보 관리 계정 및 DNS 서버 관리자 계정 등 중요 계정의 관리 강화

  - 로그인 이력 점검 등을 통해 비정상적 로그인 시도나 비밀번호 유출 정황이 있을 경우 즉시 비밀번호 변경

o 도메인 등록정보 및 DNS 레코드 정보를 주기적으로 확인하여 이상유무 확인

 

 

□ 기타 문의사항

o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

 

[참고사이트]

[1] https://www.us-cert.gov/ncas/current-activity/2019/01/24/CISA-Releases-Blog-Emergency-Directive

[2] https://www.us-cert.gov/ncas/current-activity/2019/01/10/DNS-Infrastructure-Hijacking-Campaign

[3] https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html

[4] https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html


 

 http://www.krcert.or.kr/data/secNoticeList.do

 http://www.microsoft.com/korea/security/default.mspx

 http://www.adobe.com/kr/downloads/updates/

 

 

 [최신 바이러스 정보]

Trojan/Win32.Njrat.C2953606
최초 발견일: 2019-01-28
    : 트로이목마(정보유출)
    실행파일
감염/설치경로파일실행, 메일, 다운로드
   : Trojan/Win32.Njrat.C2953606 시스템의 백그라운드에서 실행되며 감염된 PC 사용자 및 네트워크 활동 정보를 수집하여 공격자에게 전송하는 악성코드이다

 

Trojan/Win32.MalPacked.C2953782
최초 발견일: 2019-01-28

    : 트로이목마
    실행파일
감염/설치경로파일실행, 메일, 다운로드
   : Trojan/Win32.MalPacked.C2953782 감염된 컴퓨터의 파일들을 '.mmxmhva' 확장자로 암호화하여 사용할 수 없게 만드는 랜섬웨어류 악성코드이다

 

Win-PUP/HALOMOT.Exp

최초 발견일: 2019-01-28

    : 유해가능

  실행파일

감염/설치경로파일실행, 메일, 다운로드
   : Win-PUP/HALOMOT.Exp 정상 설치파일로 위장하여 유포되고 사용자가 의도치 않은 행위를 수행하는 PUP성 악성파일이다

 

http://www.viruschaser.com 

  http://www.viruslist.com

  http://alyac.altools.co.kr/

  http://www.ahnlab.com/

 

  

[보안TIP]

 

영유아 스마트폰 과의존 위험수위! 종합처방 내린다

 

[보안뉴스 박미영 기자] 과학기술정보통신부는 스마트폰·인터넷 과의존 예방·해소를 위해 관계부처 합동으로 ‘제4차 스마트폰·인터넷 과의존 예방 및 해소 종합계획(2019~2021)’을 수립·발표했다.1 1스마트폰 시대의 디지털 미디어 이용이 전 세대에 걸쳐 삶의 필수 요소가 된 환경에서 스마트폰 과의존을 효과적으로 예방·해소하기 위한 정책을 확대하고, 디지털 시민으로 성장을 지원하며, 정부-지자체-시민사회의 협력체계를 강화하는 데 중점을 두고 있다.

이번 계획에 따라 △배움 △상담·치유 △사회 기반 △소통·참여 등 4대 정책 영역에서 15개 중점과제가 추진된다.

배움 영역에서는 규범적 디지털 미디어 이용을 강조하던 기존의 예방 교육 방식에서 정보화 역기능 원인과 해결에 대한 비판적 사고 증진으로 전환하고, 정보·게임·데이터 리터러시 함양으로 디지털 미디어 이용에 대한 자기결정능력 강화에 주력한다. 세대별로는 최근 스마트폰 과의존 위험비율이 크게 상승한 영유아와 고령층 대상 과제를 확대하며, 특히 어린이집 원아 대상 과의존 예방 의무 교육·전문강사 방문 교육·문화 체험 교육 등을 통해 긍정적 디지털 미디어 이용 습관의 조기 형성을 지원한다.

상담·치유 영역에서는 전국에 마련된 전문기관의 안정적 운영을 기반으로 상담 효과 자체 평가 및 사례 공유를 강화할 계획이다. 상담을 마친 시민들이 디지털 역량을 발현할 수 있도록 재능기부, 동아리, 봉사, 교육 등 지역사회 프로그램에 연결시켜 주는 디지털 역량 강화 프로그램이 새롭게 도입된다.

사회기반 영역에서는 영유아와 청소년이 긍정적인 디지털 미디어 이용 환경에서 성장할 수 있도록 학부모 인식 제고와 교원의 지도 능력 향상을 위한 교육과 연수를 강화한다. 아울러 전국 어디서나 치유 상담이 가능하도록 전문 상담 인력풀을 확대해 나갈 계획이다.

소통·참여 영역에서는 국민 관점의 정책 추진을 위해 국민패널 및 모니터링단을 상시로 운영하는 등 국민 정책 참여 기회를 확대한다.

이번 계획의 효과적인 추진을 위해 민관협력네트워크 ‘스마트쉼 문화운동본부’를 활성화하고, 지방자치단체와 지역과제 발굴 및 예산 확보 노력을 강화하는 등 정부와 시민 사회가 긴밀히 협력하는 정책 추진 거버넌스를 강화해 나갈 예정이다.

과기정통부 오용수 정보보호정책관은 “최근 몇 년간 영유아 스마트폰 과의존 위험군 비율이 증가한 것에 대응해 제4차 종합계획에서는 영유아와 학부모를 대상으로 하는 사업을 확대했다”고 밝히고, “관계 부처 협력의 결과로 청소년 스마트폰 과의존 위험군 비율이 감소되는 성과를 거둔 만큼, 전 연령대에서 스마트폰 과의존 문제 해소를 위한 노력을 더욱 강화해 나가겠다”고 강조했다.

 

.http://www.krcert.or.kr/data/secNoticeList.do

http://www.microsoft.com/korea/security/default.mspx

http://www.adobe.com/kr/downloads/updates/

 

 
첨부 파일 :