[보안뉴스] 2018년 12월 2주 동향

 

The Hackers News 발췌 분

 

Adobe's Year-End Update Patches 87 Flaws in Acrobat Software (2018-12-11)

l  Adobe는 금주 화요일의 업데이트를 통해 macOS 및 Windows 운영 체제에서 Acrobat과 Reader 소프트웨어 제품에 영향을 미치는 87가지 취약점에 대한 패치를 제공한다고 발표했습니다.

l  이 중 39가지 패치사항은 취약점에 관한 항목들로 해당 취약점을 통해 공격자가 대상 시스템에서 임의의 코드를 실행시키거나 보안 우회를 통해 권한상승을 일으킬 수 있습니다. 나머지 48가지 패치사항은 주요 보안 결함에 관한 항목들로 Acrobat, Reader 사용 시 정보 유출을 야기시킬 수 있습니다.

l  Windows 및 macOS 운영체제의 Adobe Acrobat 및 Reader 응용 프로그램 사용자는 가능한 한 빨리 소프트웨어 패키지를 최신 버전으로 업데이트하는 것이 권고됩니다.

l  뉴스보기

Microsoft Issues Patch for Windows Zero-Day Flaw Under Active Attack (2018-12-11)

l  Microsoft는 12월 12일 보안 업데이트를 발표하여 Windows 운영체제 및 응용프로그램에 대한 총 39건의 취약점을 패치 했습니다.

l  Win 7 ~ Server 2019 등 대부분의 윈도 버전에 영향을 미치는 제로데이 취약점, .net Framework로 개발된 웹서비스에서 서비스 거부(Denial-of-service)의 원인이 되는 취약점, Adobe Flash Player의 제로데이 결함 및 Windows, Edge, Internet Explorer, ChackraCore, Office와 오피스 관련 서비스 및 웹 어플리케이션 , .NET Framework 등 윈도 전반적으로 문제를 일으킬 수 있는 결함에 대한 패치들이 제공됩니다.

l  사용자 및 시스템 관리자는 해커 및 사이버범죄자가 시스템을 제어하지 못하도록 가능한 빨리 최신 보안 패치로 적용 할 것이 강력히 권장합니다.

l  뉴스보기

---

Proofpoint 발췌분

 

LCG Kit: Sophisticated builder for Malicious Microsoft Office Documents (2018-12-13)

l  Proofpoint 연구원은 2018년 3월 발견된 공격형 문서 작성 서비스인 LCG Kit가 마이크로소프트 수식 편집기에 대한 취약성(CVE-2017-11882), VB Script에 대한 취약성(CVE-2018-8174)에 사용되었으며, 2018년 11월 말에는 마이크로소프트 Word macro를 악용할 수 있는 단계까지 기능 개선되었다고 밝혔습니다.

l  LCG Kit는 실행코드, 페이로드, 위치 등을 다형성  쉘코드와 의사 랜덤 난수 생성 알고리즘으로  암호화하기 때문에 난독적입니다. 또한 쓸모없는 코드를 추가하여 악성코드 분석가의 분석작업을 어렵게 하거나 리버싱 엔진 툴이 오탐을 일으키게 합니다. 이러한 특성들 때문에 LCG Kit라는 이름으로 명명되었습니다.

l  LCG Kit, ThreadKit 와 같은 공격형 문서 작성기는 이메일 캠페인에서 공격자가 악의적인 문서파일을 쉽게 사용할 수 있게 합니다. LCG Kit는 다양한 방법으로 악성코드 페이로드를 전달할 수 있어 피해자가 문서파일을 읽게 하거나 소셜 엔지니어링을 통해 매크로 사용을 활성화 할 수 있습니다.

l  뉴스보기

Cybersecurity Predictions for 2019 (2018-12-12)

l  매년 Proofpoint 연구원에서는 향후 유행될 위협 지형에 대한 추세와 이벤트 등을 검토하여 발표하고 있습니다. 2019년에는 다음의 예측들을 통해 공격범위가 산업계 전반으로 빠르게 확산될 것으로 전망합니다.

ü  첫번째, 공격자가 고품질의 감염에 중점을 두다
2016, 2017년에는 대규모의 대상자를 타겟으로 한 이메일 캠페인이 주로 진행되었지만 2018년 부터 다운로더, 뱅킹 트로이얀, 정보 수집기 등의 도구모음이 랜섬웨어와 함께 중규모 대상자들에게 배포되었습니다. 2019년에는 공격자가 장기간에 걸쳐 수익을 창출할 수 있는 고품질의 감염에 집중할 것으로 예상됩니다.

ü  두번째, 소셜 엔지니어링과 신원 피싱 공격이 크게 증가한다
성공적인 신원 피싱은 손상 계정을 통한 악용 사례를 확대시킬 것이므로 멀웨어 공격보다 소셜 엔지니어링과 신원 피싱 공격이 늘어날 것으로 예상됩니다.

ü  세번째, 산업계 전반으로 규제영향이 확대된다
세계적으로 희귀한 WHOIS 데이타의 의도하지 않은 결과로 인해 도메인 남용이 급증할 것입니다. 이로 인해 악의적인 패턴과 체계적인 사이버스쿼팅 간의 식별이 어려워져 모니터링 및 보안 준수 사항을 강화하는 방침이 소셜미디어 업계 및 은행업계, 마케팅업계 등으로 확대될 것으로 예상됩니다.

ü  네번째, 보다 정교해진 이메일 사기는 많은 수익을 보장한다
2018년 전반에 걸쳐 공격자가 세련된 기술을 실험하고 재정의하였으며 비즈니스 이메일 손상 (BEC)을 포함하는 등 이메일 사기의 규모가 증가되었습니다. 2019년은 이메일 사기 공격자 들이 목표를 확장하고 효율성을 향상 시킴에 따라 이러한 개선의 결실을 맺을 것으로 예상됩니다.

ü  다섯번째, 주정부 후원을 받은 활동들이 보다 은밀해진다
유럽, 아시아, 북미 지역의 지정학적 역동성을 변화시키기 위해 주정부의 후원을 받은 행위자들이 국가의 목표에 따라 인프라, 컴퓨터시스템, 데이터 저장소 등에 대한 더 많은 공격을 민간 및 공공부문에서 수행할 것으로 예상됩니다.

ü  여섯번째, 사용자 위험 모델링의 해
수년간 IT 조직은 시스템과 데이타를 위협으로 부터 보호하기 위해 고용을 늘리고 있지만, 공격수법은 점점 더 교묘해져 가고 있습니다. 공격 위협에 노출된 위험한 사용자를 판단하기 위해 IT 조직은 공격자의 눈높이로 내부 직원들에게 집중할 것으로 예상됩니다.

ü  일곱번째, 마이너와 랜셈웨어의 암호화폐로의 쇄도
2018년 비트코인 가치가 하락했음에도 불구하고 악위적인 코인마이너의 배포는 증가했습니다.
화폐 성숙, 시장의 안정화, 규제 체제의 도입, 시장에서의 불안정한 통화의 이탈은 독립형 코인마이너와 랜섬웨어의 귀착을 가져올 것으로 예상됩니다.

l  뉴스보기

---

KISA 보안공지

 

Firefox 원격코드 실행 취약점 보안 업데이트 권고 (2018.12.12)

Adobe Acrobat 보안 업데이트 권고 (2018.12.12)

MS 12월 보안 위협에 따른 정기 보안 업데이트 권고 (2018.12.12)

---

 

기타 동향

 

데이터 삭제형 멀웨어 샤문, 2년의 침묵 깨고 다시 등장

l  데이터 삭제형 멀웨어인 샤문(Shamoon)의 새로운 변종이 나타났다. 이번 등장한 샤문3가 기존과 가장 큰 차이점은 샘플 내에 저장된 크리덴셜 목록입니다

l  2018년 12월 10일, 보안 업체 크로니클(Chronicle)의 보안 전문가들이 새로운 샤문 변종 샘플을 바이러스토탈(VirusTotal)에 올라온 것을 발견했다. 해당 샘플에는 이탈리아에서 나타난 것이라는 설명이 있었다. 이상한 점은, 이 샘플의 발동 날짜가 1년 전으로 맞춰져 있었다(2017년 12월 7일)는 것이다.

l  아직 정확한 피해 사례는 없지만 전문가들은 곧 이 변종을 사용한 공격이 대대적으로 펼쳐질 수 있다고 경고했다.

l  뉴스보기

러시아의 APT 그룹 소파시, 네 개 대륙 종횡무진

l  러시아의 APT 그룹인 소파시(Sofacy)가 다시 한 번 보안 업체에 거론됐다. 무려 4개 대륙에서 소파시의 멀웨어가 발견되었기 때문이다. 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 이에 대한 내용을 공개했다.

l  소파시가 현재 여러 나라에서 진행시키고 있는 모든 공격들에는 한 가지 공통점이 있다. 바로 악성 문서의 저자가 조온(Joohn)이라는 것이다. 팔로알토 측은 ‘조온’이 생성한 악성 문서를 총 9개 발견했다. 이 문건들과 관련된 공격을 추적, 분석하며 “스피어피싱이 문서 배포에 활용됐다”는 것 또한 알아낼 수 있었다. 이 악성 문건들은 워드의 원격 템플릿 기능을 남용해 1단계 C&C 서버로부터 악성 매크로를 회수해 실시하며, 이를 통해 첫 페이로드를 로딩 및 실시한다. 물론 문서에 이미지를 띄워 사용자들이 매크로를 켜도록 유도하기도 한다.

l  소파시 그룹은 항상 비슷한 전략과 전술을 사용해 세계 조직들을 공격합니다. 특히 간단한 다운로더를 매우 선호하는 걸 알 수 있습니다. 제브로시가 대표적인 예이며, 이 제브로시의 변종이 끊임없이 이들의 손에서 나오는 거라고 볼 수 있습니다. 캐논도 변종이 나온 걸로 봐서, 어느 정도 경계를 하고 있어야 할 듯 합니다.

l  뉴스보기

보조 배터리 닮은 값싼 안드로이드 해킹 툴 등장

l  2만 5천 원 정도에 불과한 안드로이드 해킹 툴이 연구자들의 손으로부터 탄생했다. 보조 배터리를 통해 스마트폰이 충전되는 동안 발생하는 전류 내에서 가짜 통신 채널을 생성하는 기능을 가지고 있다고 한다.

l  공격은 GNU라디오(GNURadio)를 통해 데이터로 전달되는 전력 신호를 해석하는 기능을 가지고 있는 디코더 장비와, 앱으로 구성되어 있다. 디코더 장비는 센서, 와이파이 모듈, 마이크로 SD, SPI 카드 리더기로 만들여져 있다.

l  “방어법은 간단하다”고 말한다. 충전할 때 전화기 전원을 꺼두는 겁니다. 그러면 배터리로 위장된 디코더가 아무 것도 할 수 없게 됩니다.

l  뉴스보기