금년 6월에 최초 발견된 Scarab 랜섬웨어가 현재 인터넷에서 가장 큰 스팸 봇넷인 Necurs을 통해 배포되고 있다. Scarab은 Necurs 봇넷의 Locky, Jaff, GlobeImposter랜섬웨어 이후 4번째 

랜섬웨어이다. 이번 레포트는 F-Secure, Forcepoint, MalwareHunter 그리고 MyOlineSecurity에서의 조사 내용을 모두 포함하고 있다. 먼저 Forcepoint에 따르면, Necurs 봇넷은 이미 약 

1250만 개의 이메일을 전송했으며, Scarab 랜섬웨어의 새로운 버전으로 기존의 메일과는 다른 모양으로 전송된것으로 확인되었다. Scarab 이메일은 스캔된 이미지를 아카이브 형식으로 

변장해서 전송된다. 해당 파일은 Visual Basic 스크립트를 포함하고 있는 7Zip을 배포하며 다운로드하여 실행시 EXE파일이 실행되어 랜섬웨어가 설치된다. 이 방식은 지난 9월달 왕좌의 게임을

 주제로 하여 전파된 Locky 랜섬웨어와 같은 방식을 이용

[https://www.bleepingcomputer.com/news/security/scarab-ransomware-pushed-via-massive-spam-campaign/]

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

다양한 리눅스 배포판에서 공유되는 인기있는 SMB 네트워킹 프로토콜 실행을 구현한 삼바에서 원격의 공격자가 컨트롤 할 수 있도록 하는 취약점을 발견했다. 

2012년 4.0 버전대의 삼바가 이 문제에 모두 해당된다. 해당 취약점은 힙 메모리 할당을 해제할 때, 잠재적으로 공격자가 자신이 원하는 위치에 임의의 조작된 코드를 삽입하여 실행할 수 

있도록 SMB1 요청을 SMB 서버로 전송함으로 공격한다. 패치와 관련된 배포 파일은 11월 21일부터 공개되었으며, 영향을 가진 제품을 사용하는 모든사람들의 패치를 장려하고 있다.

[https://hotforsecurity.bitdefender.com/blog/samba-smb1-vulnerability-patch-now-or-disable-if-possible-19253.html]


저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

개요
 

  • ENISA, 크립토마이닝 스크립트를 악용한 크립토재킹 공격 주의

     

  

주요내용

 

  • 홈페이지 운영자의 수익 창출을 위한 Monero(XMR) 가상화폐 채굴 서비스 제공(Coinhive社 등)
    - 홈페이지에 자바스크립트 API를 삽입한 후 방문자의 CPU 자원을 사용하여 가상화폐 Monero(XMR) 채굴
    - 온라인 광고를 줄여도 수익을 얻는 이점이 있지만, 사용자의 편의를 해칠 수 있어 논란이 되기도 함

 

<그림 1. Coinhive 코드>
Coinhive 코드
 
  • (악용 사례) 동의여부를 묻지 않고 방문자 컴퓨터의 CPU 자원 활용하여 홈페이지 운영자가 아닌 공격자가 수익 창출
    - 해킹한 사이트에 해당 스크립트 또는 해당 스크립트가 삽입된 홈페이지 주소 삽입
    - 해당 페이지 방문 시 크립토마이닝 실행
    - 홈페이지를 이용하는 동안 방문자의 CPU를 이용해 채굴 수행

 

<그림 2. Cryptojacking 개요도>
Cryptojacking 개요도

 
 

시사점

 

  1. (홈페이지 운영자) 홈페이지의 주기적인 무결성 검증 필요  
  2. (사용자) 해당 기능을 원치 않는다면 광고차단 및 백신 프로그램을 이용하여 스크립트 실행 방지 필요



[출처]
1. ENISA, “Cryptojacking - Cryptomining in the browser”, 2017.11.10.

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

개요

미국 국토안보부(DHS)의 하원 의원, 미국 의회 소속 모든 의원들 및 직원들을 대상으로 한 사이버보안 교육 의무화 법안 상정




주요내용

국토안보부의 캐서린 라이스(Kathleen Rice) 하원 의원이 의회에 소속된 모든 의원들 및 직원들이 연례 사이버보안 교육을 실시해야 한다는 내용의 「2017년 의회 사이버보안 교육*」 법안을 의회에 상정
* Congressional Cybersecurity Training Resolution of 2017

미 국토안보부 소속 의원들 및 직원들이 사이버 공격 증가를 인지하게 하고, 정부 시스템의 정보 및 데이터 무결성을 보호하기 위한 것이 목적

캐서린 하원 의원은 미국 정부, 정치 및 민간 부문 시스템에 지속적인 사이버 공격 위협에 직면했으며, 의원들은 시스템의 무결성을 보호해야 할 책임이 있다고 언급

또한, 사이버보안 인지 교육은 모든 기관 혹은 사업체에 필수적이며, 의회 소속 직원들 및 의원들도 예외가 될 수 없다고 언급

< 2017년 의회 사이버보안 교육 >
주요 내용
수석 관리자는 의회 소속 직원들 및 의원들을 위한 연례 정보보안 교육을 교육 프로그램을 실시할 것

신규 직원들 및 의원들은 해당 법안이 적용된 후 30일 이내 연례 정보보안 교육을 실시할 것

의회에 소속된 모든 직원들 및 의원들은 매년 1월 31일 전까지 연례 정보보안 교육을 이수할 것



[출처]
1. Rep. Rice Bill Requires Cybersecurity Training for All House Members, 2017.10.25.
https://www.longisland.com/news/10-25-17/rep-rice-bill-requires-cybersecurity-training-for-all-house-members.html
2. Congressional Cybersecurity Training Resolution of 2017. 2017.10.24.
https://kathleenrice.house.gov/uploadedfiles/congressional_cybersecurity_training_resolution_of_2017.pdf

저작자 표시 비영리 변경 금지
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

마이크로소프트는 DDE(Dynamic Data Exchange)를 공격 벡터로 사용하는 것과 관련된 보안 권고문을 발표하였다. 이 권고문은 새 오피스 레지스트리 설정을 수동으로 생성하는 

DDE 공격 시나리오를 완화하기위한 권고 사항을 제공한다.


http://threatpost.com/microsoft-provides-guidance-on-mitigating-dde-attacks/128833/

http://www.scmagazine.com/microsoft-issues-warning-on-dynamic-data-exchange-vulnerability/article/706466/

http://technet.microsoft.com/library/security/4053440

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

티스토리 툴바