개요

 

Cisco社 보안 연구원, Bad Rabbit 랜섬웨어가 EternalRomance을 사용한 것을 발견

 

주요내용

 

EternalRomance는 올해 4월 Shadow Brokers에 의해 유출 된 NSA의 해킹 도구 중 하나로, Microsoft社의 SMB 원격 코드 실행 취약점(CVE-2017-0145)을 악용

※ SMB 원격 코드 실행 취약점(CVE-2017-0145)은 패치 완료(3.14)되어 KrCert 홈페이지에 게시(3.15)

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25303

글로벌 랜섬웨어가 NSA 해킹 도구를 악용한 것은 WannaCry를 시작으로 세 번째

Bad Rabbit은 배포 프로세스를 강화하기 위해 수정 된 버전의 익스플로잇을 이용한 것으로 나타남

 

 

Bad Rabbit 특징

 

Bad Rabbit은 러시아 미디어 사이트에서 가짜 Flash Player 설치 파일로 위장하여 배포

Bad Rabbit이 설치되면 Mimikatz 암호 추출 도구를 통해 감염 된 PC의 메모리를 덤프하고, 내부 네트워크에서 열린 SMB 공유를 검색

이후, 네트워크의 다른 Windows 시스템에서도 하드코딩 된 크리덴셜을 사용하여 원격으로 악성코드를 실행

<그림1. Bad Rabbit 감염 PC 화면>
Oops! your files have been encrypted. if you see this text, your files are no longer accessible.

시사점

 

Bad Rabbit 예방을 위해 윈도우 사용자들은 WMI 서비스를 사용하지 않도록 설정하여 악성코드가 네트워크를 통해 확산되지 않도록 주의

또한, 대부분 랜섬웨어는 전자 메일, 웹 사이트의 프로그램을 통해 감염됨으로 출처가 명확한 프로그램만 다운받을 것을 권고





[출처]

1. The Hacker News, "Bad Rabbit Ransomware Uses Leaked 'EternalRomance' NSA Exploit to Spread", 2017.10.26.

2. Threatpost,, "EternalRomance Exploit Found in Bad Rabbit Ransomware", 2017.10.26

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

해외 인기 애니메이션 사이트 Crunchyroll.com가 웹사이트 방문자들이 악용 멀웨어를 즉시 설치하도록 하이재킹당한것으로 확인되었다.

실제 해당 사이트는 방문자들이 웹사이트 사용에 필요한 소프트웨어를 다운로드하도록 하지만 해커는 해당 절차에 멀웨어를 추가한것으로 확인되었다. 이를 이상하게 여긴 한 독일 직원은 

이를 발견한 뒤 방문자들에게 해당 사실을 알리며 잠시 이용을 중지해달라고 요청했다. Crunchyroll에 따르면, 해당 사이트가 직접적으로 해킹당한것은 아니며 DNS 하이재킹 희생자가 된것으로 

말하고 있다. 한편 아직까지 어떻게 해당 웹사이트가 해킹당했는지에 대한 세부사항은 밝혀지지 않았다.

[https://www.bleepingcomputer.com/news/security/popular-anime-site-crunchyroll-com-hijacked-to-distribute-malware/]

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

스캐머가 안드로이드 사용자들이 인기있는 메시지 앱인 WhatApp을 공식버전으로 가장하여 다운로드하도록했다. 지금 이 앱은 구글 플레이스토어에서 제거되었지만, 

Update WhatsApp으로 한동안 이용가능했다. 이 후 이 가짜 앱 개발자는 다시한번 Dual Whatsweb Update라는 이름으로 플레이스토어에 재등록하여 사용자를 속이려 시도한것으로 밝혀졌다. 

철저한 연구를 시행한 한 레딧 사용자에 따르면, 수백만명의 안드로이드 사용자가 해당 앱을 다운로드했다고 말하고 있으며, 플레이스토어 해당 앱 평가창에서는 약 100~500만명의 

사용자가 다운로드 한것으로 확인된다. 심지어 애플리케이션 점수가 4.462(5점만점)으로 책정되어있어 사용자가 속기 쉽도록 조작되었다. 비록 앱이 현재 완전히 제거되었지만 

이 앱이 멀웨어를 배포하여 장치에 영향을 주었는지 또는 단지 광고스팸을 생성만 하는지는 확실하지 않다. 이번 사건을 통해 안드로이드 사용자들이 앱 설치시 얼마나 취약한지,

 왜 사이버범죄가 항상 안드로이드 스마트폰을 대상으로 시도하는지를 잘 보여주며 주의가 요구

[https://www.hackread.com/1-million-android-users-downloaded-fake-whatsapp-app/]

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

Mac과 Linux OS 전용 Tor 브라우저가 사용자의 실제 IP주소를 잠재적 공격자에게 노출할 수 있는 취약점이 발견되었다. 이탈리아 보안 연구원 Filippo Cavallarin에 의해 발견된 

이 취약점은 FireFox에서 그것의 코어로 사용되는 Privacy-aware service 기능으로 인해 Tor 브라우저가 영향을 받는것으로 확인되었다. 즉 해당 취약점은 실제 FireFox에 트리거가 존재하며 

결국 Tor 브라우저에 영향을 준다는 것이다. TorMoil이라 불리는 연구원은 해당 취약점은 Windows는 아직까지 영향을 받지 않았지만, 결함에 대한 세부사항은 아직 공개되지 않았다고 말한다. 

한 보안 회사인 We Are Segment의 CEO, Cavallarin는 보안 취약점을 Tor 브라우저 개발자에 사적으로 연락했으며(현지 시간 10월26일), 이에 따라 개발자는 비상 업데이트를 통해 Tor 버전 

7.0.8을 공개했다. We Are Segment에서 발표한 블로그 포스트에 따르면, 해당 TorMoil 취약점은 Firefox에서 file://URLS를 제대로 처리하지 못해 발생한다고 말하고 있다. 한편 사용자 

프라이버시 보호 시도의 일환으로, Tor 프로젝트는 최근 Tor 0.3.2.1-alpha를 발표했다.

[https://thehackernews.com/2017/11/tor-browser-real-ip.html]

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

Hetzner의 konsole 플랫폼이 해킹되어 고객 세부 정보, FTP 암호, 도메인 이름 및 은행 정보가 노출되었다. 이 플랫폼은 Hetzner의 독점적인 제어판으로, 모든 서비스 관리 도구를 통합 관리

 시스템으로 통합한다. 이 플랫폼을 통해 사용자는 더 큰 효율성과 접근성으로 웹 공간을 관리 할 수 있다는 장점을 가졌다. 이 장점은 사용자에 관한 많은 정보가 중앙 장소에 저장되어 사이버

 범죄자의 대상이된다는 것을 의미하기도 한다. Hetzner는 해커가 SQL 주입 취약점을 사용하여 KornsoleH Control Panel 데이터베이스에 액세스 할 수 있다고 말했다. 이 취약점은 현재 수정된 

상태이다. 이 사고에 따라 회사 측은 "귀하의 konsoleH 관리 암호가 손상되기 전에 우리는 노출된 FTP 암호를 사전에 업데이트했습니다"고 발표했다. 하지만 클라이언트는 KonsoleH 관리 

암호를 포함하여 Hetzner 계정과 관련된 모든 암호를 즉시 업데이트 해야 한다.

[https://mybroadband.co.za/news/cloud-hosting/235714-hetzner-hacked-sensitive-information-exposed.html]

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

티스토리 툴바