일일 보안이슈
Fireball 악성코드 2.5억대 PC 감염
Fireball 이라 명명된 이 악성코드는 감염PC 웹 브라우저를 완전히 제어할 수 있는 애드웨어 패키지. 웹브라우저를 좀비로 만들수 있고, 잠재적으로 감염 PC 트래픽을 모니터링하고 데이터를 유출할 수 있다. CheckPoint는 이 거대 캠페인이 Rafotech 라는 중국 회사와 관련있다고 밝혔다. 이 회사가 Fireball 을 이용해 브라우저에 광고를 삽입하는 방식으로 계속 수입을 올리는 한 악성코드는 언제든 국제적 보안 사건으로 이어질 수 있어 주의가 요구된다. 기사원문
OneLogin 비밀번호 관리자 해킹, 사용자 데이터 복호화 됐을수도
OneLogin 사용자라면 즉시 모든 계정의 비밀번호 바꿀것을 권고. OneLogin 은 클라우드 기반 패스워드 관리 프로그램. 목요일, 회사는 미인증 접근을 탐지했다고 밝혔다. 사측은 이 외에 어떤 자세한 정보도 제공치 않았지만, 성명서에 따르면 유출 규모가 제법 클수도…
“Today We detected unauthorised access to OneLogin data in our US data region,” OneLogin chief information security officer Alvaro Hoyos said in a brief blog post-Wednesday night.
ShadowBrokers 구독 위한 크라우드펀딩 취소
지난 주 부터 시작된 patreon.com 을 통한 크라우드 펀딩, 법적인 문제로 취소. 펀딩은 36시간 만에 $4000 가 모였지만, 법적인 조언을 들은 후 펀딩을 취소하기로 결정. 모든 투자금액은 환불되거나 EFF(Electronic Frontier Foundation) 에 기부됐다. 기사원문
Jaff 랜섬웨어 드롭하는 pdf에서 디코이파일 발견
Jaff 랜섬웨어를 유포하는 스팸 캠페인이 날이 갈수록 진화중. 현재 악성 PDF 문서 안에 숨어있는 여러 디코이 파일을 포함한 스팸이 발송중이라 Trustwave 는 밝혔다. 자세한 사항은 링크 참고. 기사원문
CIA, 사용자가 SMB 를 통해 다운받는 정상파일 악성으로 교체 가능
Pandemic 이란 코드네임을 가진 이 악성코드는(CIA가 개발한 사이버무기(?)) SMB프로토콜을 통 공유폴더에서 파일을 다운로드 받는 PC를 대상으로한다. 이는 과거 어떤 악성코드에서도 보이지 않던 새로운 동작.
유출된 CIA 문건에 따르면 Pandemic 은 공격 대상 PC에 “file system filter driver”란 이름으로 설치되고, 이 드라이버의 기능은 SMB 트래픽을 모니터링하고 다른 사용자가 이 PC로부터 공유폴더를 통해 파일을 다운로드 받을 때 해당 파일을 교체하는 행위를 한다. 파일 전환할 수 있는 최대 크기는 800MB, 32/64 bit 모두 가능하다.
일단 네트워크에 잠입하면 어떤 PC가 감염됐는지, 최초 감염 경로는 어디인지, 탐지하기는 매우 어렵다. 왜냐하면 SMB를 통해 파일을 받을 때 사용자가 직접 수동으로 받는지, 프로그램이 자동으로 다운로드하는 것인지 식별하고, 수동 다운로드시엔 정상파일을 보낼 수 있기 때문(의역). 따라서 감염 PC를 식별키 위해선 반드시 스캐닝 툴을 사용해야 한다. 유출된 매뉴얼에선 Pandemic 악성코드를 탐지할 수 있는 여러 방법을 제공하기도 한다. 기사원문
Pandemic registers a minifilter driver using Windows’ Flt* functions. As a result, FltMgr requires that all drivers registering as minifilters contain certain registry keys. Pandemic uses the ‘Null’ service key (on all Windows systems) as its own driver service key. Pandemic will create 2 sub keys and 3 values under the ‘Null’ service key in the registry. These values and sub keys are deleted when Pandemic is uninstalled at the end of its configured run timer, or when it is uninstalled via a special F&F (v2) DLL. These keys will NOT//NOT be deleted if the system is rebooted before the aforementioned scenarios occur.
