일일 보안이슈

MS Win10 에 Anti-Cheat 엔진 추가

지난 주 초 있던 Win10 가을 CU(Creators Update)에서 MS 는 Valve의 VAC 시스템과 유사한 Anti-Cheat 엔진을 추가했다. TruePlay라 명명된 이 기능은 게임개발자들이 그들의 게임을 개발하는데 사용할 수 있는 API집합. 이를 통해 특정타입의 공격(에임봇, 워핵 등)에 대해 프로세스를 보호할 수 있다. 이 외에도 역시 게임핵에 많이 사용되는 게이밍 세션 조작등의 행위도 모니터링하는 서비스 또한 제공. 기사원문

지난달 거대 봇넷이 암암리에 성장한것으로 보임

9월 중순 새로운 봇넷의 성장이 눈에 띄게 나타났다. IoT_reaper 라 명명. 약 2백만여대의 기기가 감염된것으로 보인다. 주로 IP 기반 CCTV 가 주로 감염됐고, NVR(Network Video Recorder)과 DVR(Digital Video Recorder)가 그 뒤를 이었다. mirai 기반 제작됐으나 mirai 변종은 아냐. 중국 보안업체 Qihoo 360 의 netlab 과 이스라엘 보안업체 CheckPoint 에서 발간한 보고서에 따르면 Mirai 와 IoT_reaper 는 서로 비슷하지만 큰 차이점이 존재하는데, 그것은 전파 방식에 있다고. Mirai 는 Telnet 포트에 알려진 기본 크리덴셜을 사용하지만, IoT_reaper 는 Telnet 을 사용치 않고, 미패치 디바이스 취약점을 공략해 C2 인프라에 편입시킨다. 현재까지 알려진 공격대상은 아래와 같다.
– D-Link 1
– D-Link 2
– Netgear 1
– Netgear 2
– Linksys
– GoAhead
– JAWS
– Vacron
– AVTECH
추가적으로 CheckPoint 에 따르면 MicroTik TP-Link routers, Synology NAS , Linux servers 를 공격하는 봇넷도 포착했다고. 자세한 내용은 기사원문 참고

실제 공격에 사용되는 악성문서

Cisco Talos 는 실 공격에 사용되는 악성문서에 관한 보고서를 발표. VBA 드랍퍼 Seduploader 로 명명. Group 74로 자체적으로 식별중인 공격그룹이 즐겨 사용하는것으로 알려져있다. 기술문서

관련샘플

Downloader (.DOC)
– c4be15f9ccfecf7a463f3b1d4a17e7b4f95de939e057662c3f97b52f7fa3c52f
– e5511b22245e26a003923ba476d7c36029939b2d1936e17a9b35b396467179ae
– efb235776851502672dba5ef45d96cc65cb9ebba1b49949393a6a85b9c822f52
Payload
– ef027405492bc0719437eb58c3d2774cc87845f30c40040bbebbcc09a4e3dd18