SSH - Secure Shell
- 22 포트 사용
- 원격 호스트에 접속하기 위해 사용되는 보안 프로토콜 - 암호화
- 기존 원격 접속을 위해 사용하던 Telnet 등이 암호화를 제공하지 않아 발생하는 문제 개선
절차 - SSH 허니팟을 구성한 뒤 한 달 간 모니터링
- 그 결과, 4,436개 IP에서 약 65만번의 SSH 무작위 대입 공격이 수행됨
- root, admin, user 등 시스템 또는 DB 명을 ID로, 123456, admin 등을 패스워드로 설정하여 무작위 대입 공격 수행
- 무작위 대입 공격을 통해 시스템 접속 성공 후 채굴 악성코드를 실행하기위한 시스템 사양 파악을 선 수행
- 시스템 사양 파악 후 wget 명령을 통해 파일을 다운로드 하거나, 직접 파일을 업로드 등의 방식으로 악성코드 실행

* 허니팟(Honeypot) : 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템
대응 - SSH 서비스 포트 변경
- root 계정의 원격 로그인 금지
- 강력한 패스워드 정책 사용 등 기본적인 보안조치를 충실하게 이행
- 쇼단 등을 이용해 식별되지 않는 SSH 서비스가 있는지 주기적으로 모니터링
- 비식별 자산이 존재하지 않도록 해야함

 

보안뉴스

 

무작위 대입, 채굴 악성코드 등 해커 공격에 SSH 서비스 ‘몸살’

SSH(Secure Shell)를 타깃으로 한 무작위 대입 시도가 지속적으로 발견되고 있어 SSH 서비스 운영자들의 주의가 요구된다. SSH는 보통 리눅스 서버를 원격에서 접속하는데 사용되는 서비스다. 그런데

www.boannews.com

'보안뉴스' 카테고리의 다른 글

랜섬웨어 그룹도 내부자 위협을 겪는다? 록빗 3.0 빌더 공개돼  (0) 2022.09.26
페이스북 ‘메타’와 ‘구글’에 개인정보보호법 위반 과징금 1,000억 부과  (0) 2022.09.18
[긴급] 웹하드에서 게임설치 파일 위장한 모네로 코인 마이너 악성코드 유포중  (0) 2022.08.02
브라우저 즐겨찾기 동기화, 사이버 공격에 악용될 수 있다  (0) 2022.08.02
[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다  (0) 2022.07.28
개요 - 공격자는 웹하드를 이용해 게임이나 게임 크랙 등 불법 프로그램과 함께 악성코드 유포
- 주로 RAT 악성코드를 유표(njRAT, UdpRAT, DDoS IRC Bot 등)
특징 - 최근 웹하드에 게임 설치 파일로 위장해 업로드 된 압축 파일을 통해 XMRig 모네로 코인 마이너를 유포하는 사례가 확인
* 코인 마이너 : 사용자 PC에 설치되어 시스템 리소스를 이용해 가상화폐를 채굴하는 악성코드
- 다운로드한 파일을 압축해제 시 게임 아이콘으로 위장한 raksasi.exe 프로그램이 실행
- 해당 파일은 XMRig 모네로 코인 마이너를 설치하는 악성코드
- 실제 게임 설치파일은 다른 폴더에 존재
- 컴퓨터가 재부팅할 때마다 동일 경로(‘c:\Xcrcure\’ 경로)에 존재하는 config.json 파일을 읽으며 마이닝을 수행

<동작>
- 간단한 구조로 ‘c:\Xcrcure\’ 경로에 다음 파일을 설치
  모네로 채굴 악성코드(xmrig.exe), XMRig 설정 파일(config.json), XMRig 런쳐 악성코드(MsDtsServer.exe)
- 시작 폴더에 XMRig 런쳐 악성코드를 실행하는 바로가기를 ‘NewStartUp.lnk’라는 이름을 생성해 재부팅한 후 모네로 채굴 마이너를 동작시킴.
- Resource 폴더에 존재하는 원본 게임 프로그램을 실행해 정상적으로 게임이 동작하는 것처럼 인식시킴.
대응 - 웹하드, P2P 사이트 등에서 다운한 실행 파일은 각별히 주의
- 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드를 권장

 

- 보안뉴스

 

[긴급] 웹하드에서 게임설치 파일 위장한 모네로 코인 마이너 악성코드 유포중

국내 사용자를 타깃으로 웹하드를 통해 모네로 코인 마이너 악성코드를 유포하는 정황이 포착됐다. 웹하드 이용시 이용자들의 각별한 주의가 필요하다. 공격자는 일반적으로 웹하드를 이용해

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

페이스북 ‘메타’와 ‘구글’에 개인정보보호법 위반 과징금 1,000억 부과  (0) 2022.09.18
무작위 대입, 채굴 악성코드 등 해커 공격에 SSH 서비스 ‘몸살’  (0) 2022.09.18
브라우저 즐겨찾기 동기화, 사이버 공격에 악용될 수 있다  (0) 2022.08.02
[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다  (0) 2022.07.28
아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게  (0) 2022.07.27

- 브라우저 즐겨찾기 동기화 기능은 모든 브라우저의 기본 기능

- 공격자들은 해당 기능을 이용해 데이터를 유출하고 있으며, 브러글링(bruggling)이라는 이름을 붙임

  bruggling = browser + smuggle + bookmarks

- 브러글마크(Brugglemark)라는 이름의 파워셸 스크립트를 개념 증명용으로 개발해 함께 공개됨.

  참고 : https://github.com/davidprefer/Brugglemark

 

개요 - 브러글링 기법을 사용하려면 공격자가 이미 피해 시스템에 접근한 상태여야 함
- 즉, 최초 침투에 성공한 후 미리 훔쳐두거나 크래킹한 크리덴셜을 통해 로그인 및 즐겨찾기에 접근
- 대부분의 호스트 기반 혹은 네트워크 기반 탐지 시스템 우회가능
  => 즐겨찾기 기능을 이용하므로 대부분의 탐지 시스템에는 정상적인 브라우저 동기화 트래픽으로 보이기 때문
방법 - 먼저 공격자는 내부에 민감한 정보가 어디에 저장되어 있는지 확인
- 민감한 정보를 찾아낸 공격자는 base64 알고리즘 등으로 변경 후 적당한 길이로 분할 및 즐겨찾기 이름으로 등록
- 즐겨찾기 정보를 다른 장비에서 동기화시켜 민감한 정보를 탈취함
증명 - 한 기업의 연구원이 이를 실험해 보았으며 아래 내용 및 해당 공격이 가능하다는 것을 증명
- 대부분의 브라우저들이 상당히 많은 종류의 문자와 숫자로 한 개의 즐겨찾기 생성가능_즐겨찾기 이름 지정에 있어 한계가 거의 없다고 할 만한 수준 (책 한권을 브러글링 기법으로 빼돌리는데 성공함)
- 한번에 동기화가 가능한 즐겨찾기의 갯수는 약 20만개

 

- 보안뉴스

 

브라우저 즐겨찾기 동기화, 사이버 공격에 악용될 수 있다

브라우저 즐겨찾기 목록을 동기화 하는 건 현존하는 거의 모든 인터넷 브라우저의 기본 기능이다. 이 기능 덕분에 인터넷 사용자들이 다양한 장비에서 편리하게 인터넷 서핑을 할 수 있게 된다.

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

무작위 대입, 채굴 악성코드 등 해커 공격에 SSH 서비스 ‘몸살’  (0) 2022.09.18
[긴급] 웹하드에서 게임설치 파일 위장한 모네로 코인 마이너 악성코드 유포중  (0) 2022.08.02
[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다  (0) 2022.07.28
아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게  (0) 2022.07.27
수수께끼 투성이 멀웨어 클라우드멘시스, 맥OS 사용자 정교하게 노려  (0) 2022.07.26

- 한국형 랜섬웨어 귀신(Gwisin)이 최근 국내 기업들을 대상으로 공격 및 피해 속출

* 랜섬웨어 : 사용자 PC의 데이터를 암호화한 후 정상적인 동작(복호화)을 위한 대가로 금품을 요구

특징 - 귀신이라는 한글형 이름, 한글 키보드 사용, 전문 기관에 신고하지 말라고 하는 등 북한 혹은 한글 사용 집단의 소행으로 추측
- 2021년 9월경 처음 등장
- 공격당한 PC의 배경화면을 "GWISIN 귀신"으로 바꾸며, 랜섬노트에는 내부 정보가 구체적으로 기재_타깃형 공격
- 암호화된 파일의 확장자명 역시 공격당한 기업의 이름을 사용, 공격 시간도 한국시간 기준 공휴일과 새벽시간대
동작 - MSI 설치 파일 형태로 동작
- 파일 단독 실행만으로는 행위가 발현되지 않고 특별한 실행 인자 값이 필요하며, 이 인자 값은 MSI 내부에 포함된 DLL 파일의 구동에 필요한 키 정보로 활용_이러한 동작 방식의 특징으로 다양한 샌드박스 환경 보안 제품에서는 탐지가 어려울 수 있음
- 내부 DLL 파일은 윈도우 정상프로세스에 인젝션해 동작하며, 대상 프로세스는 고객사마다 다름
- 인자 검증이 끝나면 인자를 이용해 내부에 존재하는 쉘코드를 복호화
- 정상 프로그램 'certreq.exe'를 실행환 후 복호화 한 쉘코드를 인젝션_인젝션된 셀코드는 귀신 램섬웨어 실행

 

- 보안뉴스

 

[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다

한국형 랜섬웨어 ‘귀신(Gwisin)’이 최근 국내 기업들을 대상으로 공격을 지속하고 있으며 피해기업도 속출하고 있어 주의가 요구된다. 특히, 귀신 랜섬웨어는 영어를 사용하고는 있지만, 귀신

www.boannews.com

'보안뉴스' 카테고리의 다른 글

[긴급] 웹하드에서 게임설치 파일 위장한 모네로 코인 마이너 악성코드 유포중  (0) 2022.08.02
브라우저 즐겨찾기 동기화, 사이버 공격에 악용될 수 있다  (0) 2022.08.02
아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게  (0) 2022.07.27
수수께끼 투성이 멀웨어 클라우드멘시스, 맥OS 사용자 정교하게 노려  (0) 2022.07.26
화려하게 등장했던 해킹 단체 랩서스, 왜 요즘 조용한가  (0) 2022.07.26

- 2018년부터 꾸준한 활동을 유지하던 아마디 봇이 최근 업그레이드됨

아마디 봇 2018년 발견
데이터를 훔치는 것이 주 목적
다운로드 및 설치 기능_다른 멀웨어와 악성 페이로드 유포에 사용(갠드크랩 랜섬웨어, 플로드애미 RAT 등)
공격절차 - 과거에는 폴아웃, 리그 익스플로잇 킷이나 정보 탈취형 멀웨어(애조럴트)를 통해 유포
- 최근에는 드롭퍼(스모크로더)를 통해 유포

- 스모크로더를 소프트웨어 크랙으로 위장하여 사용자들의 다운을 유도
- 다운 후 실행 시 스모크로더 실행, explorer.exe에 악성 페이로드 주입
- 감염된 프로세스를 통해 아마디 봇 다운, 시작 프로그램 폴더에 위치+스케줄러 등록=공격 지속성 확보
- 아마디 봇은 C&C 서버에 접속 후 플러그인 다운_해당 플러그인을 이용해 시스템 정보 획득
  수집하는 시스템 정보 : 컴퓨터 이름, 사용자 이름, OS 정보, 설치된 애플리케이션, 백신 정보 등
특징 <추가된 기능>
- 14개 회사에서 만든 백신을 찾아 우회하는 기능
- 스케줄러를 통해 공격 지속성 확보
- 보다 많은 정보 수집
- UAC 우회
- 다른 멀웨어 다운로드

 

- 보안뉴스

 

아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게

지난 2년 동안 활발하게 활동했던 멀웨어인 아마디 봇(Amadey Bot)의 변종이 새로운 기능을 탑재하여 나타났다. 이 때문에 아마디 봇은 이전보다 더 은밀하고, 더 집요하며, 훨씬 더 위험한 멀웨어

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

브라우저 즐겨찾기 동기화, 사이버 공격에 악용될 수 있다  (0) 2022.08.02
[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다  (0) 2022.07.28
수수께끼 투성이 멀웨어 클라우드멘시스, 맥OS 사용자 정교하게 노려  (0) 2022.07.26
화려하게 등장했던 해킹 단체 랩서스, 왜 요즘 조용한가  (0) 2022.07.26
마이크로소프트와 구글의 소프트웨어 업데이트로 위장한 새 랜섬웨어  (0) 2022.07.16

- 맥OS 스파이웨어 클라우드멘시스 발견

기능 - 문서 유출
- 키스트로크 확보(키로깅)
- 스크린 캡쳐
- 공공 클라우드 스토리지 서비스에 페이로드 저장_해당 서비스를 C&C 서버로 활용 하기도
개요 - 오브젝티브씨로 개발된 일종의 백도어
- 현재까지 분석한 바에 의하면 총 39개의 명령 수행 가능
- 훔쳐낸 데이터는 암호화되며, 복호화 하기위해서는 클루드멘시스 운영자의 비밀키가 필요
- 공격 배후 세력이나 피해자가 특정되지 않음_공격자의 의도는 기밀이나 지적재산을 탈취하는 것
- 맥 환경에서 나타난 몇 안되는 정식 스파이웨어
특징 - 클라우드 스토리지 적극 활용
- 클라우드 계정에 파일을 올리거나 내리는 데 필요한 인증 토큰이 포함되어 있음
- 명령이 담긴 파일을 업로드 -> 해당 파일을 받아 명령 실행 -> 결과 암호화하여 업로드 -> 운영자 확인
   => 멀웨어 내에 IP 주소나 도메인이 존재하지 않음_이전에도 존재한 방식이나 맥OS 환경에서는 최초
- 고도의 표적 공격_현재까지 분석된 표적은 51개의 맥OS 컴퓨터
- 코드 전체의 질이 떨어지며, 난독화 기능이 존재하지 않음, 맥 환경에서 이미 알려진 취약점을 익스플로잇
대응 - 현재까지 알려진 맥OS 취약점을 패치
- 비밀번호 변경/강화, 피싱 예방 교육, 다중 인증 시스템 도입 등
- 애플의 락다운 모드 활성화

 

- 보안뉴스

 

수수께끼 투성이 멀웨어 클라우드멘시스, 맥OS 사용자 정교하게 노려

현존하는 발표 자료와 보고서에서 한 번도 등장하지 않은 맥OS 스파이웨어의 존재가 드러났다. 문서를 빼돌리고, 피해자의 키스트로크를 확보하고, 스크린도 캡처하는 등의 활동을 애플 장비에

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다  (0) 2022.07.28
아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게  (0) 2022.07.27
화려하게 등장했던 해킹 단체 랩서스, 왜 요즘 조용한가  (0) 2022.07.26
마이크로소프트와 구글의 소프트웨어 업데이트로 위장한 새 랜섬웨어  (0) 2022.07.16
폴리나 취약점 익스플로잇 후 로제나 백도어 설치  (0) 2022.07.12

- 랩서스(LAPSUS$)

탈중앙화로 운영 - 중앙 관리자가 없으며 "크라우드소싱" 기법을 통해 공격 표적 지정
 => 공격 표적에는 일관성이 없음_누구나 표적이 될 수 있다는 의미  

*크라우드소싱 : 활동의 전 과정에 소비자 또는 대중이 참여할 수 있도록 일부를 개방하고 참여자의 기여로 능력이 향상되면 수익을 참여자와 공유
클라우드 환경에 대한 공격을 즐겨함 - 클라우드 환경에 가치있는 정보가 저장되는 사례가 증가하기 때문
- 클라우드 관련 설정이 미숙하여 설정 오류가 발생하며 이를 통해 해킹 없이 정보 탈취 가능
사회공학 기법을 이용해 최초 침투 감행 - 추가적으로 오래된 취약점을 이용해 익스플로잇

 

- MS, 옥타, 엔비디아 등의 정보를 해킹하던 랩서스가 흔적이 보이지 않음_더욱 위협적인 공격을 위한 준비중으로 분석

  최근 보안 업계는 정해진 전략 안에서 정확한 목표로 움직이는 공격에 대비해 방어 체계 구성

  하지만, 이러한 일련의 과정을 깨버리는 랩서스의 등장

 

- 보안뉴스

 

화려하게 등장했던 해킹 단체 랩서스, 왜 요즘 조용한가

사이버 공격 단체인 랩서스(LAPSUS$)가 최근 매우 조용하다. 등장하자마자 마이크로소프트, 엔비디아, 옥타 등 손꼽히는 기업들을 연달아 뚫어내면서 초미의 관심사가 됐던 것과 상반된 모습이다.

www.boannews.com

 

  

'보안뉴스' 카테고리의 다른 글

[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다  (0) 2022.07.28
아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게  (0) 2022.07.27
수수께끼 투성이 멀웨어 클라우드멘시스, 맥OS 사용자 정교하게 노려  (0) 2022.07.26
마이크로소프트와 구글의 소프트웨어 업데이트로 위장한 새 랜섬웨어  (0) 2022.07.16
폴리나 취약점 익스플로잇 후 로제나 백도어 설치  (0) 2022.07.12

- 하바나크립트(HavanaCrypt)라는 구글 소프트웨어 업데이트(Google Software Update) 애플리케이션으로 위장

  C&C 서버는 마이크로소프트 웹(Microsoft Web) 호스팅 IP 주소 하나에 호스팅

  *피해자들에게 전달되는 피싱메일은 없어, 하나바크립트가 현재도 한창 개발되는 중에 있다는 분석

 

<하바나 크립트 특징>

1) 가상 환경인지 아닌지 먼저 확인하는 기능
2) 암호화 단계에서 오픈소스 키 관리 프로그램인 키패스 패스워드 세이프(KeePass Password Safe)의 코드 일부를 사용
3) QueueUserWorkItem이라는 닷넷(.NET) 함수를 활용해 암호화 속도 높이기

- 과거에는 대부분 어도비의 플래시(Flash)가 거의 대부분 이었으며, 이에 어도비는 플래시의 개발을 완전히 종료 조치
  이후 각종 브라우저들의 가짜 업데이트가 유포되기 시작했다.

  모든 종류의 멀웨어들을 이런 식으로 포장하여 유포하는데, 랜섬웨어, 정보 탈취 멀웨어, 트로이목마 등 종류도 다양하다.

 

- 하바나크립트

1. 닷넷 기반 멀웨어이며, 오픈소스 옵퓨스카를 이용해 코드를 숨김

2. 피해자 시스템 설치 후 구글업데이트 레지스트리 존재 유무 확인 후 해당 레지스트리가 없을 때 동작

3. VM웨어와 가상머신와 관련된 요소(vm마우스, 관련 파일 및 파일명 등) 확인 후 이중 하나라도 해당할 경우 동작 중지

    즉, 가상환경이 아닌 환경에서 동작하기 위한 과정이다.

4. C&C 서버와 통신(배치 파일 다운 및 실행)

    C2 서버는 정상적인 MS 웹 호스팅 서비스에 호스팅

    배치 파일은 윈도 디펜더 설정 명령, 프로세스 중단 명령 등이 포함되어 있다.

5. 감염시킨 시스템으로부터 셰도우 복사본 삭제, 데이터 복구 기능 중지, 시스템 정보 수집

6. QuereUserWorkItem함수와 코드를 키패스 패스워드 세이프(KeePass Password Safe)로부터 가져와 암호화 실시 

 

- 보안뉴스

 

마이크로소프트와 구글의 소프트웨어 업데이트로 위장한 새 랜섬웨어

점점 더 많은 위협 행위자들이 가짜 마이크로소프트와 구글 소프트웨어 업데이트를 활용해 멀웨어를 퍼트리고 있다. 이런 멀웨어들 가운데 최근 하바나크립트(HavanaCrypt)라는 랜섬웨어가 눈에

www.boannews.com

'보안뉴스' 카테고리의 다른 글

[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다  (0) 2022.07.28
아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게  (0) 2022.07.27
수수께끼 투성이 멀웨어 클라우드멘시스, 맥OS 사용자 정교하게 노려  (0) 2022.07.26
화려하게 등장했던 해킹 단체 랩서스, 왜 요즘 조용한가  (0) 2022.07.26
폴리나 취약점 익스플로잇 후 로제나 백도어 설치  (0) 2022.07.12

+ Recent posts

티스토리툴바