[참고] 다크웹에 공개된 랜섬웨어 피해 조직 목록

- bit.ly/2YwotlM. I DarkTracer

2017년 6월 정기 사이버 보안 세미나 월간 보안 이슈 모음

1. wannacry 추적에 대한 일부 정보 공개
Google, KasperskyLab, Intezer, Symantec 합동 조사팀에서 일부 내용 공개
이 중 나사로 그룹 Lazarus 이름 확인
나사로 그룹은 이전부터 사이버 공격을 수행한 그룹
wannacry 에서 사용하는 코드 중 특정 소스 코드에서의 동일한 패턴 확인
하지만 결정적 증거는 확인하지 못함
사용자를 특정지을 수 있는 이름이나 개인 정보, 국가 등에 대한 정보가 없음

출처- 사이버 보안센터 https://www.facebook.com/CSCKOR/?fref=ts

1. Internet Explorer 보안 업데이트

2. Microsoft Edge 보안 업데이트

3. Microsoft Office 보안 업데이트

4. Lync, Skype 보안 업데이트

5. Silverlight 보안 업데이트

6. Windows Server 2008 보안 업데이트

7. Windows 7, Server 2008 R2 보안 업데이트

8. Windows Server 2012 보안 업데이트

9. Windows 8.1, RT 8.1, Server 2012 R2 보안 업데이트

10. Windows 10, Server 2016 보안 업데이트

11. Adobe Flash Px-layer용 보안 업데이트

1. Internet Explorer 보안 업데이트

□ 설명

- 사용자가 특수하게 제작된 웹 페이지에 접속할 경우 원격 코드가 실행될 수 있는 문제점이 존재함.

□ 중요도

- 긴급 (Critical)

□ 영향

- 원격코드 실행

□ 관련 취약점

- Remote Code Execution - CVE-2017-8517, CVE-2017-8522, CVE-2017-8524

□ 관련 KB번호

- 4022714, 4022715, 4022725, 4022726, 4022727

□ 해결책

- 해당 시스템에 대한 마이크로소프트사의 보안 업데이트를 적용함.

2. Microsoft Edge 보안 업데이트

□ 설명

- 사용자가 특수하게 제작된 웹 페이지에 접속할 경우 원격 코드가 실행될 수 있는 문제점이 존재함.

□ 중요도

- 긴급 (Critical)

□ 영향

- 원격 코드 실행

□ 관련 취약점

- Remote Code Execution - CVE-2017-8517, CVE-2017-8520, CVE-2017-8522, CVE-2017-8524, CVE-2017-8548 ~ 8549, CVE-2017-8496 ~ 8497, CVE-2017-8499

□ 관련 KB번호

- 4022714, 4022715, 4022727

□ 해결책

- 해당 시스템에 대한 마이크로소프트사의 보안 업데이트를 적용함.

3. Microsoft Office 보안 업데이트

□ 설명

- 사용자가 특수 제작된 악성 Office 파일을 열람하는 경우, 원격 코드 실행이 허용되는 문제점이 존재함.

□ 중요도

- 중요 (Important)

□ 영향

- 원격 코드 실행

□ 관련 취약점

- Remote Code Execution - CVE-2017-0260, CVE-2017-0283, CVE-2017-0292, CVE-2017-8506 ~ 8507, CVE-2017-8509 ~ 8513, CVE-2017-8527 ~ 8528

- Elevation of Privilege - CVE-2017-8551

- Information Disclosure - CVE-2017-0282, CVE-2017-0284 ~ 0289, CVE-2017-8514, CVE-2017-8531 ~ 8534, CVE-2017-8550

- Security Feature Bypass - CVE-2017-8508

- Spoofing - CVE-2017-8545

□ 관련 KB번호

- 3118304, 3127888, 3127894, 3172445, 3191828, 3191837, 3191844, 3191908, 3191932, 3191938, 3191944, 3191848, 3191898, 3191945, 3203383, 3203386, 3203391, 3203392, 3203393, 3203399, 3203427, 3203430, 3203432, 3203436, 3203438, 3203441, 3203458, 3203460, 3203461, 3203464, 3203466, 3203467, 3203484, 3203485, 3212223, 4020735, 4020736

□ 해결책

- 해당 시스템에 대한 마이크로소프트사의 보안 업데이트를 적용함.

4. Lync, Skype 보안 업데이트

□ 설명

- 사용자가 특수하게 제작된 웹 페이지에 접속할 경우 원격 코드가 실행될 수 있는 문제점이 존재함.

□ 중요도

- 긴급 (Critical)

□ 영향

- 원격 코드 실행

□ 관련 취약점

- Remote Code Execution - CVE-2017-0283, CVE-2017-8527

□ 관련 KB번호

- 3191939, 3203382, 4020734

□ 해결책

- 해당 시스템에 대한 마이크로소프트사의 보안 업데이트를 적용함.

5. Silverlight 보안 업데이트

□ 설명

- 사용자가 Instant Messenger 메시지 또는 전자 메일을 통해 전송 된 첨부 파일을 열어 링크를 클릭할 경우, 원격 코드가 실행될 수 있는 문제점이 존재함.

□ 중요도

- 긴급 (Critical)

□ 영향

- 원격 코드 실행

□ 관련 취약점

- Remote Code Execution - CVE-2017-0283, CVE-2017-8527

□ 관련 KB번호

- 4023307

□ 해결책

- 해당 시스템에 대한 마이크로소프트사의 보안 업데이트를 적용함.

6. Windows Server 2008 보안 업데이트

□ 설명

- 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격 코드 실행을 허용하는 문제점이 존재함.

□ 중요도

- 긴급 (Critical)

□ 영향

- 원격 코드 실행

□ 관련 취약점

- Remote Code Execution - CVE-2017-0283, CVE-2017-0294, CVE-2017-8464, CVE-2017-8527 ~ 8528, CVE-2017-8543

□ 관련 KB번호

- 4021903, 4022008, 4022884, 4024402

□ 해결책

- 해당 시스템에 대한 마이크로소프트사의 보안 업데이트를 적용함.

7. Windows 7, Server 2008 R2 보안 업데이트

□ 설명

- 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격 코드 실행을 허용하는 문제점이 존재함.

□ 중요도

- 긴급 (Critical)

□ 영향

- 원격 코드 실행

□ 관련 취약점

- Remote Code Execution - CVE-2017-0283, CVE-2017-0294, CVE-2017-8464, CVE-2017-8527 ~ 8528, CVE-2017-8543

□ 관련 KB번호

- 없음

□ 해결책

- 해당 시스템에 대한 마이크로소프트사의 보안 업데이트를 적용함.

8. Windows Server 2012 보안 업데이트

□ 설명

- 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격 코드 실행을 허용하는 문제점이 존재함.

□ 중요도

- 긴급 (Critical)

□ 영향

- 원격 코드 실행

□ 관련 취약점

- Remote Code Execution - CVE-2017-0283, CVE-2017-0291 ~ 0292, CVE-2017-0294, CVE-2017-8464, CVE-2017-8527 ~ 8528, CVE-2017-8543

□ 관련 KB번호

- 없음

□ 해결책

- 해당 시스템에 대한 마이크로소프트사의 보안 업데이트를 적용함.

9. Windows 8.1, RT 8.1, Server 2012 R2 보안 업데이트

□ 설명

- 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격 코드 실행을 허용하는 문제점이 존재함.

□ 중요도

- 긴급 (Critical)

□ 영향

- 원격 코드 실행

□ 관련 취약점

- Remote Code Execution - CVE-2017-0283, CVE-2017-0291 ~ 0292, CVE-2017-0294, CVE-2017-8464, CVE-2017-8527 ~ 8528, CVE-2017-8543

□ 관련 KB번호

- 4019215

□ 해결책

- 해당 시스템에 대한 마이크로소프트사의 보안 업데이트를 적용함.

10. Windows 10, Server 2016 보안 업데이트

□ 설명

- 공격자가 특수하게 제작된 악성 응용 프로그램을 실행할 경우, 원격 코드 실행을 허용하는 문제점이 존재함.

□ 중요도

- 긴급 (Critical)

□ 영향

- 원격 코드 실행

□ 관련 취약점

- Remote Code Execution - CVE-2017-0283, CVE-2017-0291 ~ 0292, CVE-2017-0294, CVE-2017-8464, CVE-2017-8527, CVE-2017-8543

□ 관련 KB번호

- 4022714, 4022715, 4022725, 4022727

□ 해결책

- 해당 시스템에 대한 마이크로소프트사의 보안 업데이트를 적용함.

11. Adobe Flash Px-layer용 보안 업데이트

□ 설명

- 지원되는 모든 버전의 Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 및 Windows Server 2016에 설치된 Adobe Flash Px-layer의 문제점을 해결함.

□ 중요도

- 긴급 (Critical)

□ 영향

- 원격 코드 실행

□ 관련 취약점

- Use-after-free vulnerabilities that could lead to code execution - CVE-2017-3075, CVE-2017-3081, CVE-2017-3083 ~ 3084

- Memory corruption vulnerabilities that could lead to code execution - CVE-2017-3076 ~ 3079, CVE-2017-3082

□ 관련 KB번호

- 4022730

□ 해결책

- 해당 시스템에 대한 마이크로소프트사의 보안 업데이트를 적용함.

이번 인터넷 나야나 해킹사건 랜섬웨어 피해 중 상당히 큰 피해 인거같네요

회사를 파산 시키고 18억에 해결되었습니다. 해킹에 의한 나쁜 선례로 남을것 같아 안타깝습니다. 

나야나의 운영진의 책임의식이 대단합니다.
보통사람이라면 모든것을  포기하고 돈챙기고 잠수타는데  

나야나 ceo의 책임의식을 보여주는 자료입니다.

  안타깝습니다.

이번 사건을 통해 더이상 클라우드도 안전지대가 아니며 호스팅 서버가 타겟을 잡는 악의적인 해커들이 많이 나올 것 같아 걱정 

이됩니다. 

이번 사건을 개기로 인재를 양성하고 보안의식 개선과 인식개선도 필요해 보입니다. 

랜섬웨어 피해 예방을 위한 백업체계 보안 강화 권고

o 최근 기업 및 호스팅社의 다수 서버가 랜섬웨어에 감염되어 주의 필요
o 호스팅 및 클라우드 서버 내 자료가 랜섬웨어의 주요 공격 대상

2017년 5월 정기 사이버 보안 세미나 월간 보안 이슈 모음

1. 구글 플레이 스토어에 가이드앱으로 위장한, 악성코드 배포 앱 발견
CheckPoint 보안연구원 발표
포켓몬고, Fifa Moblie 등 유명 게임의 가이드앱으로 위장
앱 내부에 개인정보 유출 혹은 DDoS 의 일종의 좀비스마트폰 가능성도 경고

https://www.cirt.gov.bd/new-android-malware-infected-2-mil…/
http://blog.checkpoint.com/…/falaseguide-misleads-users-go…/

2. 해지라는 이름의 IoT botnet 발견
kasperskylab 발표
IoT botnet 발견
Mirai botnet 과 같은 공격형 멀웨어
다른 botnet 과 다른 점은 멀웨어가 설치된 IoT 기기를 보호
외부 공격 형태나 정보수집 등의 행위가 발견되지 않음
하지만 이후 공격이 가능할 수 있으니 충분한 주의가 필요

https://www.linkedin.com/…/hajime-vigilante-botnet-growing-…

3. 애플 ID를 노리는 새로운 멀웨어 발견
McAfeeLab 발표
2016년 애플 Mac 컴퓨터에 대한 멀웨어 공격 744% 증가
https://www.mcafee.com/…/…/rp-quarterly-threats-mar-2017.pdf

CheckPoint Malware Research 발표
MacOS X 의 모든 버전에 영향을 미침
VirusTotal 에 대한 탐지가 전혀 없음
애플에서 발급된 전자 서명 Mc 멀웨어 발견
DOK 라는 이름의 멀웨어 발견
MacOS 사용자 대상으로 하는 최초의 대규모 멀웨어

https://www.linkedin.com/…/new-macos-malware-signed-legit-a…

4. 기존 포트를 사용하는 앱에 대한 모의해킹 테스트
미국 미시건 대학교 발표
구글 플레이 스토어에 등록된 앱을 대상으로 보안 테스트 진행
기존에 알려진 포트를 그대로 이용하는 앱에 대해 모의해킹 테스트를 진행
구글 플레이 스토어 앱에 임의로 악성코드 삽입 후,
동일 네트워크에 있고 동일 앱을 사용하는 다른 기기에 대한 공격 및 접속은 쉽다는 것을 입증

모의해킹 테스트에 대한 유튜브 동영상
앱의 열린 포트를 사용하는 기기에서의 사진 도용
https://youtu.be/9rcQfX5U_T0
네트워크 공격
https://youtu.be/7T7FBuCFM6A
http://securityaffairs.co/…/ha…/open-port-attack-mobile.html

5. 2010년 이후 판매된 인텔 서버용 제품의 칩셋에 대한 원격 접속 취약점 발견
Embedi 연구팀에서 발표
인텔에서 제공하는 AMT 기능에서 원격 관리 부분에 취약점 발견
CVE-2017-5689
일종의 권한상승의 버그를 이용한 취약점
전원이 끊긴 PC, 랩탑 등에도 공격 성공

https://www.theregister.co.uk/…/01/intel_amt_me_vulnerabil…/

인텔 공식 홈페이지에 관련 제품 정보 공개
https://security-center.intel.com/advisory.aspx…

6. SS7 설계 결함을 악용해서 은행 계좌의 강제 유출 가능성 경고
SS7 Signaling System 7 이란
1980년대 텔코 telcos 라는 곳에서 만듬
AT&T, 버라이즌 등 세계 800여곳 텔레콤 사업자들이 사용 중
텍스트, 로밍, 기타 서비스의 상호 연결 및 데이터 교환을 지원
금융권 대상, 2팩터 인증(OTP 등)에 사용
2014년부터 꾸준히 문제점 지적 및 관련 공격 영상 발표

금융권 OTP 서비스의 SS7 의 취약점 악용한 시나리오 확인
https://www.theregister.co.uk/…/03/hackers_fire_up_ss7_flaw/

OTP MITM 공격이기 때문에 현재 관련 대책이 없음

https://safeum.com/…/2498-ss7-attack-hackers-are-stealing-m…

7. MS 윈도우 멀웨어 스캐너에서 RCE 취약점 발견
Google Project Zero 보안연구원 Tavis Ormandy 발표
CVE-2017-0290
PoC 관련 정보
https://bugs.chromium.org/p/project-zero/issues/detail…
MS 에서 제공해주는 백신 프로그램 내 취약점이 있기 때문에 파급력은 더 클 수 있음
위험 소프트웨어
Windows Defender
Windows Intune Endpoint Protection
Microsoft Security Essentials
Microsoft System Center Endpoint Protection
Microsoft Forefront Security for SharePoint
Microsoft Endpoint Protection
Microsoft Forefront Endpoint Protection

MS 에서는 긴급 상황임을 판단하고 관련 경고 후 3일만에 패치 발표 및 배포

이번 취약점의 핵심은 MSmpeng

MS 홈페이지에서 해당 패치 관련 정보
https://technet.microsoft.com/…/libra…/security/4022344.aspx
https://www.linkedin.com/…/microsoft-issues-emergency-patch…

8. MS 에서 4개에 대한 0day 취약점 관련 패치 진행
CVE-2017-0261
Fireeye 발표
MS office 의 EPS 이미지 파일 처리 부분의 취약점을 악용
MS office 2010, 2013, 2016 등에 영향을 미침

CVE-2017-0262
Fireeye와 ESET 발표
CVE-2017-0261 와 내용은 비슷

CVE-2017-0263
MS 윈도우 OS 의 모든 버전에서 동일하게 있는 권한 상승 취약점
윈도우 커널 모드 드라이버 부분에 대한 취약점 공격

CVE-2017-0222
MS IE10, IE11 이 영향을 받음
메모리 개체를 처리하는 방식에서 문제 발생

그 외 다수 CVE 및 adobe flash player 관련 패치 진행

https://www.cyberscoop.com/microsoft-patch-zero-day-office…/

9. 위키리크스에서 공개된 CIA 내부 문서 분석 중 CISCO 0day 취약점 공개
CISCO 전용 프로토콜 중 하나인 CMP 라는 이름의 프로토콜을 이용한 정보 취득 확인
CISCO 홈페이지에서 해당 모델 확인 및 관련 패치 진행 중
https://tools.cisco.com/…/CiscoSecuri…/cisco-sa-20170317-cmp
http://www.cyberinject.com/cisco-finally-patches-0-day-exp…/

10. HP 랩탑에서 키로거 발견
스위스 보안회사 ModZero 발표
HP 오디오 드라이버에서 내장된 키로거 발견
ModZero 에서는 해당 키로거가 작동되는 랩탑 모델 공개
https://www.modzero.ch/advi…/MZ-17-01-Conexant-Keylogger.txt
해당 오디오 드라이버를 사용하는 랩탑을 HP 에서도 공개
http://ftp.hp.com/pub/softpaq/sp80001-80500/sp80264.html
CVE-2017-8360
사람이 읽을 수 있는 텍스트 형태로 저장
악용하면 충분히 위협적일 수 있음

해당 오디오 드라이버의 문제가 아닌, HW 칩셋의 문제
동일 제품이 랩탑이 아닌 다른 기기에서 사용된다면 역시 동일한 문제 발생 가능성 충분

http://www.zdnet.com/…/keylogger-found-on-several-hp-lapto…/

11. 중국 OnePlus 의 4가지 취약점 공개
17년 1월 HCL Technologies 에서 Aleph Research 발표
해당 문제점은 90일 기업 책임 기간 및 추가 14일 포함 해결하지 못했기에 모두 공개
중국 스마트폰 기기 제조업체 OnePlus 에서 제작된 모든 스마트폰
최신버전 OxygenOS 4.1.3 글로벌 버전 및 그 이하 버전
HydrogenOS 3.0 이하 only China

CVE-2016-10370
HTTP를 통한 OnePlus OTA 업데이트
해커가 MitM 공격을 수행함으로써 악성코드가 담긴 파일을 업데이트 할 수 있게 유도할 수 있음

CVE-2017-5948
OnePlus OTA 다운그레이드 공격
버전 업데이트가 아닌 기기의 강제 다운그레이드
테스트 동영상
https://youtu.be/DnHwPQnv3N0

CVE-2017-8850
각기 다른 OS 의 크로스 오버 업데이트
OxygenOS 와 HydrogenOS 라는 이름으로 OnePlus 에서 각각 다른 OS 를 사용 
하지만 해당 OS 가 아님에도 강제로 다른 OS 업데이트 가능

CVE-2017-8851
위에서 언급한, 8850 과 비슷
OnePlus OTA One 과 X 크로스 오버 공격

해당 취약점을 발표한 곳에서 해당 업체에서의 보안 대응을 하지 않았기에
관련 정보를 모두 공개하기로 결정
https://github.com/alephsecuri…/research/…/master/OnePlusOTA

https://www.linkedin.com/…/all-oneplus-devices-vulnerable-r…

12. Google Chrome 를 이용해서 윈도우 비밀번호를 훔칠 수 있다?!
DefenseCode의 Bosko Stankovic 연구원 발표
윈도우 바로가기 파일을 응용
윈도우 최신버전(패치 포함)과 크롬 최신버전이라 해도 공격 가능성 입증

https://www.linkedin.com/…/beware-hackers-can-steal-your-wi…

13. netgear 분석 데이터 수집을 위해 펌웨어 업데이트 진행 예정
현재 무선 라우터 NightHawk R7000 에서 수행 중
넷기어에서 주장하는 정보 수집하는 것들
라우터에 연결된 총 기기의 수
IP 주소 / MAC 주소 / 일련번호(Serial Number)
라우터의 실행 상태 / 연결 유형 / LAN or WAN 상태 / Wi-Fi 대역과 채널
라우터 및 Wi-Fi 네트워크의 사용 및 기능에 대한 기술적인 세부 정보
넷기어 공식 사이트에서도 정보 수집할 것임을 알림
https://kb.netgear.com/…/What-router-analytics-data-is-coll…
http://www.networkworld.com/…/netgear-added-data-collection…

14. samba 에서 7년 동안 사용된 코드에서 취약점 발견
CVE-2017-7494
2010.03.01. 에 릴리즈 된, Samba 3.5.0 이상 모든 samba 버전이 취약점 대상
NAS 에서도 samba 를 이용하고 있기에 업데이트 및 패치는 필수
해당 취약점을 이용해서 랜섬웨어 워너크라이 wannacry 에서 사용하는 이터널블루 eternalblue 에서도 악용 가능성 높음

https://www.linkedin.com/…/7-year-old-samba-flaw-lets-hacke…

15. 전혀 새로운 안드로이드 공격 기법 발견
조지아 공대 보안연구팀 발표
안드로이드 모든 버전(7.1.2 이하)에서 작동하는 새로운 공격 기법 발견
'Cloak & Dagger' 라는 이름의 새로운 공격
연구팀 자체에서 확인된 공격 시나리오
고급 클릭 재킹 공격 Advanced clickjacking attack
무제한 키 스트로크 녹음 Unconstrained keystroke recording
은밀한 피싱 공격 Stealthy phishing attack
신 모드 앱의 자동 설치 Silent installation of a God-mode app (with all permissions enabled)
자동 전화 잠금 해제 및 임의 조치 Silent phone unlocking and arbitrary actions (while keeping the screen off)

시연 동영상
https://youtu.be/NceNhsu87iA
https://youtu.be/RYQ1i03OVpI
https://youtu.be/oGKYHavKZ24

http://cyberops.in/beware-versions-android-vulnerable-extr…/

다음 사이버 보안 센터 세미나 소식이 있으면 올려드리겠습니다.

출처- 사이버 보안센터 https://www.facebook.com/CSCKOR/posts/474555376222919

5월 24일 '애저, 오픈 클라우드 2017 서울 로드쇼'를 개최한다.

행사에서는 세계 최대 오픈소스 재단인

아파치 재단과 정보통신산업진흥원(NIPA), 한국레드햇 등 다양한 기관·기업이 참여해 

최신 오픈소스 정보과 비전을 공유한다.

아파치 재단 설립자인 이문수 최고기술책임자(CTO)가 기조연설을 진행.

오픈소스 빅데이터 분석 및 시각화도구인 아파치 제플린이 MS 클라우드 상에서 응용되는 사례를 소개예정이다.

심탁길 티켓몬스터 데이터연구소장은 애저 그래픽처리장치(GPU) 상에서 텐서플로우를 활용한 소셜커머스 비즈니스의 챗봇 개발 과정을 공유하며, 백인기 한국MS 시니어 데이터 솔루션아키텍트(부장)는 개발자들이 애저를 기반으로 오픈소스를 활용해 인공지능(AI)를 개발할 수 있는 데모 세션을 진행한다.

이밖에 MS 연례 개발자 행사인 빌드(Build) 2017에서 발표된 새로운 소식과 애저에서 레드햇 기술을 활용하기 위한 유용한 도구, 애저 클라우드로의 손쉬운 마이그레이션 등에 대한 세션이 준비돼 있다.

최주열 한국MS 오픈소스 전략총괄 이사는 "이번 로드쇼는 한국MS 창사 이래 처음으로 개최되는 오픈소스 클라우드 로드쇼"라며

 "오픈소스 생태계가 디지털 트랜스포메이션의 근간인 클라우드 환경과 더불어 4차 산업혁명을 이끌 수 있도록 지속적으로 지원할 예정"이라고 말했다.

출처-http://news.inews24.com/php/news_view.php?g_serial=1024131&g_menu=020200

 정보보안, 컴퓨터 이슈및 트렌드 키워드 2017-05-17

랜섬웨어 ,

 한일정보보호 교류 협정 ,

구글 클라우드 협업 확대, 보안업계 주가 상승 , 

일반인 보안중요성 확립,

 삼성 타이젠 4.0 TDC 2017에서 소개

한컴 오픈소스 분쟁 

Cyber security trends Word and Keywords 2017-05-17

Raenseom Ware
Korea-Japan Information Security Exchange Agreement
Expand Google Cloud Collaboration, Increase the Growth of Your Surveillance Industry, 
Establish the security of public security,
Introduction to Samsung Engineering & Construction Co., Ltd
Hancom Open Source conflict