정보보호 전문기업 두루안이 함께 합니다.
The Hacker News 발췌분
Microsoft Launches Free Linux Forensics and Rootkit Malware Detection Service (2020-07-07)
l Microsoft는 루트킷, 침입용 멀웨어 등 리눅스 시스템에 대한 파괴의 법의학적 증거를 밝히기 위한 무료사용 이니셔티브를 발표했는데, "Project Freta"로도 불리는 이 클라우드 제품은 스냅샷 기반의 메모리 포렌식 메커니즘으로, 가상 머신(VM) 스냅샷에 대한 전체 시스템 휘발성 메모리 검사를 자동화하고 악성 소프트웨어, 커널 루트킷, 프로세스 숨기기 등 다른 은밀한 악성 프로그램 기법을 찾아내는 기능을 제공하는 것을 목표로 하고 있습니다.
l이 프로젝트의 목적은 메모리에서 멀웨어의 존재를 유추하는 동시에, 목표 시스템에 은밀한 멀웨어를 배치하고 재사용하는 위협 행위자에 대한 싸움에서 우위를 점하는 동시에, 회피가 불가능하도록 만들고, 발견되지 않는 클라우드 멀웨어의 개발 비용을 증가시키는 것입니다. 그러한 목적을 위해, "신뢰할 수 있는 감지 시스템"은 어떤 프로그램으로부터도 그러한 공격에 면역이 되는 시스템을 다음과 같은 4가지 측면을 다루면서 작동합니다.
자체 설치 전 보안 센서 존재 탐지
센서가 보이지 않는 지역에 거주
센서의 작동을 감지하고 그에 따라 검출되지 않도록 자체 삭제 또는 수정
센서 기능을 조작하여 사보타주를 발생시킴
lMSA(Microsoft Account) 또는 AAD(Azure Active Directory) 계정이 있는 모든 사용자에게 열려 있는 "Project Freta"는 사용자가 온라인 포털 또는API를 통해 메모리 이미지(.vmrs, .lime, .core 또는 .raw 파일)를 제출할 수 있도록 하며, 이 이미지에는 다양한 섹션(커널 모듈, 메모리 내 파일, 잠재적 루트킷, 프로세스 등)을 자세히 살펴보는 상세 보고서가 생성됩니다.
l 뉴스보기
Joker Malware Apps Once Again Bypass Google's Security to Spread via Play Store (2020-07-09)
l Check Point 연구팀의 Aviran Hazum은 "Joker" 또는 "Bread"라고 불리는 악성코드의 새로운 변종을 발표했는데, 이 취약점은 Google의 플레이 스토어 보호를 우회하고, 응용 프로그램 내부의 악성 DEX 실행 파일을 Base64 인코딩 문자열로 난독화하여 손상된 장치에 디코딩한 후, SMS 메시지, 연락처 목록, 장치 정보 도용 등 과금 사기 및 스파이웨어 기능을 저지릅니다.
l Check Point가 발견한 새로운 변종은 앱의 매니페스트 파일을 활용해서 목표를 진행하는데, 그것은 Base64로 인코딩 된DEX 파일을 로드하는 데 사용됩니다. 두 번째"in-between" 버전은 .dex 파일을 Base64 문자열로 숨기는 유사한 기술을 채택하지만, 이를 메인 어플리케이션의 내부 클래스로 추가하고 반사 API를 통해 로딩합니다. 또한 이 변종에는 위협 행위자가 자신의 통제 하에 있는 C&C 서버에서 원격으로 "거짓" 상태 코드를 발급하여 악의적인 활동을 중단할 수 있는 새로운 기능이 탑재되어 있습니다.
lGoogle은 2020년 1월까지 지난 3년간 플레이스토어에 제출된 악성코드에 감염된 앱 1700여 개를 삭제했습니다. 감염된 앱을 설치한 사용자의 경우 모바일 및 트랜잭션 기록을 확인하여 인식하지 못하는 의심스러운 결제가 있는지 확인하십시오. 또한 Android 기기에 설치된 모든 앱에 대한 사용 권한을 주의 깊게 살펴보십시오.
l 뉴스보기
KISA보안공지
Juniper OS 취약점 보안 업데이트 권고 (2020-07-10)
VMware VeloCloud 보안 업데이트 권고 (2020-07-09)
iwnetworks 대량메일 솔루션(I-mailer) 보안 업데이트 권고 (2020-07-07)
Samba 취약점 보안 업데이트 권고 (2020-07-07)
F5 BIG-IP 제품군 보안 업데이트 권고 (2020-07-06)
기타 동향
현대 멀웨어들의 종합판? 새 랜섬웨어 콘티 등장 (2020-07-10)
l 현대 멀웨어의 모든 강점 다 갖춘 랜섬웨어, 콘티가 새롭게 등장.
l 자동화 공격 기능도 있지만 수동 공격에 초점을 맞춘 듯한 모습.
l 피해는 극대화 하고 탐지는 최소화. 윈도우 정상 도구를 악용하기도 함.
l 뉴스보기
요즘 사이버 공격자들 사이에서 가장 ‘뜨거운’ 관심거리, 오피스 365 (2020-07-09)
l 많은 기업들이 사용하는 업무용 인프라, MS 오피스 365. 사용자 점점 늘어나고 있음.
l 따라서 공격자들의 관심도도 높아지고 있는 상황. BEC 공격자들부터 APT 단체까지.
l 클라우드 안전하게 사용하려면 선행 학습 필수. 회사 간 명확한 책임 구분도 필수.
l 뉴스보기
안드로이드 사용자 중 적잖은 수가 삭제 불가능한 멀웨어에 감염돼(2020-07-07)
l 적지 않은 수의 안드로이드 모바일 사용자가 장비 구매와 동시에 감염됨.
l 특히 애드웨어와 트로이목마가 삭제 불가능한 곳에 설치된 경우가 많음.
l 저가형 제품에서 이런 공격 많이 보이는 것 보면, 제조사의 수익 높이기 방법인 듯.
l 뉴스보기