Offcanvas

악성코드

“다크웹 익스플로잇 91%, 10달러 미만에 팔려” HP 울프 시큐리티

지난 목요일 HP 울프 시큐리티(HP Wolf Security)가 포렌식 패스웨이(Forensic Pathways)와 공동으로 발표한 보고서에 따르면 합법적인 전자상거래가 이뤄지고 있는 지하 경제가 사이버 범죄를 확대하고 있다.  보고서는 사이버 범죄자들이 시작하기 쉬운 ‘서비스형(SaaS)’ 맬웨어 및 랜섬웨어 공격을 통해 전문적으로 활동하고 있으며, (이로 인해) 초보적인 IT 스킬을 가진 사람들도 원하는 타깃에 사이버 공격을 시작할 수 있다고 밝혔다. 아울러 지하 시장의 경쟁이 악성 도구의 가격을 낮춰 누구나 사용할 수 있게 됐다고 덧붙였다.     다크웹에 광고되고 있는 174개의 익스플로잇을 분석한 결과, HP 울프 연구진은 압도적인 숫자(91%)가 미화 10달러(2022년 7월 25일 기준 한화 약 1만 3,000원) 미만의 가격에 판매되고 있다고 전했다. 1,653개의 맬웨어 광고에서는 4분의 3 이상(76%)이 10달러 미만에 판매되는 것으로 조사됐다. 평균적으로 인포스틸러(Information Stealer)는 5달러, 원격 액세스 트로이(RAT)는 3달러, 익스플로잇은 2.23달러, 크립터는 1달러에 판매됐다.  마피아보이(MafiaBoy)라는 이름으로 활동했던 前 해커이자 HP 울프 시큐리티 자문 위원회(HP Wolf Security Advisory Board)의 회장 마이클 칼체는 “2010년대에 들어서면서 (맬웨어 및 랜섬웨어 등의) 상품화가 크게 추진됐다. 경쟁이 치열해지면서 가격은 더욱더 저렴해지고 있다”라고 말했다.   “지하 경제는 합법적인 시장을 닮았다” 합법적인 시장처럼 작동하면서, 지하 경제는 신뢰와 씨름해야 했다. HP 울프의 수석 맬웨어 애널리스트 알렉스 홀랜드는 “지하 시장 운영자들이 구매자와 판매자 간의 공정한 거래를 장려하기 위해 고안해낸 메커니즘이 많다”라고 언급했다.  보고서에 의하면 이러한 메커니즘에는 벤더 피드백 점수가 포함된다. 이 밖에 사이버...

사이버 범죄 지하 경제 서비스형 랜섬웨어

2022.07.25

지난 목요일 HP 울프 시큐리티(HP Wolf Security)가 포렌식 패스웨이(Forensic Pathways)와 공동으로 발표한 보고서에 따르면 합법적인 전자상거래가 이뤄지고 있는 지하 경제가 사이버 범죄를 확대하고 있다.  보고서는 사이버 범죄자들이 시작하기 쉬운 ‘서비스형(SaaS)’ 맬웨어 및 랜섬웨어 공격을 통해 전문적으로 활동하고 있으며, (이로 인해) 초보적인 IT 스킬을 가진 사람들도 원하는 타깃에 사이버 공격을 시작할 수 있다고 밝혔다. 아울러 지하 시장의 경쟁이 악성 도구의 가격을 낮춰 누구나 사용할 수 있게 됐다고 덧붙였다.     다크웹에 광고되고 있는 174개의 익스플로잇을 분석한 결과, HP 울프 연구진은 압도적인 숫자(91%)가 미화 10달러(2022년 7월 25일 기준 한화 약 1만 3,000원) 미만의 가격에 판매되고 있다고 전했다. 1,653개의 맬웨어 광고에서는 4분의 3 이상(76%)이 10달러 미만에 판매되는 것으로 조사됐다. 평균적으로 인포스틸러(Information Stealer)는 5달러, 원격 액세스 트로이(RAT)는 3달러, 익스플로잇은 2.23달러, 크립터는 1달러에 판매됐다.  마피아보이(MafiaBoy)라는 이름으로 활동했던 前 해커이자 HP 울프 시큐리티 자문 위원회(HP Wolf Security Advisory Board)의 회장 마이클 칼체는 “2010년대에 들어서면서 (맬웨어 및 랜섬웨어 등의) 상품화가 크게 추진됐다. 경쟁이 치열해지면서 가격은 더욱더 저렴해지고 있다”라고 말했다.   “지하 경제는 합법적인 시장을 닮았다” 합법적인 시장처럼 작동하면서, 지하 경제는 신뢰와 씨름해야 했다. HP 울프의 수석 맬웨어 애널리스트 알렉스 홀랜드는 “지하 시장 운영자들이 구매자와 판매자 간의 공정한 거래를 장려하기 위해 고안해낸 메커니즘이 많다”라고 언급했다.  보고서에 의하면 이러한 메커니즘에는 벤더 피드백 점수가 포함된다. 이 밖에 사이버...

2022.07.25

“의료기관 노린다” 美 정부, 마우이(Maui) 랜섬웨어 경고

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 기관들은 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 맬웨어를 사용하여 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 기관 측은 말했다.    연방기관들이 주의보를 발령한 한편, 위협 사냥, 탐지, 대응 회사 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면 “마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 마우이는 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보고 있다.” 마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 회사 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 언급했다. 그는 “시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이다”라고 말했다.  이어 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다”라면서, “이는 중요한 파일만 표적으로 삼고 복구할 수 ...

마우이 북한 랜섬웨어 맬웨어 악성코드 보안 사이버 보안 APT

2022.07.11

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 기관들은 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 맬웨어를 사용하여 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 기관 측은 말했다.    연방기관들이 주의보를 발령한 한편, 위협 사냥, 탐지, 대응 회사 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면 “마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 마우이는 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보고 있다.” 마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 회사 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 언급했다. 그는 “시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이다”라고 말했다.  이어 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다”라면서, “이는 중요한 파일만 표적으로 삼고 복구할 수 ...

2022.07.11

"1년 사이 2배 이상" 제로데이 취약점 발견이 늘어나는 이유

지난 1년 반 동안 다양한 유형의 위협 행위자가 수많은 제로데이(zero-day) 취약점을 악용했다. 제로데이 취약점은 소프트웨어 개발자에게 알려지지 않은 것으로, 주로 국가가 후원하는 단체와 랜섬웨어 공격 단체가 악용하고 있다.   구글 프로젝트 제로(Google Project Zero)는 올 상반기에 20여 가지의 제로데이 취약점을 발견했다. 대부분은 마이크로소프트, 애플, 구글이 개발한 제품에서 발견된 것이고 브라우저와 운영체제의 제로데이가 큰 비중을 차지한다. 6월 7일 아틀라시안의 컨플루언스 서버(Confluence Server)에서 발견된 치명적인 REC(Remote Code Execution) 취약점도 계속 악용되고 있는 상황이다.  2021년 발견된 제로데이 취약점의 수는 훨씬 많았다. 구글 프로젝트 제로는 2021년에만 58가지의 취약점을 발견했다. 맨디언트가 발견한 제로데이 취약점은 80가지였는데, 2020년보다 2배 이상 많았다. 맨디언트 수석 애널리스트 제임스 새도스키는 “발견되는 모든 제로데이는 발생할 수 있는 공격에 대한 이해를 넓히고 같거나 다른 기술에서 유사한 취약점을 찾아내는 데 도움이 된다. 더 많이 볼수록 더 많이 검출할 수 있다”라고 말했다. 제로데이 취약점 공격은 국가 후원을 받는 공격 단체가 주도하고 있지만, 일반적인 사이버 범죄자들도 만만치 않게 악용한다. 맨디언트에 따르면, 2021년 제로데이 취약점을 악용한 위협 행위자 3명 중 1명은 금전적인 동기를 지니고 있었다. 제로데이 취약점 공격 증가와 다양한 유형의 위협 행위자는 규모에 관계없이 기업에는 우려의 대상이다. 다른 관점에서는 보안 업계에 귀중한 학습 기회를 제공한다.  오래된 패턴을 따르는 제로데이 취약점 2021년 발견된 제로데이 취약점의 수는 기록적이지만, 실제로는 더 많을 수 있다. 구글 프로젝트 제로의 보안 연구원 매디 스톤은 “공격자가 자신이 악용한 제로데이 취약점을 일일이 공유하는 것은 ...

제로데이공격 제로데이 취약점

2022.07.05

지난 1년 반 동안 다양한 유형의 위협 행위자가 수많은 제로데이(zero-day) 취약점을 악용했다. 제로데이 취약점은 소프트웨어 개발자에게 알려지지 않은 것으로, 주로 국가가 후원하는 단체와 랜섬웨어 공격 단체가 악용하고 있다.   구글 프로젝트 제로(Google Project Zero)는 올 상반기에 20여 가지의 제로데이 취약점을 발견했다. 대부분은 마이크로소프트, 애플, 구글이 개발한 제품에서 발견된 것이고 브라우저와 운영체제의 제로데이가 큰 비중을 차지한다. 6월 7일 아틀라시안의 컨플루언스 서버(Confluence Server)에서 발견된 치명적인 REC(Remote Code Execution) 취약점도 계속 악용되고 있는 상황이다.  2021년 발견된 제로데이 취약점의 수는 훨씬 많았다. 구글 프로젝트 제로는 2021년에만 58가지의 취약점을 발견했다. 맨디언트가 발견한 제로데이 취약점은 80가지였는데, 2020년보다 2배 이상 많았다. 맨디언트 수석 애널리스트 제임스 새도스키는 “발견되는 모든 제로데이는 발생할 수 있는 공격에 대한 이해를 넓히고 같거나 다른 기술에서 유사한 취약점을 찾아내는 데 도움이 된다. 더 많이 볼수록 더 많이 검출할 수 있다”라고 말했다. 제로데이 취약점 공격은 국가 후원을 받는 공격 단체가 주도하고 있지만, 일반적인 사이버 범죄자들도 만만치 않게 악용한다. 맨디언트에 따르면, 2021년 제로데이 취약점을 악용한 위협 행위자 3명 중 1명은 금전적인 동기를 지니고 있었다. 제로데이 취약점 공격 증가와 다양한 유형의 위협 행위자는 규모에 관계없이 기업에는 우려의 대상이다. 다른 관점에서는 보안 업계에 귀중한 학습 기회를 제공한다.  오래된 패턴을 따르는 제로데이 취약점 2021년 발견된 제로데이 취약점의 수는 기록적이지만, 실제로는 더 많을 수 있다. 구글 프로젝트 제로의 보안 연구원 매디 스톤은 “공격자가 자신이 악용한 제로데이 취약점을 일일이 공유하는 것은 ...

2022.07.05

“러는 교묘했고 우크라는 잘 견뎠다” MS 사이버전(戰) 보고서

지난주 마이크로소프트가 우크라이나 침공과 함께 시작된 러시아의 사이버 공격을 심층 조사한 결과를 발표했다. 이는 러시아의 악의적인 사이버 활동과 관련된 신선한 인사이트 그리고 전쟁을 둘러싼 교묘하고 광범위한 사이버 심리전의 새로운 세부사항을 담고 있다.  마이크로소프트의 사장 브래드 스미스는 지난 3월 이 회사가 인도주의적 기술 구호 활동에 자금을 지원하는 것 외에도, 우크라이나 정부 시스템의 사이버 보안 취약점을 식별하기 위해 ‘리스크IQ(RiskIQ)’ 플랫폼을 구축했다고 밝혔다. 이어 “공격자에게 발판을 제공할 수 있는, 즉 패치되지 않았으며 치명적인 CVE(Common Vulnerability and Exposure)가 있는 취약한 시스템 목록을 우크라이나 정부에 제공했다”라고 덧붙였다.  또한 이보다 앞선 1월 마이크로소프트의 보안 전문가는 약 70개의 우크라이나 정부 웹사이트를 다운시켰던 사전 침입 맬웨어 공격을 가장 먼저 발견했다. 이에 따라 새로 발견된 맬웨어 보호 기능을 마이크로소프트 365 디펜더 엔드포인트 보호(Microsoft 365 Defender Endpoint Detection)에, 안티바이러스 보호 기능을 온프레미스 및 클라우드에 배포했다.    스미스는 이번 보고서의 서문에서 어떤 전쟁이든 첫 방아쇠가 중요하다고 언급하며, 현 우크라이나 침공과 제1차 세계대전을 촉발시킨 1914년 오스트리아-헝가리의 황태자 프란츠 페르디난트 암살사건 사이에 유사점이 있다고 말했다. 러시아의 첫 공격은 전쟁이 시작되기 직전인 2월 23일, 우크라이나의 정부 및 금융기관을 타깃으로 한 폭스블레이드(Foxblade)라는 데이터 삭제 기능을 가진 맬웨어였다.  그는 “러시아의 우크라이나 침공 전략은 3가지로 구분된다. 1) 우크라이나 내부를 노린 사이버 공격, 2) 우크라이나 외부에서의 네트워크 침투 및 간첩 활동, 3) 전 세계 사람을 대상으로 하는 사이버 심리전이다”라고 전했다. 러시아 공격의 ...

사이버 보안 사이버 전쟁 사이버 공격 우크라이나 러시아 악성코드 맬웨어 취약점 사이버 심리전

2022.06.30

지난주 마이크로소프트가 우크라이나 침공과 함께 시작된 러시아의 사이버 공격을 심층 조사한 결과를 발표했다. 이는 러시아의 악의적인 사이버 활동과 관련된 신선한 인사이트 그리고 전쟁을 둘러싼 교묘하고 광범위한 사이버 심리전의 새로운 세부사항을 담고 있다.  마이크로소프트의 사장 브래드 스미스는 지난 3월 이 회사가 인도주의적 기술 구호 활동에 자금을 지원하는 것 외에도, 우크라이나 정부 시스템의 사이버 보안 취약점을 식별하기 위해 ‘리스크IQ(RiskIQ)’ 플랫폼을 구축했다고 밝혔다. 이어 “공격자에게 발판을 제공할 수 있는, 즉 패치되지 않았으며 치명적인 CVE(Common Vulnerability and Exposure)가 있는 취약한 시스템 목록을 우크라이나 정부에 제공했다”라고 덧붙였다.  또한 이보다 앞선 1월 마이크로소프트의 보안 전문가는 약 70개의 우크라이나 정부 웹사이트를 다운시켰던 사전 침입 맬웨어 공격을 가장 먼저 발견했다. 이에 따라 새로 발견된 맬웨어 보호 기능을 마이크로소프트 365 디펜더 엔드포인트 보호(Microsoft 365 Defender Endpoint Detection)에, 안티바이러스 보호 기능을 온프레미스 및 클라우드에 배포했다.    스미스는 이번 보고서의 서문에서 어떤 전쟁이든 첫 방아쇠가 중요하다고 언급하며, 현 우크라이나 침공과 제1차 세계대전을 촉발시킨 1914년 오스트리아-헝가리의 황태자 프란츠 페르디난트 암살사건 사이에 유사점이 있다고 말했다. 러시아의 첫 공격은 전쟁이 시작되기 직전인 2월 23일, 우크라이나의 정부 및 금융기관을 타깃으로 한 폭스블레이드(Foxblade)라는 데이터 삭제 기능을 가진 맬웨어였다.  그는 “러시아의 우크라이나 침공 전략은 3가지로 구분된다. 1) 우크라이나 내부를 노린 사이버 공격, 2) 우크라이나 외부에서의 네트워크 침투 및 간첩 활동, 3) 전 세계 사람을 대상으로 하는 사이버 심리전이다”라고 전했다. 러시아 공격의 ...

2022.06.30

“위협 행위자, ‘휴먼팩터’ 악용해 더 창의적으로 변하고 있다”

‘원격근무, 공급망, 상용 클라우드’는 위협 행위자에게 사람들을 속여 민감한 정보를 노출하게 만들거나 보안을 무력화시키는 소셜 엔지니어링 기회를 제공하고 있다.  프루프포인트(Proofpoint)의 연례 휴먼팩터 2022 보고서(The Human Factor 2022)에 따르면 위협 행위자는 지난해 모든 기업의 아킬레스건인 인적 자본(human capital)을 공격할 때 “끊임없는 창의력(ceaseless creativity)”을 보여줬다.    지난 6월 2일(현지 시각) 발표된 이 보고서는 악의적 행위자의 최신 공격 트렌드를 파악하기 위해 프루프포인트의 (보안 솔루션) 배포에서 생성된 수조 개의 데이터포인트 그래프를 사용했다(회사에 따르면 프루프포인트는 매일 26억 개 이상의 이메일 메시지, 490억 개의 URL, 19억 개의 첨부파일, 2,820만 개의 클라우드 계정, 17억 개의 모바일 메시지 등을 분석한다).  이 회사의 사이버 보안 전략 부문 수석 부사장 라이언 칼렘버는 “2021년 공격자들은 자신들이 얼마나 악랄한지 여지없이 보여줬다. 위협으로부터 사람들을 보호하는 일은 기업에 있어 지속적인 도전 과제였다”라고 말했다.  보고서는 원격근무 그리고 스마트폰으로 인한 일과 개인 생활의 모호해진 경계가 공격 기법에 영향을 미쳤다고 밝혔다. 지난 1년 동안 미국에서는 SMS 피싱 또는 스미싱 시도가 2배 이상 증가했으며, 영국에서는 피싱 미끼의 50%가 배달 알림에 집중됐다. 많은 사람이 재택근무를 할 것이라는 예상은 하루에 10만 건 이상의 전화 공격이 이뤄지는 등 구식 음성 사기를 유발하기도 했다.  내부자 위협에 따른 위험이 증가하다 보고서에 의하면 내부자 위협으로 인한 위험이 계속 증가하고 있는 것으로 조사됐다. 프루프포인트의 위협 조사 및 탐지 부문 부사장 셰로드 드그리포는 “장기간의 하이브리드 근무와 대퇴직으로 인한 퇴사자 및 입사자의 유입은 내부자 위협 위험을 악화시켰다. 적절...

프루프포인트 위협 행위자 휴먼팩터 인적요소 소셜 엔지니어링 피싱 스미싱 내부자 위협 공급망 공격

2022.06.14

‘원격근무, 공급망, 상용 클라우드’는 위협 행위자에게 사람들을 속여 민감한 정보를 노출하게 만들거나 보안을 무력화시키는 소셜 엔지니어링 기회를 제공하고 있다.  프루프포인트(Proofpoint)의 연례 휴먼팩터 2022 보고서(The Human Factor 2022)에 따르면 위협 행위자는 지난해 모든 기업의 아킬레스건인 인적 자본(human capital)을 공격할 때 “끊임없는 창의력(ceaseless creativity)”을 보여줬다.    지난 6월 2일(현지 시각) 발표된 이 보고서는 악의적 행위자의 최신 공격 트렌드를 파악하기 위해 프루프포인트의 (보안 솔루션) 배포에서 생성된 수조 개의 데이터포인트 그래프를 사용했다(회사에 따르면 프루프포인트는 매일 26억 개 이상의 이메일 메시지, 490억 개의 URL, 19억 개의 첨부파일, 2,820만 개의 클라우드 계정, 17억 개의 모바일 메시지 등을 분석한다).  이 회사의 사이버 보안 전략 부문 수석 부사장 라이언 칼렘버는 “2021년 공격자들은 자신들이 얼마나 악랄한지 여지없이 보여줬다. 위협으로부터 사람들을 보호하는 일은 기업에 있어 지속적인 도전 과제였다”라고 말했다.  보고서는 원격근무 그리고 스마트폰으로 인한 일과 개인 생활의 모호해진 경계가 공격 기법에 영향을 미쳤다고 밝혔다. 지난 1년 동안 미국에서는 SMS 피싱 또는 스미싱 시도가 2배 이상 증가했으며, 영국에서는 피싱 미끼의 50%가 배달 알림에 집중됐다. 많은 사람이 재택근무를 할 것이라는 예상은 하루에 10만 건 이상의 전화 공격이 이뤄지는 등 구식 음성 사기를 유발하기도 했다.  내부자 위협에 따른 위험이 증가하다 보고서에 의하면 내부자 위협으로 인한 위험이 계속 증가하고 있는 것으로 조사됐다. 프루프포인트의 위협 조사 및 탐지 부문 부사장 셰로드 드그리포는 “장기간의 하이브리드 근무와 대퇴직으로 인한 퇴사자 및 입사자의 유입은 내부자 위협 위험을 악화시켰다. 적절...

2022.06.14

“문제 있는 코드를 자동으로 감지하고 수정”··· 멘드, 새 앱 보안 플랫폼 발표

오픈소스 애플리케이션 보인 기업 멘드(Mend)가 코드의 보안 이슈를 자동으로 감지하고 수정하는 플랫폼을 발표했다. 과거 화이트소스(WhiteSource)라고 불렸던 기업이다.  회사에 따르면 이번 플랫폼은 소프트웨어 공격 표면을 줄여 개발자의 보안 코드 작성 부담을 줄여줄 수 있도록 설계됐다.  멘드는 또 악성 오픈소스 소프트웨어를 탐재하고 차단하는 솔루션인 멘드 서플라이 체인 디펜더(Supply Chain Defender)를 ‘JFrog Artifactory’ 플러그인에 통합했다고 발표했다. 이 플러그인은 멘드 애플리케이션 보안 플랫폼에 속한다.    자동 수정 멘드는 성명서에서 회사의 보안 플랫폼이 오픈소스 및 사용자 지정 코드에서 애플리케이션 보안 허점을 자동으로 찾아 수정한다고 강조했다. SAST(static application security testing)를 위한 자동화된 수정 기능과 SCA(software composition analysis)의 기존 기능을 결합해서라는 설명이다. 멘드의 공동 설립자이자 CEO인 라미 사스는 “공격자들이 조직을 공격하는 취약 요소로 애플리케이션에 점점 더 주목하고 있다. 그러나 소프트웨어를 더 빨리 개발해야 한다는 압력은 그 어느 때보다 높아졌다”라고 말했다. 그는 이어 “소프트웨어 공격 표현을 자동으로 줄이는 동시에 애플리케이션 보안 부담을 제거하는 솔루션을 공급함으로써 개발 팀이 고품질의 안전한 코드를 더 빨리 제공할 수 있도록 하고자 한다. 보안과 일정 사이에서 줄타기 할 필요성이 해소될 수 있다”라고 말했다.  멘드에 따르면 자동화된 수정은 코드 개별 라인별로 수정안을 제시할 수 있다. 개발자의 리포지토리에 표현됨으로써 통합도 쉬워진다는 설명이다. 회사 측은 종전 애플리케이션 보안 제품들의 경우 교육 자료나 예제에서만 각 보안 이슈에 대한 수정 사항이 제공되곤 했다고 덧붙였다.  빠른 감지와 수정이 중요 옴디아 수석 애널리스트인 릭 터...

멘드 코드 자동 수정 애자일

2022.05.26

오픈소스 애플리케이션 보인 기업 멘드(Mend)가 코드의 보안 이슈를 자동으로 감지하고 수정하는 플랫폼을 발표했다. 과거 화이트소스(WhiteSource)라고 불렸던 기업이다.  회사에 따르면 이번 플랫폼은 소프트웨어 공격 표면을 줄여 개발자의 보안 코드 작성 부담을 줄여줄 수 있도록 설계됐다.  멘드는 또 악성 오픈소스 소프트웨어를 탐재하고 차단하는 솔루션인 멘드 서플라이 체인 디펜더(Supply Chain Defender)를 ‘JFrog Artifactory’ 플러그인에 통합했다고 발표했다. 이 플러그인은 멘드 애플리케이션 보안 플랫폼에 속한다.    자동 수정 멘드는 성명서에서 회사의 보안 플랫폼이 오픈소스 및 사용자 지정 코드에서 애플리케이션 보안 허점을 자동으로 찾아 수정한다고 강조했다. SAST(static application security testing)를 위한 자동화된 수정 기능과 SCA(software composition analysis)의 기존 기능을 결합해서라는 설명이다. 멘드의 공동 설립자이자 CEO인 라미 사스는 “공격자들이 조직을 공격하는 취약 요소로 애플리케이션에 점점 더 주목하고 있다. 그러나 소프트웨어를 더 빨리 개발해야 한다는 압력은 그 어느 때보다 높아졌다”라고 말했다. 그는 이어 “소프트웨어 공격 표현을 자동으로 줄이는 동시에 애플리케이션 보안 부담을 제거하는 솔루션을 공급함으로써 개발 팀이 고품질의 안전한 코드를 더 빨리 제공할 수 있도록 하고자 한다. 보안과 일정 사이에서 줄타기 할 필요성이 해소될 수 있다”라고 말했다.  멘드에 따르면 자동화된 수정은 코드 개별 라인별로 수정안을 제시할 수 있다. 개발자의 리포지토리에 표현됨으로써 통합도 쉬워진다는 설명이다. 회사 측은 종전 애플리케이션 보안 제품들의 경우 교육 자료나 예제에서만 각 보안 이슈에 대한 수정 사항이 제공되곤 했다고 덧붙였다.  빠른 감지와 수정이 중요 옴디아 수석 애널리스트인 릭 터...

2022.05.26

"훔칠 게 없어 괜찮다"··· 'MFA' 안 쓰는 핑계도 가지가지, 대응책은?

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

다중인증 이중인증 MFA 2FA 소셜 엔지니어링 비밀번호 무차별 대입 공격 피싱 크리덴셜 스터핑 개인정보 프라이버시 랜섬웨어

2022.05.04

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

2022.05.04

“타 계정의 클라우드 DB에 접근 가능” · · · 위즈 연구진, 애저 포스트그레SQL DBaaS 취약점 발견

위즈 연구진이 발견한 두 가지 취약점은 서버 상에서 패치되었지만, 아직 방심하기는 이르다.    클라우드 보안 업체 위즈(Wiz)의 연구진이 마이크로소프트의 애저 포스트그레SQL(Azure PostgreSQL)에서 두 가지 취약점을 발견했다. 이 취약점이 연쇄적으로 공격당할 때 클라우드에 호스팅된 다른 데이터베이스에 접근이 가능해진다는 경고다. 데이터베이스 복제와 관련된 기능을 악용해 엑스트라 레플리카(ExtraReplica)라고 불리는 이 잠재적 공격 방식은 두 가지 취약점을 겨냥한다. 바로 사용자의 데이터베이스를 호스팅하는 컨테이너 내에서 악성 코드를 실행할 수 있는 권한을 부여하는 권한 상승 취약점과 시스템 복제 서비스를 악용하여 다른 데이터베이스에 접근할 수 있는 권한을 탈취하는 인증 우회 취약점이다.   이 취약점은 이미 서버상에서 패치되었으며 사용자가 특별히 취해야 할 조치 사항은 없다. 하지만 이번 취약점을 발견한 위즈 연구진은 마이크로소프트에게 아이솔레이션 모델(isolation model)에 관련된 문서와 서비스 아키텍처에 관한 더 자세한 내용을 기업 고객에게 제공해야 한다고 권고했다.  클라우드 서비스에 온보딩하기 전에 위험 요인을 더 잘 검토해볼 수 있어야 한다는 이유에서다. 데이터베이스로부터 기반 시스템에 침투  ’애저 데이터베이스 포 포스트그레SQL’는 30년이 넘은 관계형 오픈소스 데이터베이스 엔진 포스트그레를 기반으로 구동되는 관리형 데이터베이스 서비스(Database-as-a-Service, DBaaS)다.  포스트그레SQL은 안정성, 고가용성 그리고 확장성을 강점으로 하는, 복잡하게 짜인 소프트웨어다. 마이크로소프트는 싱글 서버(Single Server), 플렉서블 서버(Flexible Server) 그리고 하이퍼스케일(Hyperscale, Citus) 이렇게 3가지의 포스트그레SQL 배포 방식을 제공한다.  플렉서블 서버를 사용하면 단일 애저 가용 영역 또는...

Postgre PostgreSQL 포스트그레SQL 포스트그레SQL 데이터베이스 아이솔레이션

2022.05.03

위즈 연구진이 발견한 두 가지 취약점은 서버 상에서 패치되었지만, 아직 방심하기는 이르다.    클라우드 보안 업체 위즈(Wiz)의 연구진이 마이크로소프트의 애저 포스트그레SQL(Azure PostgreSQL)에서 두 가지 취약점을 발견했다. 이 취약점이 연쇄적으로 공격당할 때 클라우드에 호스팅된 다른 데이터베이스에 접근이 가능해진다는 경고다. 데이터베이스 복제와 관련된 기능을 악용해 엑스트라 레플리카(ExtraReplica)라고 불리는 이 잠재적 공격 방식은 두 가지 취약점을 겨냥한다. 바로 사용자의 데이터베이스를 호스팅하는 컨테이너 내에서 악성 코드를 실행할 수 있는 권한을 부여하는 권한 상승 취약점과 시스템 복제 서비스를 악용하여 다른 데이터베이스에 접근할 수 있는 권한을 탈취하는 인증 우회 취약점이다.   이 취약점은 이미 서버상에서 패치되었으며 사용자가 특별히 취해야 할 조치 사항은 없다. 하지만 이번 취약점을 발견한 위즈 연구진은 마이크로소프트에게 아이솔레이션 모델(isolation model)에 관련된 문서와 서비스 아키텍처에 관한 더 자세한 내용을 기업 고객에게 제공해야 한다고 권고했다.  클라우드 서비스에 온보딩하기 전에 위험 요인을 더 잘 검토해볼 수 있어야 한다는 이유에서다. 데이터베이스로부터 기반 시스템에 침투  ’애저 데이터베이스 포 포스트그레SQL’는 30년이 넘은 관계형 오픈소스 데이터베이스 엔진 포스트그레를 기반으로 구동되는 관리형 데이터베이스 서비스(Database-as-a-Service, DBaaS)다.  포스트그레SQL은 안정성, 고가용성 그리고 확장성을 강점으로 하는, 복잡하게 짜인 소프트웨어다. 마이크로소프트는 싱글 서버(Single Server), 플렉서블 서버(Flexible Server) 그리고 하이퍼스케일(Hyperscale, Citus) 이렇게 3가지의 포스트그레SQL 배포 방식을 제공한다.  플렉서블 서버를 사용하면 단일 애저 가용 영역 또는...

2022.05.03

‘바자로더’ 가고 ‘범블비’ 왔다… 새로운 악성코드 로더 주의보

일부 랜섬웨어 공격 집단의 초기 접근 조력자로 여겨지는 여러 위협 집단이 종전에 사용하던 1단계 악성코드 다운로더인 바자로더(BazaLoader), 아이스드아이디(IcedID) 대신 새로운 로더 ‘범블비(Bumblebee)’를 사용하고 있는 것으로 나타났다.   보안 업체 프루프포인트(Proofpoint) 연구팀에 따르면, 최소한 3곳의 랜섬웨어 공격 집단과 연관된 범블비 이메일 기반 배포 작전이 지난 3월 개시됐다. 코발트 스트라이크(Cobalt Striker), 실버(Silver), 미터프리터(Meterpreter)와 같은 침투 테스트 구성요소를 배포하는 데 사용됐다. 최근 몇 년간 공격자들은 수동 해킹이나 피해 네트워크를 통한 횡적 이동에 비슷한 종류의 공격 프레임워크와 이중 용도의 오픈소스 툴을 사용해왔다. 프루프포인트 연구팀은 보고서에서 “범블비는 정교한 다운로더다. 개발 극초기 단계임에도 불구하고 일반 다운로드 기능이 특별히 구현되어 있고 안티 가상화 검사 기능이 들어 있다. 위협 환경에서 범블비가 증가한 시기는 후속 해킹을 가능하게 하는 인기 페이로드 바자로더가 최근 프루프포인트 위협 데이터에서 사라진 시기와 일치한다”라고 말했다. 범블비 배포 방식 지금까지 범블비는 스피어 피싱 이메일을 통해 배포됐다. 온갖 미끼를 동원한 메시지를 사용해 피해자가 IOS 파일을 다운로드 후 실행하게 하면, 해당 파일에 심어진 범블비가 열리는 방식이다. IOS 파일은 광학 디스크의 파일 시스템 복사본을 디스크 이미지로 저장하기 위해 사용되지만 사실상 아카이브 형식이다.  지난 3월 TA579라는 위협 행위자의 소행으로 밝혀진 한 작전에서는 기업이 이용하는 온라인 문서 서명 서비스 도큐사인(DocuSign)의 알림으로 가장한 악의적인 이메일이 발송됐다. 메일에 포함된 ‘문서 검토(REVIEW THE DOCUMENT)’ 하이퍼링크를 클릭하면 마이크로소프트 원드라이브에서 압축 파일을 다운로드하게 된다. 이 압축 파일에는 ISO 파일이 들어 있었...

바자로더 아이스드아이디 범블비 악성코드 악성코드 로더

2022.05.03

일부 랜섬웨어 공격 집단의 초기 접근 조력자로 여겨지는 여러 위협 집단이 종전에 사용하던 1단계 악성코드 다운로더인 바자로더(BazaLoader), 아이스드아이디(IcedID) 대신 새로운 로더 ‘범블비(Bumblebee)’를 사용하고 있는 것으로 나타났다.   보안 업체 프루프포인트(Proofpoint) 연구팀에 따르면, 최소한 3곳의 랜섬웨어 공격 집단과 연관된 범블비 이메일 기반 배포 작전이 지난 3월 개시됐다. 코발트 스트라이크(Cobalt Striker), 실버(Silver), 미터프리터(Meterpreter)와 같은 침투 테스트 구성요소를 배포하는 데 사용됐다. 최근 몇 년간 공격자들은 수동 해킹이나 피해 네트워크를 통한 횡적 이동에 비슷한 종류의 공격 프레임워크와 이중 용도의 오픈소스 툴을 사용해왔다. 프루프포인트 연구팀은 보고서에서 “범블비는 정교한 다운로더다. 개발 극초기 단계임에도 불구하고 일반 다운로드 기능이 특별히 구현되어 있고 안티 가상화 검사 기능이 들어 있다. 위협 환경에서 범블비가 증가한 시기는 후속 해킹을 가능하게 하는 인기 페이로드 바자로더가 최근 프루프포인트 위협 데이터에서 사라진 시기와 일치한다”라고 말했다. 범블비 배포 방식 지금까지 범블비는 스피어 피싱 이메일을 통해 배포됐다. 온갖 미끼를 동원한 메시지를 사용해 피해자가 IOS 파일을 다운로드 후 실행하게 하면, 해당 파일에 심어진 범블비가 열리는 방식이다. IOS 파일은 광학 디스크의 파일 시스템 복사본을 디스크 이미지로 저장하기 위해 사용되지만 사실상 아카이브 형식이다.  지난 3월 TA579라는 위협 행위자의 소행으로 밝혀진 한 작전에서는 기업이 이용하는 온라인 문서 서명 서비스 도큐사인(DocuSign)의 알림으로 가장한 악의적인 이메일이 발송됐다. 메일에 포함된 ‘문서 검토(REVIEW THE DOCUMENT)’ 하이퍼링크를 클릭하면 마이크로소프트 원드라이브에서 압축 파일을 다운로드하게 된다. 이 압축 파일에는 ISO 파일이 들어 있었...

2022.05.03

'송금 잡범에서 경제 사범으로...' 금융기관 해킹은 진화 중

금융기관이 여전히 랜섬웨어 공격에 시달리고 있는 가운데, 단순히 계좌 거래를 탈취하는 데 그쳤던 금융기관 해킹이 기밀 산업 정보까지 노리는 차원으로 발전하고 있다. 기업이 계속 진화하는 사이버 공격에 어떻게 대비해야 할지 알아본다.    랜섬웨어가 기승을 부리면서 금융기관이 골머리를 앓고 있다. 이와 더불어 해커 카르텔의 수법이 다른 차원으로 발전하면서 예년에 비해 금융기관이 점점 더 큰 위협에 직면하고 있다고 VM웨어가 모던 뱅크 헤이스트(Modern Bank Heists) 보고서에서 밝혔다. 사이버범죄 카르텔의 공격 수법이 최근 계좌 거래 탈취를 넘어 특정 시장 공략, 중개 계좌 탈취, ‘아일랜드 호핑(island-hoping)’등으로 진화한 것이다. VM웨어는 북미, 유럽, 아시아 태평양, 중남미, 아프리카 등의 지역에 있는 130명의 금융 부문 CIO 및 보안 책임자를 대상으로 설문조사를 실시했다. 보고서의 결과는 다른 보안 전문가의 의견과 일맥상통했다. 제러미 셰리던 전 미국 비밀경호국 부국장은 "금융 수사 과정에서 복잡한 사이버 사기가 진화하고 증가하고 있는 것을 경험했다"라며 "인터넷에 연결된 모든 시스템의 보안 체계는 미흡하다. 해커가 공격할 취약점을 남기기 마련이다"라고 경고했다.  만연한 콘티(Conti) 랜섬웨어  설문에 응한 보안 책임자의 74%가 지난해 한 번 이상의 공격을 경험했다고 전했다. 63%는 결국 랜섬을 지불하기까지 했다. 랜섬웨어 중 콘티(Conti) 랜섬웨어가 가장 흔한 것으로 나타났다.  응답자의 63%는 사이버 범죄자가 은행의 데이터와 침입 정보를 삭제하는 '파괴적 공격'이 증가했다고 답했다. 이는 지난해보다 17% 증가한 수치다.  이런 식의 사이버 공격은 모두 피해자의 시스템을 파괴, 중단 또는 저하하는 악성코드를 이용한다. 대표적으로 암호화, 데이터 삭제, 하드 드라이브 파괴, 연결 종료 또는 악성 코드 실행과 같은 작업을 통해 이루어진다. ...

랜섬웨어 포트폴리오 주식 거래 데이터 사이버 공격 사이버보안 금융기관 내부자 거래

2022.04.21

금융기관이 여전히 랜섬웨어 공격에 시달리고 있는 가운데, 단순히 계좌 거래를 탈취하는 데 그쳤던 금융기관 해킹이 기밀 산업 정보까지 노리는 차원으로 발전하고 있다. 기업이 계속 진화하는 사이버 공격에 어떻게 대비해야 할지 알아본다.    랜섬웨어가 기승을 부리면서 금융기관이 골머리를 앓고 있다. 이와 더불어 해커 카르텔의 수법이 다른 차원으로 발전하면서 예년에 비해 금융기관이 점점 더 큰 위협에 직면하고 있다고 VM웨어가 모던 뱅크 헤이스트(Modern Bank Heists) 보고서에서 밝혔다. 사이버범죄 카르텔의 공격 수법이 최근 계좌 거래 탈취를 넘어 특정 시장 공략, 중개 계좌 탈취, ‘아일랜드 호핑(island-hoping)’등으로 진화한 것이다. VM웨어는 북미, 유럽, 아시아 태평양, 중남미, 아프리카 등의 지역에 있는 130명의 금융 부문 CIO 및 보안 책임자를 대상으로 설문조사를 실시했다. 보고서의 결과는 다른 보안 전문가의 의견과 일맥상통했다. 제러미 셰리던 전 미국 비밀경호국 부국장은 "금융 수사 과정에서 복잡한 사이버 사기가 진화하고 증가하고 있는 것을 경험했다"라며 "인터넷에 연결된 모든 시스템의 보안 체계는 미흡하다. 해커가 공격할 취약점을 남기기 마련이다"라고 경고했다.  만연한 콘티(Conti) 랜섬웨어  설문에 응한 보안 책임자의 74%가 지난해 한 번 이상의 공격을 경험했다고 전했다. 63%는 결국 랜섬을 지불하기까지 했다. 랜섬웨어 중 콘티(Conti) 랜섬웨어가 가장 흔한 것으로 나타났다.  응답자의 63%는 사이버 범죄자가 은행의 데이터와 침입 정보를 삭제하는 '파괴적 공격'이 증가했다고 답했다. 이는 지난해보다 17% 증가한 수치다.  이런 식의 사이버 공격은 모두 피해자의 시스템을 파괴, 중단 또는 저하하는 악성코드를 이용한다. 대표적으로 암호화, 데이터 삭제, 하드 드라이브 파괴, 연결 종료 또는 악성 코드 실행과 같은 작업을 통해 이루어진다. ...

2022.04.21

윈도우 RPC 패치, 곧바로 적용해야 할 이유

마이크로소프트의 월간 패치 주기에 따라 지난주에도 100개 이상의 취약성이 패치됐다. 이중 보안 전문가들이 유독 우려하는 취약성이 하나 있는데, 바로 윈도우 RPC(Remote Procedure Call) 런타임에 위치한 RCE(Remote Code Execution) 취약성이다. CVE-2022-26809로 추적되는 이 결함은 사용자 개입 없이 네트워크로 악용할 수 있으며, 여러 개의 프로토콜을 트리거로 사용한다. 윈도우에서 네트워크로 통신할 때 RPC를 사용했던 과거 주요 봇넷(Botnet)이 떠오르는 취약성이다.   SANS ISC(Internet Storm Center)의 설립자 요하네스 울리히는 권고에서 “이 취약성을 방지하는 방법은 패치밖에 없기 때문에 미루지 말기를 바란다. 바로 패치 후 4월 업데이트 전체를 적용하자. 네트워크 안에서 유사한 영향이 주는(NFS[Network File System] 결함 등) 다른 여러 치명적인 결함도 해결한다. 윈도우에서는 RPC를 끌 수 없기 때문에 문제가 발생할 것이고, RPC는 SMB[Server Message Block]보다 기능이 많다”라고 조언했다.   CVE-2022-26809 처리가 까다로운 이유 CVE-2022-26809 결함은 마이크로소프트가 이번 달에 패치한 3개 중 하나다. 나머지 2개인 CVE-2022-24492와 CVE-2022-24528의 공격 벡터는 클라이언트 측이며, 공격자는 사용자를 속여 RPC 호스트를 호출하고 RPC 서비스와 같은 권한으로 코드를 실행하는 특수 제작 스크립트를 실행한다. 반면, CVE-2022-26809 익스플로잇은 완전히 서버 측이라서 사용자 개입이 필요하지 않다. 공격자는 연결을 준비하는 RPC 서비스가 있는 시스템을 찾아 익스플로잇 공격을 전송하기만 하면 된다. 결함이 발표된 이후로 보안 전문가 커뮤니티에는 취약성에 도달하기 위해 어떤 프로토콜을 사용할지를 두고 논란이 일었다. 그 이유를 알기 위해서는 RPC의 원리를 이해하는 것...

윈도우취약점

2022.04.20

마이크로소프트의 월간 패치 주기에 따라 지난주에도 100개 이상의 취약성이 패치됐다. 이중 보안 전문가들이 유독 우려하는 취약성이 하나 있는데, 바로 윈도우 RPC(Remote Procedure Call) 런타임에 위치한 RCE(Remote Code Execution) 취약성이다. CVE-2022-26809로 추적되는 이 결함은 사용자 개입 없이 네트워크로 악용할 수 있으며, 여러 개의 프로토콜을 트리거로 사용한다. 윈도우에서 네트워크로 통신할 때 RPC를 사용했던 과거 주요 봇넷(Botnet)이 떠오르는 취약성이다.   SANS ISC(Internet Storm Center)의 설립자 요하네스 울리히는 권고에서 “이 취약성을 방지하는 방법은 패치밖에 없기 때문에 미루지 말기를 바란다. 바로 패치 후 4월 업데이트 전체를 적용하자. 네트워크 안에서 유사한 영향이 주는(NFS[Network File System] 결함 등) 다른 여러 치명적인 결함도 해결한다. 윈도우에서는 RPC를 끌 수 없기 때문에 문제가 발생할 것이고, RPC는 SMB[Server Message Block]보다 기능이 많다”라고 조언했다.   CVE-2022-26809 처리가 까다로운 이유 CVE-2022-26809 결함은 마이크로소프트가 이번 달에 패치한 3개 중 하나다. 나머지 2개인 CVE-2022-24492와 CVE-2022-24528의 공격 벡터는 클라이언트 측이며, 공격자는 사용자를 속여 RPC 호스트를 호출하고 RPC 서비스와 같은 권한으로 코드를 실행하는 특수 제작 스크립트를 실행한다. 반면, CVE-2022-26809 익스플로잇은 완전히 서버 측이라서 사용자 개입이 필요하지 않다. 공격자는 연결을 준비하는 RPC 서비스가 있는 시스템을 찾아 익스플로잇 공격을 전송하기만 하면 된다. 결함이 발표된 이후로 보안 전문가 커뮤니티에는 취약성에 도달하기 위해 어떤 프로토콜을 사용할지를 두고 논란이 일었다. 그 이유를 알기 위해서는 RPC의 원리를 이해하는 것...

2022.04.20

“‘AWS 람다’ 표적으로 노린 맬웨어가 발견됐다”

새 암호화폐 채굴 맬웨어는 쉽게 배포할 수 있도록 고(Go)로 작성됐으며, AWS의 자체 오픈소스 고 라이브러리를 사용한다.  맬웨어 개발자는 트렌드를 따라간다. 특히, 공격자는 타깃 조직에서 사용하는 것과 동일한 기술을 채택한다. 최근 카도 시큐리티(Cado Security)의 연구진이 사용자 제공 애플리케이션 코드를 온디맨드로 실행하도록 설계된, 이른바 서버리스 컴퓨팅 플랫폼 ‘AWS 람다(AWS Lambda)’ 내부에서 실행되는 암호화폐 채굴기를 발견했다고 밝혔다.  연구진은 “이 첫 번째 샘플은 암호화폐 채굴 소프트웨어만 실행한다는 점에서 무해하긴 하지만 공격자가 클라우드 관련 전문 지식을 활용하여 복잡한 클라우드 인프라를 악용하는 방법을 보여주며, 이는 잠재적으로 굉장히 위험한 공격이 될 수 있다”라고 말했다.    ‘데노니아(Denonia)’  고랭으로 작성된 이 맬웨어는 (공격자가 도메인에 부여한 이름을 따서) ‘데노니아(Denonia)’라고 명명됐으며, 리눅스용 64-bit ELF 실행 파일로 발견됐다. 카도 시큐리티 연구진은 이 맬웨어가 어떻게 배포되는지 정확하게 파악하진 못했지만 손상된 AWS 액세스 자격증명 및 시크릿 키(Secret Keys)가 관련됐을 가능성이 있다고 봤다.  한편 구글의 고 언어로 작성된 맬웨어가 새로운 것은 아니다. 맬웨어를 크로스 플랫폼 및 독립형으로 만드는 간편한 방법을 제공한다는 점에서 이는 최근 몇 년 동안 점점 더 보편화되고 있는 추세다. 물론 단점도 있다. 바이너리 파일이 크다는 것이다. 운영체제에 이미 존재하는 라이브러리에 동적으로 연결되는 대신, 프로그램이 필요로 하는 모든 라이브러리를 포함해야 하기 때문이다.  여러 프로그래밍 언어로 된 코드를 지원하도록 설계된 서버리스 컴퓨팅 플랫폼은 코드를 쉽게 배포할 수 있도록 지원한다. AWS 람다는 기본적으로 자바, 고, 파워셸, 노드닷제이에스, C#, 파이썬, 루비를 지원한다. 사용자가...

AWS 람다 서버리스 컴퓨팅 데노니아 맬웨어 암호화폐 채굴 XM리그

2022.04.07

새 암호화폐 채굴 맬웨어는 쉽게 배포할 수 있도록 고(Go)로 작성됐으며, AWS의 자체 오픈소스 고 라이브러리를 사용한다.  맬웨어 개발자는 트렌드를 따라간다. 특히, 공격자는 타깃 조직에서 사용하는 것과 동일한 기술을 채택한다. 최근 카도 시큐리티(Cado Security)의 연구진이 사용자 제공 애플리케이션 코드를 온디맨드로 실행하도록 설계된, 이른바 서버리스 컴퓨팅 플랫폼 ‘AWS 람다(AWS Lambda)’ 내부에서 실행되는 암호화폐 채굴기를 발견했다고 밝혔다.  연구진은 “이 첫 번째 샘플은 암호화폐 채굴 소프트웨어만 실행한다는 점에서 무해하긴 하지만 공격자가 클라우드 관련 전문 지식을 활용하여 복잡한 클라우드 인프라를 악용하는 방법을 보여주며, 이는 잠재적으로 굉장히 위험한 공격이 될 수 있다”라고 말했다.    ‘데노니아(Denonia)’  고랭으로 작성된 이 맬웨어는 (공격자가 도메인에 부여한 이름을 따서) ‘데노니아(Denonia)’라고 명명됐으며, 리눅스용 64-bit ELF 실행 파일로 발견됐다. 카도 시큐리티 연구진은 이 맬웨어가 어떻게 배포되는지 정확하게 파악하진 못했지만 손상된 AWS 액세스 자격증명 및 시크릿 키(Secret Keys)가 관련됐을 가능성이 있다고 봤다.  한편 구글의 고 언어로 작성된 맬웨어가 새로운 것은 아니다. 맬웨어를 크로스 플랫폼 및 독립형으로 만드는 간편한 방법을 제공한다는 점에서 이는 최근 몇 년 동안 점점 더 보편화되고 있는 추세다. 물론 단점도 있다. 바이너리 파일이 크다는 것이다. 운영체제에 이미 존재하는 라이브러리에 동적으로 연결되는 대신, 프로그램이 필요로 하는 모든 라이브러리를 포함해야 하기 때문이다.  여러 프로그래밍 언어로 된 코드를 지원하도록 설계된 서버리스 컴퓨팅 플랫폼은 코드를 쉽게 배포할 수 있도록 지원한다. AWS 람다는 기본적으로 자바, 고, 파워셸, 노드닷제이에스, C#, 파이썬, 루비를 지원한다. 사용자가...

2022.04.07

알고도 속는 5가지, 몰라서 속는 4가지 '소셜 엔지니어링' 속임수

교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다.  사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다.  보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다.    스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다.  인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, ...

사회공학 해킹 소셜 엔지니어링 사이버 공격 랜섬웨어 악성코드 악성 소프트웨어 이메일 피싱 피싱 공격 전화 피싱

2022.03.30

교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다.  사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다.  보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다.    스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다.  인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, ...

2022.03.30

“비다르(Vidar) 악성코드 포함된 MS 도움말 파일 발견돼”

美 보안 회사 트러스트웨이브(Trustwava)가 ‘비다르(Vidar)’ 스파이웨어 패키지를 포함한 신종 이메일 캠페인을 발견했다고 공식 블로그를 통해 밝혔다. 해당 이메일 맬웨어에 첨부된 파일은 마이크로소프트의 CHM(Compiled HTML) 도움말 파일로 위장하고 있어 주의가 필요하다.    회사에 따르면 이메일 캠페인에 첨부된 파일은 워드 문서(request.doc)로 표시돼 있지만 실제로는 비다르 페이로드와 ISO로 패키지돼 있다. 이를 열면 ‘CHM’을 사용하는 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe)이 나온다. 트러스트웨이브의 연구원 다이애나 로페라는 “타깃이 가짜 문서(request.doc)를 열고 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe) 중 하나를 실행하면 악성 패키지가 트리거되고 시스템이 손상된다”라고 설명했다.    해당 공격에 사용된 CHM 파일은 대부분 합법적인 복사본이지만 HTML 응용 프로그램(HTA) 코드가 숨겨져 있다. 이 추가 코드는 CHM 파일이 실행될 때 백그라운드에서 악성 파일을 자동으로 실행한다.  이번 이메일 캠페인에서 확인된 비다르 버전은 모두 50.3이며, 오픈소스 소셜 네트워크 플랫폼 마스토돈(Mastodon)의 계정에서 C&C 서버를 검색한다고 회사 측은 전했다. 악성코드가 실행되면 마스토돈 페이지를 통해 식별한 C&C 서버에서 구성정보를 다운로드하고 작업을 시작한다. 먼저 브라우저 및 기타 애플리케이션에서 시스템 정보와 비밀번호 데이터를 수집하고, 해당 정보를 ZIP 파일로 C&C 서버에 전송한다. 그다음 감염된 시스템에 다른 맬웨어를 설치하고 자신을 삭제한다. 로페라는 “의심하지 않는 파일 형식에 악성 파일을 추가하는 것은 공격자가 탐지를 피하기 위해 사용하는 속임수 중 하나”라고 언급했다.  한편, 클라우드 보안 업체 인포블록스(Infoblox)의...

맬웨어 악성 소프트웨어 비다르

2022.03.28

美 보안 회사 트러스트웨이브(Trustwava)가 ‘비다르(Vidar)’ 스파이웨어 패키지를 포함한 신종 이메일 캠페인을 발견했다고 공식 블로그를 통해 밝혔다. 해당 이메일 맬웨어에 첨부된 파일은 마이크로소프트의 CHM(Compiled HTML) 도움말 파일로 위장하고 있어 주의가 필요하다.    회사에 따르면 이메일 캠페인에 첨부된 파일은 워드 문서(request.doc)로 표시돼 있지만 실제로는 비다르 페이로드와 ISO로 패키지돼 있다. 이를 열면 ‘CHM’을 사용하는 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe)이 나온다. 트러스트웨이브의 연구원 다이애나 로페라는 “타깃이 가짜 문서(request.doc)를 열고 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe) 중 하나를 실행하면 악성 패키지가 트리거되고 시스템이 손상된다”라고 설명했다.    해당 공격에 사용된 CHM 파일은 대부분 합법적인 복사본이지만 HTML 응용 프로그램(HTA) 코드가 숨겨져 있다. 이 추가 코드는 CHM 파일이 실행될 때 백그라운드에서 악성 파일을 자동으로 실행한다.  이번 이메일 캠페인에서 확인된 비다르 버전은 모두 50.3이며, 오픈소스 소셜 네트워크 플랫폼 마스토돈(Mastodon)의 계정에서 C&C 서버를 검색한다고 회사 측은 전했다. 악성코드가 실행되면 마스토돈 페이지를 통해 식별한 C&C 서버에서 구성정보를 다운로드하고 작업을 시작한다. 먼저 브라우저 및 기타 애플리케이션에서 시스템 정보와 비밀번호 데이터를 수집하고, 해당 정보를 ZIP 파일로 C&C 서버에 전송한다. 그다음 감염된 시스템에 다른 맬웨어를 설치하고 자신을 삭제한다. 로페라는 “의심하지 않는 파일 형식에 악성 파일을 추가하는 것은 공격자가 탐지를 피하기 위해 사용하는 속임수 중 하나”라고 언급했다.  한편, 클라우드 보안 업체 인포블록스(Infoblox)의...

2022.03.28

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6