브라질리언 랜섬웨어 등장, 각국 사이버범죄 조직들 랜섬웨어 유포
애플 iOS 락스크린 우회, 시스코 방화벽 우회, MS의 계정 탈취 취약점 등 발견
[보안뉴스 김경애] 말하는 랜섬웨어 Cerber, MBR 영역을 변조하는 PETYA, 특정 기업 노리고 표적형으로 진화한 삼삼, C&C 서버 통신 없이 자동으로 암호화되는 마크텁(MAKTUB), 모바일에서도 비트코인(Bitcoin) 결제가 가능하도록 QR 코드까지 포함한 록쿠(Rokku) 등 새로운 랜섬웨어가 계속 쏟아져 나오고 있다. 이번엔 브라질리언 랜섬웨어가 새롭게 등장했다.
▲브라질리언 랜섬웨어 발견 감염 화면
이 뿐만 아니다. 각종 취약점도 줄줄이 발견되면서 그에 따른 파장도 커지고 있다. 애플 iOS 9.3.1에서는 락스크린 우회 취약점이 발견됐으며, 시스코에서는 방화벽을 우회할 수 있는 취약점이, 마이크로소프트에서는 계정 탈취 취약점이 발견됐다. 특히, 지난 한 주간에는 어도비 플래시 플레이어에서 패치가 되지 않은 제로데이 취약점이 알려져 어도비가 한바탕 곤혹을 치른 바 있다. 또한, Linux Remaiten 악성 프로그램도 한 주간 기승을 부렸다.
1. 브라질리언 랜섬웨어 발견
우선 새로운 랜섬웨어가 계속 출현하고 있다. 이와 관련 하우리 최상명 CERT 실장은 “지난 6일 브라질리언 랜섬웨어가 새롭게 발견됐다”며 “각국 사이버범죄 조직들이 너나할 것 없이 랜섬웨어를 제작해 유포하며, 신규 랜섬웨어 종류도 급속도로 증가하는 추세”라고 우려했다.
브라질리언 랜섬웨어에 감염되면 .TXT, .DOC, .docx의 .XLS, .xlsx 형식 .ppt의 .PPTX, .odt, JPG, PNG .csv 파일 .SQL, .MDB, sln 파일의 .php, .asp 파일 .aspx의 .html을 .xml 파일 .PSD 확장자를 가진 파일을 암호화한다.
또한, Umbanda라는 브라질 정통 종교의 글자가 나오며, 공격자들이 자기가 사용하는 언어인 포르투칼 언어로 비트코인 지불을 요구하는 화면이 나온다.
이에 대해 노브레이크 박찬주 수석은 “원래 브라질리언 랜섬웨어는 처음에는 RAT , 키로거, 피싱 , 비트코인 정보탈취 등의 기능을 가진 악성코드였으나, 2014년부터 점차 기능이 확대된 형태로 변모했으며, 최근에 랜섬웨어로 변화된 것”이라며 “해당 랜섬웨어는 점차 여러 사이트를 타깃으로 확장되고 있다”고 밝혔다.
2. 애플 iOS 9.3.1에서 락스크린 우회 취약점 발견
▲출처: 애플
지난 5일에는 애플 iOS 9.3.1에서 락스크린 우회가 가능한 취약점이 발견됐다. 해당 취약점은 아이폰(iPhone)의 보안 메커니즘을 우회할 수 있다.
알약 블로그에 따르면 공격자는 siri request task의 runtime 앱을 사용하며, 어떠한 상호작용도 필요 없다. 공격자는 Facebook, Twitter 등의 앱을 열람할 수 있고, ‘@[TAGS]’을 검색, 태그를 추가하고 버튼을 누를 수도 있다.
새로운 3D touch 기능은 처리에 의한 새로운 상호작용을 허용해 기본 메뉴를 공격자에게 볼 수 있도록 하며, 새로운 연락처 추가 메뉴를 통해 사진과 프로필을 클릭하면 휴대폰의 사진첩도 볼 수 있다.
따라서 이용자는 iOS 9.3.1 설정에서 ‘시리(Siri) 사용하지 않기’를 설정해 놓으면 임시로 해당 취약점을 패치할 수 있다. 그 다음 비밀번호로 public control panel에 접속할 수 있도록 설정한 후, Private 설정에서 시리가 이미지 정보 및 연락처 정보에 접근할 수 없도록 하면 된다.
3. Cisco 방화벽 우회할 수 있는 취약점 주의
또한, Cisco 방화벽을 우회할 수 있는 심각한 취약점도 문제가 되고 있다. 해당 취약점은 체크포인트 연구원이 발견한 취약점으로 HTTP 헤더에 부적절한 입력 유효성 때문에 발생하게 된다.
▲Cisco 방화벽을 우회할 수 있는 취약점(출처: 시스코)
CVE-2016-1345 취약점이 존재하는 시스템에 조작된 HTTP를 보내면 악성코드 탐지룰이나 차단 정책 등을 우회해 시스템에 침투할 수 있는 것으로 분석됐다.
영향을 받는 제품은 다음과 같다.
Adaptive Security Appliance (ASA) 5500-X Series with FirePOWER Services
Advanced Malware Protection (AMP) for Networks, 7000 Series Appliances
Advanced Malware Protection (AMP) for Networks, 8000 Series Appliances
FirePOWER 7000 Series Appliances
FirePOWER 8000 Series Appliances
FirePOWER Threat Defense for Integrated Services Routers (ISRs)
Next Generation Intrusion Prevention System (NGIPS) for Blue Coat X-Series
Sourcefire 3D System Appliances
Virtual Next-Generation Intrusion Prevention System (NGIPSv) for VMware
따라서 이용자는 △방화벽 시스템 SW △5.4.0.7 이후 버전으로 업데이트 △5.4.1.6 이후 버전으로 업데이트 △6.0.1 이후 버전으로 업데이트 △Snort 최신 버전으로 업데이트하면 된다.
4. 마이크로소프트, 계정 탈취 취약점 발견
마이크로소프트 제품에서의 계정 인증 취약점도 발견됐다. 지난 1월 영국 보안연구원 Jack Whitton에 따르면 POST 값의 변조로 마이크로소프트 제품에서 발견된 계정 인증 취약점이다. 해당 취약점을 이용하면 피싱 웹사이트에서 로그인 토큰을 탈취해 사용자 계정과 데이터를 탈취할 수 있다.
.jpg)
▲출처: 마이크로소프트
토큰은 로그인 프로세스에 사용되며, 해당 값이 해커의 서버로 넘어갈 경우 사용자 위장이 가능해 사이트간 요청 위조 공격을 위한 로그인에 토큰이 사용될 수 있다.
이러한 버그를 이용해 해커들은 임의의 URL을 POST 인증 토큰으로 지정하고, 피싱 웹사이트를 통해 해당 데이터를 얻을 경우 사용자의 계정에 대한 접근권한을 얻을 수 있게 된다.
5. Linux Remaiten 악성 프로그램 기승
사물인터넷 디바이스를 봇넷으로 만드는 Linux Remaiten 악성 프로그램이 기승을 부리고 있다.
▲C&C에서 봇 바이너리를 요청해 다운로드된 화면(출처: ESET welivesecurity)
ESET 연구원에 따르면 KTN-Remastered(혹은 KTN-RM) 악성 프로그램은 Tsunami(혹은 Kaiten) 및 Gafgyt가 결합된 프로그램이라며 Tsunami는 IRC Bot의 백도어로, 디도스(DDoS) 공격을 일으킬 수 있는 악성코드라고 밝혔다.
Gafgyt는 텔넷(telnet) 스캔을 할 때 사용하는 프로그램리녀, KTN-RM은 실행가능한 악성 2진수 문서를 내려받아 임베디드 플랫폼 및 기타 연결 디바이스들을 감염시키는 것으로 알려졌다.
해당 악성코드는 먼저 텔넷 스캔을 진행해 라우터와 스마트 디바이스를 검색하고, 브루트포스(Brute Force: 무작위 대입 공격) 방식을 이용해 로그인을 시도한다. 로그인에 성공하면, 악성코드는 쉘(shell) 명령과 다양한 시스템 프레임워크를 타깃으로 하는 악성문서를 내려보내 해당 시스템에서 악성행위를 실행시킨다. 이러한 악성코드에는 C&C 서버와 IP주소가 하드코딩되어 있으며, 서버로 감염된 디바이스 정보(IP주소, 로그인 정보, 감염상태)를 전송해 원격제어를 할 수 있다.
[김경애 기자(boan3@boannews.com)]
애플 iOS 락스크린 우회, 시스코 방화벽 우회, MS의 계정 탈취 취약점 등 발견
[보안뉴스 김경애] 말하는 랜섬웨어 Cerber, MBR 영역을 변조하는 PETYA, 특정 기업 노리고 표적형으로 진화한 삼삼, C&C 서버 통신 없이 자동으로 암호화되는 마크텁(MAKTUB), 모바일에서도 비트코인(Bitcoin) 결제가 가능하도록 QR 코드까지 포함한 록쿠(Rokku) 등 새로운 랜섬웨어가 계속 쏟아져 나오고 있다. 이번엔 브라질리언 랜섬웨어가 새롭게 등장했다.
▲브라질리언 랜섬웨어 발견 감염 화면
이 뿐만 아니다. 각종 취약점도 줄줄이 발견되면서 그에 따른 파장도 커지고 있다. 애플 iOS 9.3.1에서는 락스크린 우회 취약점이 발견됐으며, 시스코에서는 방화벽을 우회할 수 있는 취약점이, 마이크로소프트에서는 계정 탈취 취약점이 발견됐다. 특히, 지난 한 주간에는 어도비 플래시 플레이어에서 패치가 되지 않은 제로데이 취약점이 알려져 어도비가 한바탕 곤혹을 치른 바 있다. 또한, Linux Remaiten 악성 프로그램도 한 주간 기승을 부렸다.
1. 브라질리언 랜섬웨어 발견
우선 새로운 랜섬웨어가 계속 출현하고 있다. 이와 관련 하우리 최상명 CERT 실장은 “지난 6일 브라질리언 랜섬웨어가 새롭게 발견됐다”며 “각국 사이버범죄 조직들이 너나할 것 없이 랜섬웨어를 제작해 유포하며, 신규 랜섬웨어 종류도 급속도로 증가하는 추세”라고 우려했다.
브라질리언 랜섬웨어에 감염되면 .TXT, .DOC, .docx의 .XLS, .xlsx 형식 .ppt의 .PPTX, .odt, JPG, PNG .csv 파일 .SQL, .MDB, sln 파일의 .php, .asp 파일 .aspx의 .html을 .xml 파일 .PSD 확장자를 가진 파일을 암호화한다.
또한, Umbanda라는 브라질 정통 종교의 글자가 나오며, 공격자들이 자기가 사용하는 언어인 포르투칼 언어로 비트코인 지불을 요구하는 화면이 나온다.
이에 대해 노브레이크 박찬주 수석은 “원래 브라질리언 랜섬웨어는 처음에는 RAT , 키로거, 피싱 , 비트코인 정보탈취 등의 기능을 가진 악성코드였으나, 2014년부터 점차 기능이 확대된 형태로 변모했으며, 최근에 랜섬웨어로 변화된 것”이라며 “해당 랜섬웨어는 점차 여러 사이트를 타깃으로 확장되고 있다”고 밝혔다.
2. 애플 iOS 9.3.1에서 락스크린 우회 취약점 발견
▲출처: 애플
지난 5일에는 애플 iOS 9.3.1에서 락스크린 우회가 가능한 취약점이 발견됐다. 해당 취약점은 아이폰(iPhone)의 보안 메커니즘을 우회할 수 있다.
알약 블로그에 따르면 공격자는 siri request task의 runtime 앱을 사용하며, 어떠한 상호작용도 필요 없다. 공격자는 Facebook, Twitter 등의 앱을 열람할 수 있고, ‘@[TAGS]’을 검색, 태그를 추가하고 버튼을 누를 수도 있다.
새로운 3D touch 기능은 처리에 의한 새로운 상호작용을 허용해 기본 메뉴를 공격자에게 볼 수 있도록 하며, 새로운 연락처 추가 메뉴를 통해 사진과 프로필을 클릭하면 휴대폰의 사진첩도 볼 수 있다.
따라서 이용자는 iOS 9.3.1 설정에서 ‘시리(Siri) 사용하지 않기’를 설정해 놓으면 임시로 해당 취약점을 패치할 수 있다. 그 다음 비밀번호로 public control panel에 접속할 수 있도록 설정한 후, Private 설정에서 시리가 이미지 정보 및 연락처 정보에 접근할 수 없도록 하면 된다.
3. Cisco 방화벽 우회할 수 있는 취약점 주의
또한, Cisco 방화벽을 우회할 수 있는 심각한 취약점도 문제가 되고 있다. 해당 취약점은 체크포인트 연구원이 발견한 취약점으로 HTTP 헤더에 부적절한 입력 유효성 때문에 발생하게 된다.
▲Cisco 방화벽을 우회할 수 있는 취약점(출처: 시스코)
CVE-2016-1345 취약점이 존재하는 시스템에 조작된 HTTP를 보내면 악성코드 탐지룰이나 차단 정책 등을 우회해 시스템에 침투할 수 있는 것으로 분석됐다.
영향을 받는 제품은 다음과 같다.
Adaptive Security Appliance (ASA) 5500-X Series with FirePOWER Services
Advanced Malware Protection (AMP) for Networks, 7000 Series Appliances
Advanced Malware Protection (AMP) for Networks, 8000 Series Appliances
FirePOWER 7000 Series Appliances
FirePOWER 8000 Series Appliances
FirePOWER Threat Defense for Integrated Services Routers (ISRs)
Next Generation Intrusion Prevention System (NGIPS) for Blue Coat X-Series
Sourcefire 3D System Appliances
Virtual Next-Generation Intrusion Prevention System (NGIPSv) for VMware
따라서 이용자는 △방화벽 시스템 SW △5.4.0.7 이후 버전으로 업데이트 △5.4.1.6 이후 버전으로 업데이트 △6.0.1 이후 버전으로 업데이트 △Snort 최신 버전으로 업데이트하면 된다.
4. 마이크로소프트, 계정 탈취 취약점 발견
마이크로소프트 제품에서의 계정 인증 취약점도 발견됐다. 지난 1월 영국 보안연구원 Jack Whitton에 따르면 POST 값의 변조로 마이크로소프트 제품에서 발견된 계정 인증 취약점이다. 해당 취약점을 이용하면 피싱 웹사이트에서 로그인 토큰을 탈취해 사용자 계정과 데이터를 탈취할 수 있다.
▲출처: 마이크로소프트
토큰은 로그인 프로세스에 사용되며, 해당 값이 해커의 서버로 넘어갈 경우 사용자 위장이 가능해 사이트간 요청 위조 공격을 위한 로그인에 토큰이 사용될 수 있다.
이러한 버그를 이용해 해커들은 임의의 URL을 POST 인증 토큰으로 지정하고, 피싱 웹사이트를 통해 해당 데이터를 얻을 경우 사용자의 계정에 대한 접근권한을 얻을 수 있게 된다.
5. Linux Remaiten 악성 프로그램 기승
사물인터넷 디바이스를 봇넷으로 만드는 Linux Remaiten 악성 프로그램이 기승을 부리고 있다.
▲C&C에서 봇 바이너리를 요청해 다운로드된 화면(출처: ESET welivesecurity)
ESET 연구원에 따르면 KTN-Remastered(혹은 KTN-RM) 악성 프로그램은 Tsunami(혹은 Kaiten) 및 Gafgyt가 결합된 프로그램이라며 Tsunami는 IRC Bot의 백도어로, 디도스(DDoS) 공격을 일으킬 수 있는 악성코드라고 밝혔다.
Gafgyt는 텔넷(telnet) 스캔을 할 때 사용하는 프로그램리녀, KTN-RM은 실행가능한 악성 2진수 문서를 내려받아 임베디드 플랫폼 및 기타 연결 디바이스들을 감염시키는 것으로 알려졌다.
해당 악성코드는 먼저 텔넷 스캔을 진행해 라우터와 스마트 디바이스를 검색하고, 브루트포스(Brute Force: 무작위 대입 공격) 방식을 이용해 로그인을 시도한다. 로그인에 성공하면, 악성코드는 쉘(shell) 명령과 다양한 시스템 프레임워크를 타깃으로 하는 악성문서를 내려보내 해당 시스템에서 악성행위를 실행시킨다. 이러한 악성코드에는 C&C 서버와 IP주소가 하드코딩되어 있으며, 서버로 감염된 디바이스 정보(IP주소, 로그인 정보, 감염상태)를 전송해 원격제어를 할 수 있다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
