1. 개요 MedusaLocker 랜섬웨어는 2019년에 최초 발견되었으며, 그동안 여러 산업에 걸쳐 감염 사례가 보고된 바 있다. 특히 COVID-19 팬데믹 이후에는 관련 의료산업에서의 감염 사례들도 보고되었으며, 최근 국내 감염사례가 확인되어 해당 케이스를 토대로 분석을 진행하였다. 이번 국내 감염사례에서의 최초 공격 벡터는 RDP Bruteforce Attack으로 확인되었으며, 이를 통해 RDP 접속정보를 알아낸 공격자가 MedusaLocker를 실행하여 파일을 암호화한 사례이다. 2. 최초 공격 벡터 본 사례에서 확인된 MedusaLocker의 최초 공격 벡터는 RDP Bruteforce Attack으로 확인된다. 아래 그림은 감염PC의 이벤트 로그이며, 기존부터 RDP Bruteforce A..

악성코드 분석 리포트 2022. 3. 11. 16:26

1. 개요 Hancitor 악성코드는 주로 악성 피싱 이메일을 통해 유포되는 ‘다운로더’ 유형의 악성코드이다. 피싱 이메일을 통해 매크로가 포함된 악성 문서를 유포한 뒤, 사용자의 매크로 실행을 유도하여 Hancitor 악성코드를 드롭 및 실행하는 형태가 다수 발견되고 있다. 공격자는 Hancitor 악성코드를 이용하여 최종적으로 CobaltStrike, Pony Stealer, Ficker Stealer, Zeppelin 랜섬웨어, Cuba 랜섬웨어 등 인포스틸러나 랜섬웨어와 같은 추가 악성코드를 유포한다. 지난 11월 초 미국의 금융, 정부, 의료, 제조, IT 등의 주요 인프라 내 조직 49곳 이상을 해킹한 Cuba 랜섬웨어 그룹 역시 Hancitor 악성코드를 이용하여 랜섬웨어를 유포한 것으로 확..

악성코드 분석 리포트 2022. 3. 11. 16:01

1. 개요 Cobalt Strike는 모의 해킹 침투 테스트를 위한 상용 도구이다. 하지만 2020년 말, GitHub에 Cobalt Strike 4.0 버전의 소스 코드가 유출되면서 실제 공격그룹들 사이에서도 활발히 사용되고 있다. 본 글에서는 Cobalt Strike의 대략적인 동작 구조와 기능에 대해서 살펴볼 것이다. 2. Cobalt Strike 동작 구조 Cobalt Strike는 Server, Client, Beacon의 3가지 Component로 구성되며, 각 Component의 역할과 기능은 아래와 같다. 2.1 Server Team Server 라고도 불리며, Listener 모듈을 기반으로 Beacon(Cobalt Strike Payload)과의 통신을 수행하는 역할을 한다. [서버 I..

악성코드 분석 리포트 2022. 3. 11. 15:04

1. 개요 최근 국내에서 GitLab RCE (CVE-2021-22205) 취약점을 통해 가상화폐 채굴 악성코드에 감염되는 사례가 발견되고 있습니다. GitLab을 운영하고 있는 시스템이 있다면 아래 취약점 정보를 확인하여 가능한 빨리 패치를 적용할 것을 권고합니다. 2. CVE-2021-22205 취약점 CVE-2021-22205 취약점은 GitLab에서 이미지 파일에 대한 유효성 검증이 미흡하여 발생하는 원격 명령 실행 취약점(RCE)으로써, 처음에는 인증이 필요한 RCE로 간주되어 CVSS 9.9점을 받았지만, 인증되지 않은 공격자도 트리거 할 수 있다는 사실이 발견되면서 2021년 9월 21일 CVSS 10.0으로 수정되었습니다. 2021년 4월 14일 GitLab 13.8.8, 13.9.6, 1..

취약점 분석 리포트 2022. 3. 11. 13:55

리눅스 커널 로컬 권한 상승 취약점(CVE-2022-0847, Dirty Pipe)에 대해 알아보겠습니다. Dirty Pipe 취약점 ? 2022년 3월 7일, 보안 연구원 Max Kellermann이 새로운 리눅스 취약점을 공개하였습니다. 해당 취약점은 Dirty Pipe (CVE-2022-0847) 라고 명명되었으며, CVSSv3 점수는 7.8 입니다. 어떤 취약점이길래 ? CVE-2022-0847 취약점을 악용하면 ? 권한이 없는 사용자가 루트 권한으로 실행되는 SUID 프로세스를 포함하여 읽기 전용 파일에 데이터를 삽입하고 덮어쓸 수 있습니다. 즉, 공격자가 권한을 상승시켜 액세스 권한을 부여하고, 시스템에서 모든 종류의 작업을 수행할 수 있습니다. Dirty Pipe 취약점은 공격자에게 리눅스 ..

보안 카드뉴스 2022. 3. 11. 13:30

지난 3월 5일, Lapsus$ 갱단은 삼성전자를 해킹하여 막대한 양의 민감한 데이터를 훔쳤다고 주장하며, 그 증거로 190GB에 달하는 삼성전자의 데이터와 소스 코드를 유출하였습니다. 갱단은 텔레그램 채널을 통해 샘플 데이터에 대한 이미지를 공유하고, 다운로드를 위한 토렌트 파일을 공유하였습니다. 유출된 데이터에는 아래와 같은 삼성전자의 기밀 소스코드가 포함되어 있습니다. - 센서와 직접 통신하는 소스 코드를 포함한 모든 생체 인식 잠금 해제 작업에 대한 알고리즘 - Knox 데이터 및 인증용 코드를 포함한 모든 최신 Samsung 장치에 대한 부트로더 소스 코드 - 민감한 작업(하드웨어 암호화, 바이너리 암호화, 액세스 제어 등)에 사용되는 Samsung의 TrustZone 환경에 설치된 모든 TA(..

국내외 보안동향 2022. 3. 7. 13:24

‘TCP 미들박스 반사(TCP Middlebox Reflection)’라는 새로운 증폭 기술을 활용한 분산 서비스 거부(DDoS) 공격이 발견되었습니다. 이 공격은 새로운 공격 메커니즘에 대한 이론이 제시된지 6개월 만에 처음으로 탐지되었습니다. Akamai 연구원들은 “이러한 유형의 공격은 체적 관점에서 대역폭의 1/75정도만 필요하기 때문에 DDos 공격에 대한 기준을 위험할 정도로 낮춘다”라고 덧붙였습니다. 분산 반사 서비스 거부(DRDoS)는 공개적으로 액세스 가능한 UDP 서버와 대역폭 증폭 계수(BAF)에 의존하여 대량의 UDP를 피해자 시스템으로 요청하는 DDos 공격의 한 형태 입니다. 공격자는 DRDoS 공격을 위해 의도된 희생자의 소스 IP를 스푸핑하여 Middlebox에서 피해자로 향..

국내외 보안동향 2022. 3. 4. 15:36

글자를 가릴 때 사용하는 픽셀레이션이 복호화가 가능하다는 소식입니다. 카드뉴스를 통해 자세히 알아보겠습니다. 픽셀레이션이란? 텍스트의 난독화를 위해 특정 부분을 가릴 때, 해상도를 크게 떨어뜨려 텍스트를 읽을 수 없게 만드는 기법 정보를 공유할 때 민감한 부분을 흐릿하게 처리하는 방법은 오래 전부터 사용되어 왔습니다. 그러나 '픽셀레이션' 기법은 해독하는 방법들이 나온 바 있어, 상당히 불안전한 방법입니다. 픽셀레이션 한계점 텍스트 정보의 일부 영역을 감추기 위해 사용하는 블러 처리나 픽셀레이션 기법에는 한계가 있다는 지적이 꾸준히 언급되어 왔습니다. [ 2005년 ] 리하이대학교의 연구원들은 텍스트를 일부 가린다고 해도 정보가 유출될 수 있으며, 사전 공격 기법에도 취약할 수 있다는 내용의 논문을 발표..

보안 카드뉴스 2022. 2. 24. 17:28