'시스템파괴'에 해당되는 글 7건

  1. 2014.12.29 공유 폴더와 시스템의 아이디 및 패스워드를 탈취하는 SMB 웜 도구 주의
  2. 2014.12.27 한국수력원자력 MBR 파괴 악성코드 공격받아
  3. 2014.10.06 JAGUAR 명령어 삽입 취약점 보안 업데이트
2014.12.29 19:20

공유 폴더와 시스템의 아이디 및 패스워드를 탈취하는 SMB 웜 도구 주의

개요

  • 최근 미국 영화社 해킹 사고에서 SMB 웜 도구를 이용하여 공유 폴더 및 시스템의 아이디 및 패스워드가 
    유출됨에 따라 국내 출현 가능성에 대비 주의 필요[1]

영향 받는 소프트웨어

  • Microsoft Windows 모든 운영체제

해결 방안

  • 사용자의 경우, 악성코드로 인한 피해 예방을 위해 백신을 설치하고 최신 업데이트 상태로 유지
    • 취약점을 통해 악성코드가 전파되는 것을 방지하기 위해 운영체제와 응용 프로그램을 최신 업데이트
      상태로 유지
    • 공유 폴더 사용을 자제하고 취약한 패스워드보다는 영문, 숫자, 특수문자를 조합한 8자리 이상의 
      비밀번호 설정 권고
  • 기업 시스템 관리자의 경우, 444번 및 445번 포트 모니터링 및 해당 SMB 웜 도구를 이용하여 전파되는 
    하드디스크 파괴형 악성코드에 의한 시스템 파괴에 대비하여 정보자산 접근통제, 모니터링, 복구 등 침해
    사고 예방 및 대응 방안 마련 필요(US-CERT 권고 사항 참조[2])
     ※ SMB 웜 도구를 통해 유포되는 악성코드 유형별 스노트 룰은 US-CERT권고사항 참조[1] 

용어 정리

  • SMB(Server Message Block) : Microsoft社 윈도우즈 및 도스 운영체제에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식

기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] https://www.us-cert.gov/ncas/alerts/TA14-353A
[2] https://www.us-cert.gov/ncas/tips/ST13-003



(참고자료)



Trackback 0 Comment 0
2014.12.27 22:36

한국수력원자력 MBR 파괴 악성코드 공격받아

최근 국내 주요 원전시설을 운영하는 한국수력원자력(이하 한수원)이 마스터 부트 레코드(이하 MBR)를 삭제하도록 설계된 악성코드에 감염되어 사회적 이슈가 되고 있습니다. 악성코드는 한글 워드 프로세서(HWP) 취약점을 통해 감염되었으며, 한수원 임직원들이 악성 첨부파일을 실행하도록 하기 위한 다양한 사회공학적 공격 기법이 사용되었습니다. 아래 그림과 같이 공격은 임직원들에게 전송된 스피어피싱 이메일에서부터 시작되었으며 첨부파일 실행시 2가지 악성코드를 설치하는 방식으로 진행되었습니다.

MBR 파괴 공격의 감염 경로


악성코드에 대한 설명

이 악성코드의 진단명은 TROJ_WHAIM.A이며, 감염된 시스템의 MBR을 파괴합니다. MBR 파괴 이외에도 감염된 시스템에서 특정 파일을 덮어쓰기 하는 기능과 감염된 시스템에서 악성코드를 서비스로 등록하여 시스템이 재시작될 때마다 자동으로 실행되도록 하는 기능을 가지고 있으며, 또한 일반 윈도우 서비스에서 사용하는 파일명, 서비스명과 설명을 사용하여 시스템의 서비스 목록을 봐도 특이사항을 쉽게 발견할 수 없도록 위장하고 있습니다.

[그림1] TROJ_WHAIM.A가 위장한 일반 서비스 목록


이전에 발견된 MBR 파괴 악성코드와의 유사성

MBR을 파괴하는 악성코드는 일반적이지는 않지만 이전에도 발견된 적은 있습니다. 과거에 발생한 유사한 공격으로는 2013년 3월 20일 국내 주요 방송∙금융 6개사의 전산망 마비 사태가 발생한 3∙20 사이버테러 사건이 있으며, 이 공격에 사용된 악성코드는 PRINCPES, HASTATI, PR!NCPES 중 한개의 문자를 사용하여 MBR을 덮어 썼습니다. 또한 최근 발생한 소니픽처스 공격에서도 유사한 MBR 파괴 공격이 발생했었습니다.

한수원 공격에 사용된 악성코드는 특정 문자열을 반복적으로 MBR에 덮어쓴다는 점에서 이전에 발견되었던 3가지 MBR 파괴 악성코드와 유사성을 가지고 있습니다. 한수원 공격에 사용된 악성코드는 ‘Who Am I?’ 그리고 소니픽처스 공격에 사용된 악성코드는 0XAAAAAAAA 패턴을 사용했습니다.

[그림2] 감염된 시스템이 부팅되면 나타나는 ‘Who Am I?’ 메시지


시스템 파괴 악성코드와 협박

이미 잘 알려졌듯이 소니픽처스에 대한 공격은 영화사가 제작한 영화 ‘인터뷰’로 인해 시작되었으며, 한수원에 대한 공격에도 원자력 발전소 운행을 중단하지 않으면 수많은 원전 관련 기밀문서를 공개하겠다는, 모든 원전 시설의 운영 중단을 요구하는 협박이 있었습니다.(원자력 발전은 한국의 전체 전력 생산의 29%를 차지하고 있음)


확증은 없지만 심증은…

MBR 파괴 악성코드를 이용한 공격에는 많은 유사성이 있지만 관련 공격의 배후 역시 연관되어 있다고 단정하기는 어렵습니다. 하지만 각 공격의 배후가 직접적으로 연관되어 있지는 않더라도 상당부분 영향은 받았을 것입니다. 명확한 증거가 없기 때문에 심증만 난무할 뿐 정확한 사실은 알 수 없지만 여기에서 주목해야 할 점은 일부 공격자들 사이에서 MBR 파괴 공격이 새로운 무기가 되고 있다는 점입니다. MBR 파괴 공격으로 인해 시스템 관리자들은 네트워크나 시스템 보안 외에도 공격으로 인한 피해를 최소화할 수 있는 다양한 기술에 대해서도 고민해야 할 것입니다.

Additional insights by Abraham Camba, MingYen Hsieh, and Rika Gregorio

원문 : MBR Wiper Attacks Strike Korean Power Plant
by Trend Micro




출처 : 트렌드마이크로 블로그


Trackback 0 Comment 0
2014.10.06 19:26

JAGUAR 명령어 삽입 취약점 보안 업데이트

JAGUAR Web Cache
아라기술의 JAGUAR Web Cache은 ISP 네트워크의 지속적인 성장과 그에 따른 사용자의 서비스 품질 요구에 대한 해결책을 제시해 줄 수 있는 고성능의 컨텐츠 전송 솔루션입니다. 네트워크 구간에 JAGUAR Web Cache을 설치하게 되면 많은 수의 웹 컨텐츠가 ISP 내에 저장되고 서비스되어 대역폭 부족의 위험이 확실히 줄어 드는 것을 확인하실 수 있습니다. WAN 구간의 가속을 위해 네트워크를 확장하는 대신에 JAGUAR Web Cache을 설치한다면 효율적으로 비용절약을 하여 빠른 ROI를 기대할 수 있습니다.

Acceleration and Bandwidth Saving


개요

  • 아라기술社의 프록시 캐시 솔루션인 JAGUAR 제품에서 공격자가 원격에서 악의적인 시스템 명령을 실행할 수 있는 취약점이 발견됨
  • 공격자가 해당 취약점을 악용하여 악의적인 명령 실행을 통해 백도어 생성, 시스템 파괴 등을 유발할 수 있으므로 해결방안 적용 권고


해당 시스템

  • 영향 받는 시스템
    • JAGUAR5000 1.7.x
    • JAGUAR5000 2.1.0
    • JAGUAR6000 1.0.0
    • JCM 1.7.x


해결방안

  • 취약한 버전 사용자
    • 아라기술 홈페이지[1]에 방문하여 고객 기술지원을 통해 패치 적용


기타 문의사항

  • 아라기술 : 02-3446-6070
  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


[참고사이트]
[1] http://www.aranetworks.com/support/technical_support


Trackback 0 Comment 0