'악성코드'에 해당되는 글 99건

  1. 2015.11.12 Apache commons-collection 라이브러리 원격코드실행 취약점
  2. 2015.10.29 고클린 업데이트 서버 해킹...파밍 악성코드 유포 주의!
  3. 2015.10.01 유명 포털 사이트 위장한 피싱 웹사이트 주의
2015.11.12 18:45

Apache commons-collection 라이브러리 원격코드실행 취약점

□ 개요

자바 관련 공통 컴포넌트 개발을 위한 Apache commons-collection 라이브러리[1]에서원격코드실행 취약점이 발견

공격자가 취약한 대상 서비스에 악의적인 데이터를 삽입하여 전송할 경우 시스템 명령어 실행악성코드 다운로드 및 실행 등이 가능

 

□ 취약점 내용

Apache commons-collection 라이브러리의 InvokerTransformer함수에서 신뢰되지 않은 데이터(명령어 등)를 검증 하지 않아 공격자가 원격에서 명령 실행이 가능

 

□ 영향 받는 소프트웨어

o Apache commons-collection 라이브러리 Version 3.0 ~ 4.0

o Apache commons-collection 라이브러리를 사용하는 자바 기반 애플리케이션

   - Oracle WebLogic, IBM WebSphere, RedHat JBoss, Jenkins, OpenNMS 

 

□ 권고 사항 

취약점에 대한 보안 업데이트가 발표될 때 까지 네트워크 보안 시스템 등을 통해 대응 권고 

   - 네트워크 방화벽 룰 설정을 통해 신뢰된 원격지에서만 서비스에 접근 가능하도록 설정

    ※ 비인가 원격지에서 영향받는 서비스 포트  접근을 [디폴트 포트 예WebLogic(7001), WebShpere(8880), JBoss(8080), OpenNMS(1099) 등] 검토하여 탐지 또는 차단

   - 네트워크 패킷에 취약점과 관련된 문자열인 InvocationHandler, AnnotationInvocationHandler 등

     공격과 관련된 내용이 포함되어 있을 경우 탐지 또는 필터링

 

□ 기타 문의사항 

한국인터넷진흥원 인터넷침해대응센터국번없이 118

 

[참고사이트]

[1] https://commons.apache.org/proper/commons-collections/

[2] https://issues.apache.org/jira/browse/COLLECTIONS-580

[3] http://svn.apache.org/viewvc?view=revision&revision=1713307


Trackback 0 Comment 0
2015.10.29 20:21

고클린 업데이트 서버 해킹...파밍 악성코드 유포 주의!

포털사이트 방문 시, 금융감독원 팝업... ‘Goclean’ 폴더 제거해야 

http://www.boannews.com/media/view.asp?idx=48325&skind=O



고클린 운영자는 지난 23일 홈페이지를 통해 ‘해킹 및 악성코드 유포’에 대해 이용자들에게 사과문을 공지했다. 고클린 측에 의하면, 지난 22일 오후 6시~8시, 23일 오후 3시~4시 사이에 고클린 업데이트 서버에 해킹 공격이 있었고 위 시간대에 고클린 업데이트를 받은 이용자들이 파밍 악성코드에 감염됐을 것으로 판단된다고 밝혔다.

이에 위의 해킹 공격 시간대에 고클린을 이용한 이용자들은 다음과 같은 조치를 취해야 한다. 만약 제거가 되지 않을 경우에는 안전모드로 부팅해서 안전모드 상태에서 제거하면 된다. 
-‘C:\Program Files\GoClean’에서 ‘Goclean’ 폴더 제거 
-‘C:\Program Files (x86)\GoClean’에서 ‘Goclean’ 폴더 제거

해당 파밍 악성코드에 감염되면 포털사이트를 방문했을 때, 금융감독원 팝업창을 띄우는 현상이 나타난다. 현재 문제가 되었던 고클린 업데이트 서버를 내려 현재 중단한 상태이며, 서버 문제로 인해 고클린 실행 시 고클린 화면이 뜨는데 15초 이상 걸린다. 




출처 : 보안뉴스


Trackback 0 Comment 0
2015.10.01 19:20

유명 포털 사이트 위장한 피싱 웹사이트 주의

안랩, 사용자 아이핀 계정 탈취·악성코드 유포 가짜 웹사이트 발견

http://www.boannews.com/media/view.asp?idx=48023&skind=5


▲ 가짜 및 정상 로그인 페이지 비교


안랩(대표 권치중, www.ahnlab.com)은 최근 사용자 아이핀 계정 탈취, 악성코드 유포 목적의 정교한 가짜 포털 웹사이트를 발견했다고 밝혔다. 이에 사용자는 △의심 웹 사이트 방문 및 메일/SNS내 URL실행 자제 △응용프로그램 최신 버전 유지 △백신 업데이트 및 실시간 감시 필수 등의 주의가 필요하다고 당부했다.


[아이핀 계정 탈취 피싱 사이트 사례]

공격자는 유명 포털 로그인 화면으로 위장한 피싱 사이트를 제작하고, 사용자의 아이핀(i-PIN) 정보 탈취를 시도했다. 먼저 사용자가 메일, SNS에 첨부된 URL 등 다양한 경로로 포털 로그인 창을 위장한 피싱 사이트에 접속하면, 유명 포털을 사칭해 아이디/비밀번호를 요구하는 가짜 로그인 화면이 뜬다.


[악성코드 유포 피싱 사이트 사례]

공격자는 사용자가 구분이 어려울 정도로 유사한 웹사이트 주소(URL)와 웹사이트의 화면 구성으로 사용자를 속인다. 사용자가 페이지 상단에 삽입된 특정 이미지를 클릭하면 악성코드에 감염되도록 피싱 사이트를 제작했다.



출처 : 보안뉴스


Trackback 0 Comment 0