posted by Kwan's 2012. 12. 4. 19:03


US CERT(Computer Emergency Readiness Team)의 경고에 따르면, 삼성과 델 프린터를 사용하는 기업들은 하드 코딩된 관리자 계정을 통해 공격자가 그들의 기기를 컨트롤하는 것이 가능하다고 경고 하였습니다.

지난 월요일(16일), CERT는 2012년 10월 31일까지 삼성이 제조하고 델과 삼성 브랜드로 판매된 프린터들에서 주의를 요하는 계정의 존재를 발견했다는 경고를 발표하였습니다.

하드 코딩된 SNMP(Simple Network Management Protocol) 패스워드는 모든 관리자 읽기-쓰기 권한을 허용하고, 프린터의 관리 콘솔을 이용해 SNMP가 비활성화된 경우에도 활성화 상태로 유지하게 한다고 CERT는 경고했습니다.

SNMP는 네트워크 상에 있는 인터넷이 가능한 기기들을 관리하는데 사용되는 표준 프로토콜입니다. CERT에 따르면, 원격에 있는 공격자가 기기에 대한 인증(로그인) 없이도 삼성 프린터에 접근하는 것이 가능하다고 합니다.

패스워드에 대한 지식을 사용하면, 악의적인 해커는 기기 구성을 변경하거나 네트워크 정보와 인증서 정보 등 기기에 있는 기밀 정보에 접근하는 것이 가능합니다.

이런 프린터는 또한 다른 네트워크 기기를 공격하기 위한 토대로 사용될 수도 있다고 CERT는 경고했습니다.

삼성은 수정 패치를 준비 중에 있고 취약한 기기에 대해 “올해 말” 패치 툴을 제공할 것이라고 밝혔습니다.

취약성 경고에는 어떤 프린터들이 공격받았는지 목록을 제공하지는 않았지만 2012년 10월 31일 이후 제조된 프린터들은 공격받지 않은 것으로 나타났습니다. 즉, 11월 이전에 출시된 모든 삼성 프린터 모델들은 백도어 계정을 포함하고 있고 취약성이 있는 것으로 보면 됩니다.

델 모델의 경우에는, 삼성이 자사의 ML-2165W라는 컴팩트한 올인원 프린터를 모델로 해서B1160w와 같은 델 프린터를 만들었는데 다른 델 브랜드 프린터가 공격을 받았는지는 확실하지 않습니다.

 

사실 최신의 네트워크 프린터들은 일반적인 데스크톱 컴퓨터와 동등한 속성들을 많이 가지고 있고, 수천 장의 기밀문서 이미지를 저장할 수 있음에도 불구하고, 네트워크 인프라에서 어느 정도 간과되고 있습니다.

최근 몇 년 동안에, HP와 같은 프린터 업체들은 치명적인 취약점들이 그들의 프린터에서 운영되는 펌웨어에서 발견된 이후에 사용자들에게 긴급패치를 제공할 수 밖에 없었습니다.

또한 프린터 보안 이슈는 지난 해 콜롬비아 대학의 연구원들이 HP LaserJet 프린터들에 대한 보안 취약점을 발견했다고 주장했을 때 관심을 끌었습니다. 이 보안 취약점은 “수천만 대”의 HP LaserJet 프린터에 잠재적으로 영향을 미칠 수 있으며, 원격에 있는 공격자가 취약한 시스템에 물리적인 손상을 가할 수 있도록 허용하고 잠정적으로 그것들이 불을 지피는 원인이 되게 하는 것이었습니다.


불을 붙게 하는 해킹에 대한 주장은 틀렸음이 밝혀진 반면에, 시스템은 원격 해킹에 무방비 상태로 남아 있었습니다.

CERT는 삼성 프린터를 사용하는 기업들에게 네트워크를 통해 프린터에 접근하는 것을 제한하고, 하드 코딩된 사용자명과 패스워드가 요구하는 SNMP 인터페이스 접속으로부터 해커들의 접근을 막기 위해 신뢰하는 호스트와 네트워크 연결만 허용하라고 충고합니다.

업데이트: 삼성은 네이키드 시큐리티에 연락을 했고 다음과 같은 성명서를 제출하였습니다:

삼성은 삼성 네트워크 프린터와 다기능 기기를 공격하는 보안 이슈에 대해 알고 나서 해결을 했습니다. 그 문제는 SNMP가 활성화인 경우에만 기기들을 공격하는데, SNMP를 비활성화시켜서 해결을 했습니다.

우리는 모든 보안문제를 매우 심각하게 받아들이고 있고 이번 취약점으로 인해 공격을 받았던 고객은 아무도 없습니다. 삼성은 11월 30일까지 현재의 모든 모델에 대해 업데이트된 펌웨어를 제공하고, 다른 모든 모델들은 연말까지 업데이트될 수 있도록 노력하고 있습니다.

하지만, 관심 있는 고객들을 위해 우리는 펌웨어 업데이트가 끝날 때까지 고객들이 SNMPv1,2를 비활성화하거나 안전한 SNMPv3 모드를 이용하도록 장려하고 있습니다.

더 많은 정보를 원하시면, 기업고객은 1-866-SAM4BIZ, 일반고객은 1-800-SAMSUNG으로 삼성 고객 서비스에 연락하십시오.

댓글을 달아 주세요

posted by Kwan's 2012. 11. 28. 19:31


익스플로잇을 목적으로 하는 온라인 범죄자들이 새로울 것은 없지만, 그들은 여러분의 보안을 위협하기 위해서 이제 다양한 면에서의 접근을 하고 있습니다.

그들은 여러분의 어플리케이션에 있는 패치 되지 않은 결함만 악용 하는 것은 아닙니다. 그 시도가 실패할 때 그들은 여러분이 스스로 감염시키도록 합니다.

예를 들어, 제가 오늘 받은 이 이메일은 $699.99짜리 Apple의 인보이스인척 합니다.

이 소셜 엔지니어링은 아주 완벽한 것은 아닙니다. 나는 적어도 10년 동안은 Windows 변수 %email%를 알지 못했었습니다. 누가 배후에 있던 이것은 사소한 것에 많은 주의를 기울였습니다.

'View/Download' 링크는 download.jpg.exe가 실행되게 되어 있고, 반면에 “Cancel”과 “Not your order”의 URL은 check.php로 연결되어 있습니다.

똑똑한 소셜 엔지니어링은 여러분이 단지 이것이 무엇인지에 대해 호기심을 갖거나 인증되지 않은 청구에 대해 몹시 화를 내든지 간에, 여러분이 여전히 그 링크들 중 하나를 클릭하고 싶게 합니다.

만약 여러분이 그 링크 중 하나를 클릭하면, IRS 인 것처럼 보여주고 여러분이 지원되지 않는 브라우저를 사용하고 있다고 하는 관련되지 않은 페이지를 보여줍니다.

일단 이 페이지가 표시되면, Blackhole exploit kit의 전형적인 방식으로 Oracle Java와 Adobe Flash Player, Adobe Reader에 대한 익스플로잇을 전달하려고 시도합니다. 만약 이들 중 하나라도 성공하면, 그것은 여러분의 컴퓨터를 Zeus/ZBot 트로이목마에 감염시킵니다.

더욱 나쁜 것은, 만약 이들 중에 어떤 것이 동작을 하지 않으면, 그 이미지는 이들 브라우저의 버전을 “최신버전으로 업데이트”하는 다운로드를 링크하는데, 그 링크는 단지 update.exe 라는 파일을 다운로드합니다.

만약 수신자가 익스플로잇 되거나 그 파일을 다운로드해서 실행한다면, 그들은 Zeus/ZBot 트로이목마에 감염되는데, 그것은 여러분의 키스트로크를 기록하고 은행계좌정보를 훔치도록 설계된 것입니다.

받은 편지함에 보이는 링크들을 클릭하는 것은 언제나 좋지 않은 생각이지만, 우리가 불법 트랜젝션에 대해 벌금을 낸다고 생각하면 우리는 더 많이 그렇게 할 것 같습니다.

그렇게 하지 마십시오. 다른 것들과 마찬가지로 항상 여러분에게 오는 것들에 대해 의심하고 믿을 수 있는 외부 인증방법을 사용하십시오.

문제가 되는 회사의 웹사이트로 가서, 여러분 카드 뒷면이나 청구서 등에 나온 번호로 연락하십시오

우리가 크리스마스 시즌 동안 전형적으로 증가되는 범죄활동을 보고 있기 때문에 이것이 매년 이맘때에 특히 중요한 충고입니다. 경계를 늦추지 마십시오.

댓글을 달아 주세요

posted by Kwan's 2012. 11. 19. 20:04


Windows PC용보다 Mac용 맬웨어가 훨씬 적게 존재한다는 것은 사실이지만, 그것이 전혀 존재하지 않는다는 의미는 아닙니다.

만약 여러분의 Apple Mac이 결국 감염이 된 PC중에 하나라고 한다면, Windows 맬웨어에 비해 훨씬 적은 비율의 Mac 맬웨어에 대한 통계에 집착하는 것은 큰 위안이 되지 않을 것입니다.

소포스랩 전문가들에 의해 드러난 최신 Mac 맬웨어는 OSX/Imuler 트로이 목마의 새로운 변종입니다. 과거에는, OSX/Imuler 맬워어의 초기 변종들이 러시아 슈퍼모델의 상반신 누드 사진을 통해 퍼져 나가거나 장난으로 만들어놓은(boobytrap) PDF파일 속에 깊이 심어져 있었습니다.

이번에 Imuler 트로이 목마 버전은 달라이 라마(Dalai Lama)와 티베트 정부의 주동자들에 대한 타깃 공격에 사용된 것으로 보입니다. 왜냐하면, 그 맬웨어는 티베트 조직원들의 사진들로 구성된 것처럼 보이기 때문입니다.

만약 여러분의 Mac이 이와 같은 맬웨어에 감염되었다면, 여러분의 컴퓨터와 데이터를 눈에 보이지도 않고 알지 못하는 곳에서 효율적으로 원격제어 할 수 있습니다. 그들은 여러분 Mac에서 파일들을 훔칠 수 있고, 여러분의 이메일을 엿볼 수 있고, 더 많은 맬웨어를 여러분의 시스템에 설치할 수도 있습니다.

소포스의 Mac용 무료 안티바이러스를 포함한 소포스 고객들은 2012년 11월 11일 이른 시간부터 OSX/Imuler-B 백도어 트로이목마의 변종으로 감지되고 있는 그 맬웨어에 대해 보호받고 있습니다.

다른 Mac 안티바이러스 제품 사용자들은 그들이 보호받고 있는지 벤더들에게 확인하는 것이 현명할 것입니다.

이 새로운 맬웨어 변종은 넓게 퍼지지는 않을 거지만, Mac에 대한 맬웨어 위협이 사실이라는 또 다른 증거이고, 과소평가되지 않아야 합니다.

댓글을 달아 주세요

posted by Kwan's 2012. 11. 15. 19:42


지난달, 네이키드 시큐리티는 Google이 사용자의 스마트폰에서 안드로이드 맬웨어 앱을 스캔하려 했다는 증거를 밝혀냈습니다.

Google은 그런 기능이 안드로이드 다음 버전인 4.2(젤리빈)에 적용될 것이라고 확인하였습니다.

컴퓨터월드(Computerworld)와의 최근 인터뷰에서, 안드로이드의 엔지니어링 부사장은 OS의 차기 버전에서 서드파티 마켓플레이스로부터 설치된 모든 앱을 스캔할 수 있다고 설명하였습니다.

히로쉬 록하이머(Hiroshi Lockheimer) 부사장은 JR 라파엘(JR Raphael)에게 첫 번째 앱은 공식 Google Play 스토어가 아닌 다른 마켓으로부터 설치되었고, 안드로이드는 그 앱이 “해로운 행동”에 대해 확인되는 앱을 원하는지 사용자에게 물어보는 메시지를 표시할 것이라고 말했습니다.

그래서, 여러분이 Google에게 여러분의 안드로이드 폰에 설치되는 앱을 체크하길 원한다고 하면 어떤 일이 일어날까요?

여러분의 안드로이드 스마트폰은 그 앱에 대한 인식정보(시그너쳐와 동일한)를 Google 서버로 보낼 것입니다. Google은 그것이 이미 화이트리스트에 오른 합법적인 앱인지 알아보거나 아니면 알려진 안드로이드 맬웨어 샘플인지 알아내서 여러분이 그것을 설치하지 못하게 하기 위해 확인을 할 것입니다.

물론, Google은 사용자가 그 설치를 진행할지 여부를 결정하기 전에는 그 앱을 보지 않았을 가능성이 매우 큽니다.

록하이머(Lockheimer)는 컴퓨터월드에 다음과 같이 말했습니다:

'우리는 Play Store에 70만개 어플리케이션의 카탈로그를 가지고 있는데, 그 이상으로, 우리는 나타나고 있는 APK 관점에서 항상 웹 상의 자료들을 스캔 받아오고 있습니다. 어떤 것이 Play Store에 있든지 없든지 간에 우리는 지금 앱 생태계를 잘 이해하고 있습니다.'

과거에 그 문제에 대한 Google의 태도가 무모한 것처럼 표현되었던 것이 있었기 때문에, 맬웨어로부터 안드로이드 사용자들을 보호하기 위해 좀 더 노력하고 있다는 것은 좋은 일입니다.

예를 들어, 몇 년 전 Google의 오픈소스 프로그램 매니저 크리스 디보나(Chris DiBona)는 안티바이러스 벤더들을 '사기꾼과 스캐머들(charlatans and scammers)'로 묘사했고, 안드로이드용 바이러스 보호제품을 판매하는 회사에 근무하는 누군가는 스스로 “수치스러워” 했을 것입니다.

그것은 마치 Google이 이제 안드로이드 사용자용 바이러스 보호제품을 공급하는 것처럼 들립니다.^^

Google이 안드로이드 기기에서의 맬웨어 위협에 대해 확실하게 정신을 차렸다는 것은 좋은 일입니다.

공식 안드로이드 앱 스토어(Google Play)으로부터 맬웨어를 없애려는 그들 자신의 시도는 다양한 레벨의 성공과 맞닥뜨리게 됩니다.

그리고 사이버범죄자들이 인스타그램(Instagram)의 가짜 버전과 앵그리 버드를 포함해 안드로이드 맬웨어를 퍼트리기 위해 서드파티 마켓플레이스를 자주 사용한다는 것은 명확합니다.

Google의 바이러스 체크가 얼마나 좋을 지는 두고 봐야 할 것으로 할 것입니다, 그리고 그 서비스를 채택하는 것은 사용자에게 달려있습니다.

만약 여러분이 안드로이드 맬웨어에 대해 우려하고 있다면, 독립적인 관점으로 소포스의 안드로이드용 무료 안티바이러스 제품을 사용해볼 것을 바랍니다.

관련된 뉴스로, 컴퓨터월드는 안드로이드 4.2가 어떤 앱이 여러분에게서 돈을 빼가는 SMS문자메시지를 보내려고 할 때마다 경고할 것이라고 합니다.

매우 많은 안드로이드 맬웨어가 제작료를 벌기 위해 SMS 메시지에 의존하기 때문에, 나쁜 짓을 할 가능성에 대해 사용자에게 경고하는 방식은 좋은 소식 입니다.

댓글을 달아 주세요

posted by Kwan's 2012. 11. 6. 18:43


역습! 조지아(Georgia)를 염탐하는 동안, 그의 웹캠에 잡힌 해커 피의자

조지아(Georgia)는 악성코드를 웹사이트에 투입하고, 비밀정보를 훔치는 스파이웨어를 설치하며 컴퓨터 네트워크를 공격한 것에 대해 러시아에 근거지를 둔 해커를 오랫동안 비난해 왔습니다.

이제 조지아 정부의 CERT(Computer Emergency Response Team)는 인터넷 공격이 러시아 보안 기관과 연관되어 있었다고 비난하고, 비밀리에 그의 컴퓨터를 해킹하고 그의 비디오 자료를 훔쳤다고 생각되는 해커에게 심지어 보복을 하였습니다.

27 페이지짜리 보고서[PDF]에서, 조지아 정부는 2011년 초에 조지아 뉴스 웹사이트가 취약점을 악용하기 위해 어떻게 해킹을 했는지, 그리고 감염된 컴퓨터를 하이재킹하고 중요한 자료를 검색했던 맬웨어를 어떻게 퍼트렸는지 설명하고 있습니다.

그 맬웨어는 워드 문서를 훔쳤을 뿐만 아니라, 스크린샷을 훔치고 나중에는 네트워크를 통해 퍼져나가도록 기능이 향상되어, 감염된 PC의 웹캠을 통해 대화내용도 엿들었습니다.

CERT-Georgia 리포트에 따르면, 공격자의 지휘통제실에 대한 분석자료에서 적어도 390대 컴퓨터가 공격에 감염되었다고 밝혀졌습니다. 감염된 PC의 70%가 조지아에 기반을 두고 있고, 다른 희생 PC들은 미국, 캐나다, 우크라이나, 프랑스, 중국, 독일, 러시아에서 발견되었습니다.

조지아에서 공격 당한 컴퓨터들은 대부분 보고서에서 지적한 정부 기관과 은행, 핵심 기반시설에 속한 것들입니다.

함정을 놓은 조지아 공무원 
조지아 CERT가 그 맬웨어로 자신의 PC 중 하나를 고의로 감염시켜서, 드라이브에 “조지아 나토(NATO) 협정”이란 이름의 ZIP파일을 심었는데, 그것을 꼭 해커들이 거부하지 못하고 가져가 해킹이 드러날 수 있기를 바랬습니다.

과연 해커는 그 저장된 파일을 훔쳤고 조지아 CERT가 안에 심어두었던 맬웨어가 실행되었는데, 이는 조사관들이 이제 그 해커의 컴퓨터를 컨트롤할 수 있게 되었다는 것입니다.

이것은 그의 PC 앞에서 작업 중인 용의자의 이미지를 캡쳐하게 하는 비교적 어린애들 장난처럼 되어 버렸습니다.

나는 그가 지금 그의 웹캠 덮개를 가리지 않은 것을 후회하고 있다고 장담합니다.

그 해킹 혐의자의 비디오 자료를 캡쳐하는 것 말고도, CERT 연구원들은 피의자의 컴퓨터에서 어떻게 그의 맬웨어를 이용하고 타깃을 감염시키는지에 대한 지침서를 제공하는 러시아인의 이메일 대화내용을 찾았다고 주장합니다. 더군다나, 그 해킹 피의자가 사는 지역, ISP, 이메일 주소와 다른 정보들도 입수했다고 합니다.

이상한 것은, 그 해커들이 사용한 도메인이 러시아 연방 보안국(FSB)과 밀접한 관련이 있는 러시아 총무성(Russian Ministry of Internal Affairs), 군수과(department of logistics) 소유의 모스크바에 있는 주소로 등록이 되었다는 것입니다.

더군다나, CERT-조지아에 따르면, 웹사이트들은 악명 높은 RBN(Russian Business Network)으로 링크가 된 감염된 조지아의 컴퓨터를 컨트롤 하는데 사용되었습니다.

이 해커들 재판에 회부할 것인가?
비록 조지아 정부당국이 공격에 가담한 강력한 피의자인 남자에 대한 많은 정보를 모은 것처럼 보일지라도, 모스크바 당국이 못 본체 한다면 그것은 놀라운 일이 아닐 것입니다.

조지아와 러시아간의 관계는 가장 좋은 때에도 불편하였지만, 이 남자가 정말 러시아 보안 기관과 관련되어 있다고 하면 모스크바 당국이 그에 대해 어떤 조치를 취할지는 상상하기도 어렵습니다.

여러분은 조지아 수사관들의 전체 보고서를 여기[pdf]에서 다운 받을 수 있습니다.

댓글을 달아 주세요

posted by Kwan's 2012. 11. 1. 20:29


페이스북 사용자들은 누군가가 자신의 담벼락에 모욕적인 글을 남겼다고 하는 청하지도 않은 불필요한 이메일에 대한 경계를 늦추지 않도록 주의를 해야 합니다.

안녕하세요,
[OOO가] 여러분의 담벼락에 글을 남겼습니다.
[OOO
는] 'you piece of shit!!!'이라는 욕을 썼습니다.
내용을 보세요 
이 글에 대한 답변은 이 메일로 회신해주십시오.
감사합니다.
페이스북 팀

물론, 여러분이 경고를 받았다면 여러분은 누가 이메일을 보냈던지 진짜 페이스북에서 보낸 것처럼 속인 것에서 아주 어리석은 짓을 했다는 것을 눈치챘을 것입니다. 보낸 사람을 자세히 보면 예를 들어 주소가 아래와 같습니다.

comments@faceb00k.com

하지만 몇몇 컴퓨터 사용자들이 속아서 그 링크를 클릭할 것이라는 위험이 항상 있습니다.

그리고 만약 여러분이 자세한 내용을 보려고 클릭하는 실수를 저지른다면, 여러분은 실제 페이스북 사이트로 이동하는 대신에 소포스에서 Mal/Iframe-W로 감지했던 악성 iFrame 스크립트를 제공하는 웹사이트로 방문하게 될 것입니다. 몇 초안에 여러분의 컴퓨터는 스스로 악명높은 블랙홀 익스플로잇 키트(Blackhole exploit kit)을 통한 맬웨어 위험에 처하게 된 것을 알게 될 것입니다.

하지만, 사이버범죄자들이 연막 활동처럼 공격하기 위해 여러분의 웹브라우저를 페이스북 페이지로 재이동 시켰기 때문에 여러분은 눈치채지 못할지도 모릅니다.

이 페이스북 페이지 소유자가 맬웨어 공격에 어떻게든 관련되어 있다는 암시는 전혀 없습니다

항상 주의를 기울일 것을 명심하십시오. 만약 여러분이 침착하게 대응을 했다면 이런 위협으로부터 보호되었을 것입니다.

만약 여러분이 “Faceb00k” 스펠이 잘못되었다는 것을 알지 못했을지라도, 마우스를 그 링크에 올리면 그것이 진짜 페이스북 웹사이트로 직접 연결하지 않는다는 것을 알 수 있습니다.

분명한 것은, 최신 안티바이러스 소프트웨어를 실행하고 여러분의 컴퓨터를 최신 취약성에 대해패치 하는 것이 매우 중요합니다.

만약 여러분이 여러분의 컴퓨터를 보호하기 위해 적절한 조치를 취하지 않는다면, 어느 날 사이버범죄자들이 여러분을 속여 나쁜 결정을 하게 하거나 위험한 웹사이트를 방문하도록 하게 하는 적절한 소셜 엔지니어링 속임수를 찾게 될지도 모릅니다.

댓글을 달아 주세요