본문 바로가기

전체 글

벌새::Security 2020. 8. 12. 20:37 Internet Explorer 웹 브라우저 제로데이 취약점(CVE-2020-1380) 패치 소식 (2020.8.12) 2020년 8월 12일(한국 시간 기준)에 Windows 업데이트 기능을 통해 배포가 시작된 2020년 8월 마이크로소프트(Microsoft) 정기 보안 업데이트에서는 2건의 제로데이(0-Day) 보안 패치가 포함되어 있습니다. 1. CVE-2020-1380 : 스크립팅(Scripting) 엔진 메모리 손상 취약점 ■ 영향을 받은 소프트웨어 버전 : Internet Explorer 11 ▷ Internet Explorer and Windows zero-day exploits used in Operation PowerFall (2020.8.12) Kaspersky 보안 업체를 통해 최초 탐지가 확인된 CVE-2020-1380 제로데이 취약점은 2020년 5월경 Internet Explorer 웹 브라우저를..
벌새::Analysis 2020. 8. 5. 21:47 견적서 메일에 첨부된 HTML 피싱(Phishing) 파일 주의 (2020.8.5) 최근 국내 기업에서 발송한 것처럼 작성된 견적서 메일을 통해 첨부된 압축 파일 내의 HTML 파일을 열도록 유도하여 다음(Daum) 포털 계정 정보를 수집하는 피싱(Phishing) 메일이 확인되어 살펴보도록 하겠습니다. "RE: P-PROJECT 1,2안 견적서 송부의건" 제목으로 수신된 메일에서는 국내 특정 업체명 및 직원 정보를 추가하여 정상적인 메일처럼 작성되어 있습니다. 하지만 업체명과 일부 단어에서 오타가 있는 점을 봐서는 한국어를 모국어로 사용하는 인물은 아닐 것으로 추정됩니다. 첨부된 2개의 ZIP 압축 파일(RE P-PROJECT 1,2.zip , RE P-PROJECT 1,2,3.zip ) 내에는 HTML 파일이 각각 존재하며 해당 파일은 모두 동일한 파일입니다. 압축 파일 내의 HTM..
벌새::Analysis 2020. 8. 2. 14:04 스타코덱(StarCodec) 설치로 인한 부팅 시 팝업 광고 생성 문제 (2020.8.2) 최근 블로그에서 공지를 통해 안내하고 있는 악성코드 및 광고 프로그램 삭제 문의를 통해 접수된 2~3일에 1회 수준으로 Windows 부팅 시 광고 팝업창이 생성되는 문제가 있다는 제보를 받아서 로그 파일을 확인해 보았지만 광고 목적의 광고 프로그램이나 악성코드는 발견되지 않았습니다. 하지만 설치된 프로그램 목록을 확인하던 중 스타코덱(StarCodec) 프로그램이 설치되어 있어서 문의하신 분의 증상과 동일한 동작이 있는지 확인해 보았습니다. 스타코덱 프로그램 설치 중 제공되는 구성 요소 기본값에서는 "일반 - 기타 - 광고로 스타코덱 제작 지원" 항목이 기본 체크되어 있으며 기본 설정값 그대로 설치를 진행하였습니다. 이후 설치 단계에서 추천 프로그램(제휴 프로그램)이 3종이 포함되어 있었으며, 테스트 ..
벌새::Analysis 2020. 7. 25. 13:31 가짜 티스토리 지원 메일로 발송된 메일 업그레이드 안내 주의 (2020.7.25) 이전에도 한 번 살펴본 티스토리(Tistory) 계정 탈취 목적의 피싱(Phishing) 메일이 최근 티스토리 고객센터 메일 주소처럼 위장하여 유포된 것이 확인되어 살펴보도록 하겠습니다. ▷ "storage.googleapis.com" 도메인을 이용하는 티스토리 계정 수집 메일 주의 (2020.5.4) "EMAIL UPGRADE FOR ○○○" 제목으로 수신된 메일 발송자는 티스토리(Tistory) 고객센터 메일 주소로 위장하고 있으며, 메일 박스 용량이 거의 풀(Full) 상태이므로 "Increase your mailbox size" 링크를 클릭하도록 유도하고 있습니다. 연결된 사이트는 접속자의 이메일 주소값이 포함되어 있으므로 username (사용자 이름)은 기본적으로 작성되어 있으며 사용자가 티스..
벌새::Analysis 2020. 7. 21. 20:24 가짜 WeTransfer 다운로드 페이지를 이용한 계정 탈취 메일 주의 (2020.7.21) 이번에 살펴볼 계정 탈취 목적으로 수신된 메일은 WeTransfer 파일 전송 서비스로 위장한 가짜 사이트를 구글(Google) FirebaseStorage 서비스를 이용하여 구축한 후 접속을 유도하여 비밀번호를 입력하도록 유도하는 방식입니다. "tom.perfectionmachinery@aol.com sent you files Via WeTransfer" 제목으로 수신된 메일을 살펴보면 WeTranser 서비스에 2개의 PDF 문서 파일을 업로드되어 있으므로 7일 이내에 다운로드 링크를 클릭하여 접속하도록 유도하고 있습니다. 해당 다운로드 링크(Download link)에서는 WeTransfer 주소로 표시되어 있지만 실제 URL 주소 연결은 FirebaseStorage 서비스를 통해 구축둔 웹 페이지..
벌새::Security 2020. 7. 15. 19:39 Windows DNS 서버에서 발견된 SIGRed 취약점(CVE-2020-1350) 패치 소식 (2020.7.15) 2020년 7월 15일 공개된 마이크로소프트(Microsoft) 보안 업데이트 중 Check Point 해외 보안 업체에서 발견한 Windows DNS 서버 원격 코드 실행 취약점(CVE-2020-1350)에 대한 보안 패치가 포함되어 있습니다. DNS(Domain Name System)는 특정 도메인 주소를 DNS 서버에 질의할 경우 DNS 레코드 정보를 확인하여 IP 주소가 아닌 문자로 구성된 URL 주소로 응답하여 연결을 지원해주는 것을 의미합니다. 그런데 DNS 서버에 공격자가 악의적인 DNS 쿼리 요청을 파싱하여 응답하는 과정에서 Heap 기반 Buffer Overflow가 발생하여 서버 제어권을 공격자가 얻을 수 있는 문제가 있으며, 이를 통해 제어권을 획득한 공격자는 웜(Worm)처럼 빠른 ..
벌새::Computer & IT 2020. 7. 12. 13:12 AMD 칩셋(Chipset) 드라이버 설치 후 설치 파일 제거 방법 AMD CPU를 사용할 경우 필수적으로 설치가 필요한 AMD Chipset 드라이버 프로그램이 있으며, 해당 프로그램은 업데이트 시마다 사용자가 설치 파일을 다운로드 및 실행하여 업데이트를 진행해야 합니다. 다운로드된 AMD Chipset 드라이버 설치 파일의 용량은 약 50MB 수준이며, 해당 파일을 실행하여 다음과 같은 다양한 구성 요소를 선택하여 설치를 진행하게 됩니다. 설치가 진행될 경우 각 소프트웨어에 대한 설치 파일들이 아래와 같은 위치에 생성되어 실행되어 최종적으로 AMD Chipset Software 프로그램은 "C:\Program Files (x86)\AMD\Chipset_IODrivers" 폴더 내에 다수의 파일 및 폴더로 구성된 드라이버가 생성됩니다. C:\AMD C:\AMD\Chip..
벌새::Analysis 2020. 7. 4. 18:01 ISO 가상 이미지 파일이 첨부된 카탈로그 악성 메일 유포 주의 (2020.7.4) 악성 파일이 첨부된 메일 발송을 통해 시스템 감염을 유발하는 공격 방식 중 가상 이미지 파일을 이용하는 사례를 이전에 소개한 적이 있었습니다. ▷ IMG 가상 이미지 파일이 첨부된 견적 메일 주의 (2020.4.27) 이번에는 견적 관련 카탈로그(Catalogue) 파일로 위장한 ISO 가상 이미지 파일이 첨부된 악성 메일이 국내에서 유포된 사례를 통해 살펴보도록 하겠습니다. 해당 메일에서는 제품에 관심이 있다며 첨부된 카탈로그 파일을 열어보도록 유도하고 있으며, 첨부 파일은 다음과 같은 형태로 구성되어 있습니다. 메일에서 다운로드한 CATALOGUE RMK TRADING LTD_PDF.iso 가상 이미지 파일을 압축 프로그램에서 지원하지 않을 경우 Windows 탐색기를 통해 열 경우 위와 같이 DVD..

티스토리툴바