해외 보안 트렌드

요약

- Akamai는 지난 주부터 발생하고 있는 DDoS 공격에 대해 조사 중이며, Fancy Bear(APT28) 와 Armada Collective 해킹 그룹이라 주장하는 

  단체가 DDoS 협박 캠페인을 벌이고 있다고 밝힘.

- 이러한 공격은 과거 DDoS 협박 그룹이 사용했던 수법과 매우 유사. Akamai SIRT팀은 잘 알려진 해킹 그룹을 사칭한 카피캣의 

  소행으로 추정

- 공격 타겟 분야 : 소매, 금융, 은행 등을 포함한 다양한 분야

- 협박 메일 :

① 내용 : Bitcoin 을 지불하지 않을 시, 협박 사실을 외부(미디어) 등에 공개 할 시, 즉시 DDoS 공격

공격으로 인해 타겟 그룹의 평판에 아주 큰 영향을 미칠 것이라고 강조

2Tbps 상당의 DDoS 공격이 가능하다고 주장

② 요구금액:

Armada Collective 주장 그룹 : 5 BTC ~ 10 BTC (지불 기한 후 1일당 5 BTC 증액)

Fancy Bear 주장 그룹: 20 BTC ~ 30 BTC (지불 기한 후 1일당 10 BTC 증액)

금액은 매우 유동적임.

※     메일 내용은 2019년 11월에 성행했던 DDoS 협박 캠페인 내용과 유사함.

(Cozy Bear(ATP29) 그룹 사칭 DDoS 협박 캠페인으로 최소 2 BTC 요구.

Cozy Bear 그룹은 DDoS 공격활동이 잘 알려지지 않은 그룹으로 당시에도 사칭 단체는 여론이 우세했음)

③ 공격 히스토리 : Akamai 고객 중 50 Gb/sec, UDP 기반, ARMS 프로토콜 리플렉션 공격 발생.

영향성

협박메일을 받을 시 절대 요구사항에 응하지 말 것

(비트코인 지불로 공격이 중단 될지 미지수이며 1차 요구에 응함으로써 재 협박 위험에 노출 될 수 있음)

참고자료

출처 : hxxps://malware.news/t/ransom-demands-return-new-ddos-extortion-threats-from-old-actors-targeting-finance-and-retail/42492

2019년 11월 캠페인

: hxxps://blogs.akamai.com/sitr/2019/11/fake-cozy-bear-group-making-ddos-extortion-demands.html

요약

- F5 BIG-IP RCE 취약점 CVE-2020-5902 대응 보안 설정 우회 시도 IP 포착 (Jul 7, 2020 @ 12:39:32.000 (UTC))

- IoC: POST /hsqldb 

- 공격 성공시 백도어 Admin 권한을 가진 계정 생성 

  systems:ABcD007

- TOR로 최초 공격 시도  

185.100.86.182

185.220.101.142

- C2 

175.199.197.167 (한국)

- 추가 공격자 IP  : 144.202.50.212 (미국)

출처 : hxxps://github.com/nccgroup/Cyber-Defence/blob/master/Intelligence/CVE-2020-5902/bypass-iocs.md

요약

- Guardicore 연구진이 2018년 5월을 기점으로 MS-SQL 서버 사용 윈도우를 대상의 장기적 공격 트렌드 발견.

- 공격 형태 : 패스워드 무작위 대입 공격으로 시스템에 침투

→ 원격 명령어 실행이 가능하도록 서버 설정 변경, 

     다수의 백도어와 악성 모듈을 설치 (ex 원격 접근 툴(RAT), 모네로(XML), 볼라(VDS) 등의 가상화폐채굴기)

- 캠페인 이름 : the Vollgar 캠페인 (Vollar 가상화폐 이름 + 단어 Vulgar(저속한)를 합성해 명칭)

- 캠페인 규모 : 1일 평균 2000 ~ 3000대 이상의 DB 감염

- 캠페인 대상 : 헬스케어, 항공, IT, 통신, 고등 교육 분야 등을 포함한 다양한 산업 분야를 타겟.

- 최초 공격 : 2018년 5월 최초 발견 당시 감염된 것으로 추정된 약 120개 가량의 중국 소재 IP로부터 시작. 

     대부분의 IP가 짧은 기간 이용되는 단기 공격 활용에 그쳤으나, 일부 공격 IP 는 3개월 이상 지속적인 공격 악용되기도 함

- 감염 기간 : 60% - 2일 이하의 단기 공격에 이용됨 , 20% : 최소 1주 - 2주간 공격에 이용, 10% : 악성코드에 의해 재 감염 

- 대응 방법 : DB서버의 외부 노출 제한, 감염 시스템 탐지 스크립트(hxxps://github.com/guardicore/labs_campaigns/tree/master/Vollgar) 및 

                 IOC로 감염 여부 확인.

- IOC 

① Domain

a.vollar.ga

aa.vollar.ga

b.vollar.ga

c.vollar.ga

ca.vollar.ga

d.vollar.ga

da.vollar.ga

f.vollar.ga

h.vollar.ga

ja.vollar.ga

k.vollar.ga

m.vollar.ga

ma.vollar.ga

n.vollar.ga

na.vollar.ga

o.vollar.ga

oa.vollar.ga

ob.vollar.ga

s.vollar.ga

sa.vollar.ga

t.vollar.ga

ta.vollar.ga

v.vollar.ga

x.vollar.ga

xa.vollar.ga

z.vollar.ga

② IP

183.131.3.196

192.37.90.118

39.109.116.162

154.221.26.108

103.53.211.94

185.172.66.203

51.105.249.223   *Microsoft Limited UK

154.211.14.66

154.221.19.221

145.239.23.7

180.97.220.5

207.180.202.208

참고자료

출처 : hxxps://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/

최근 이슈가 되고 있는 Zoom의 개인정보 보호 및 취약한 보안 관련 논쟁에 대해 정리한 내용입니다. 

1. 개인정보 보호

1)  개인정보 트래킹

지난 3/26일, 마더보더지는 모바일 iOS Zoom 사용자의 정보가 페이스북에 제공된다고 보도(페이스북 계정이 없는 사용자의 정보까지 페이스북으로 전송되 논란의 소지가 큼)

트래킹(Tracking) 했던 정보 : 사용자의 디바이스 정보, 시간대(타임존), 현재 위치한 도시, 사용 통신사업자 이름 등이며 

 이 정보는 사용자 맞춤형 광고에 사용 

-> Zoom 측 :  현재 트래킹 소프웨어(Facebook SDK) 를 제거하는 중이라고 발표 

2) 학생 개인정보 보호

많은 학교에서 Zoom을 온라인 교육에 사용하는데, 학생들의 개인 정보를 어떻게 사용하느지에 대한 유려 표명.

- 일부 지역에서는 원거리 교육 플랫폼으로 Zoom 사용을 금지 함

-> Zoom 측 : 교육용 개인정보 보호/학생 개인정보 보호 관련 연방 주 법에 입각하여 정보를 수집한다고 밝히고, 3/29 개인정보보호 정책 업데이트 

2. 취약한 보안 및 미흡한 취약점 관련 대응

- 코로나사태로 인해 폭발적으로 증가한 사용량과 이에 따른 Zoom 미팅 시 오가게 되는 민감한 정보들을 보호하기에는 Zoom의 보안 능력이 

  미흡하다는 평가를 받고 있음

1) 소극적인 취약점 관련 대응

- 보안 전문가가 비인가 제 3자에 의한 Zoom 웹캠을 컨트롤 할 수 있는 취약점을 발표했으나, 이에 대한 조치가 신속하게 이루어지지 않음.

the Electronic Privacy Information Center 리서치 기관이 연방 거래위원회에 공식적으로 컴플레인을 제기 된 후 취약점에 대한 조치가 이루어짐

(취약점 공개 후 몇 달 뒤 패치가 발표되는 등 Zoom 관련 취약점이 공개 될 때 이에 대응 하는 속도가 비교적 매우 느림)

2) Zoombombing 

: 최근 Zoom의 화면 공유 기능을 하이재킹 해, 해커가 Zoom 미팅에 참여하여 인종차별, 성희롱, 성인물 컨테츠 등을 게재하는 공격이 일어나고 있음

공격 패턴 : 

- 가짜 Zoom 도메인으로 사용자들을 접속하게 만들어 계정 정보를 탈취 후, 이를 Zoom 미팅을 염탐하는데 이용.

- Check Point사의 보고에 따르면, 2020년 이후 새롭게 등록된 가짜 Zoom 도메인 수는 약 1700여개 이며, 최근 몇 주 사이 이 수가 가파르게 상승 중. 

  (25%에 달하는 도메인이 지난 주에 생성됨, 이 중 4%가 악성 도메인으로 판별, *Fake list에 대한 정보는 현재 공개 되지 않음)

-> Zoom 측 : 전화로 미팅에 초대될 시 암호 인증 단계 추가, 초대한 참석자 및 회사 이메일 주소를 가진 사람만 미팅에 참여할 수 있는 기능을 추가

3. 참고자료

hxxps://threatpost.com/zoom-scrutinized-as-security-woes-mount/154305/

hxxps://www.nytimes.com/2020/03/30/technology/new-york-attorney-general-zoom-privacy.html

마더보더지 원문 :  hxxps://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account

Check Point사 가짜 Zoom 도메인 통계 : hxxps://blog.checkpoint.com/2020/03/30/covid-19-impact-cyber-criminals-target-zoom-domains/

요약

- 취약점 : Zoom 윈도우 클라이언트의 채팅 기능에 UNC 패스 삽입 취약점이 존재. 해커는 링크를 클릭한 사용자의 윈도우 크리덴셜을 탈취 할 수 있음.

- 취약 원인 : 채팅 시 주고 받는 모든 URL은 하이퍼링크로 변환되어 채팅 멤버 간 클릭으로 해당 페이지를 열수 있게 되어 있는데, 

                 Zoom 클라이언트는 윈도우 네트워킹 UNC(Universal Naming Convention) 패스 또한 클릭 가능 한 링크로 변환 해줌

- 정보 노출 과정: 

① 사용자가 UNC 경로 링크를 클릭

② 윈도우가 파일공유 SMB 프로토콜을 이용해 원격사이트에 접속해 해당 파일을 열고자 시도

③ 윈도우의 초기 설정에 따라 윈도우는 사용자의 로그인 이름, 무료 앱 등을 이용해 쉽게 풀 수 있는 NTLM 패스워드 해시를 보냄

④ 사용자 로그인 이름 및 패스워드 노출 

- 영향성 : 현재 상용되고 있는 그래픽 카드와 CPU의 성능으로는 쉬운 패스워드의 경우 16초 정도 밖에 걸리지 않을 정도로 크리덴셜 탈취가 매우 쉬움.

  해당취약점을 이용해 로컬 컴퓨터에 프로그램 또한 실행할 수 있음 

 (단, 프로그램 실행 전 사용자의 허가 메시지창이 뜨기 때문에 실행 전 사용자가 인지 가능)

- 대응 방안 : UNC 패스의 하이퍼링크로 전환을 제한해야 함.

      현재까지  Zoom에서는 해당 취약점과 관련해 공식적인 답변 없음.

- 임시 방안 : 

① Group Policy Editor(로컬 그룹 정책 편집기) - NTML 크리덴셜을 자동으로 원격 서버에 보내는 설정을 Deny All로 변경 

Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options → 

Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers → Deny All로 설정

컴퓨터 구성 → Windows 설정 → 보안 설정 → 로컬 정책 → 보안옵션 → 네트워크 보안 : NTML 제한: 원격 서버로 나가는 NTML 트래픽 

→ ‘모두 거부’로 설정 

② Windows 10 사용자 경우 레지스트리 설정 : RestrictSendingNTLMTraffic 값 생성 

Group Policy Editor 접근이 불가하여 Windows 레지스트리에 해당 정책 설정이 필요

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]

"RestrictSendingNTLMTraffic"=dword:00000002

참고자료

출처 : hxxps://www.bleepingcomputer.com/news/security/zoom-client-leaks-windows-login-credentials-to-attackers/

요약 

-    openpilot을 지원하는 자동차는 대부분 CAB-bus 를 이용해 통신하는데, 최근 생산되는 자동차는 FlexRay 프로토콜을 사용함. 

EPS를 조정하는 FlexRay 버스의 정상적인 비트를 조작하고 이를 panda 인터페이스 통해 전송하여 조향 시스템을 컨트롤 할 수 있음

- 주요 용어 설명:  

*openpilot : 오픈소스 운전자 보조 시스템으로, 적응형 크루즈 컨트롤, 자동 차선 중앙 유지 장치, 전방추돌경고, 차선 이탈 경고 등의 기능을 제공함.

*CAN-Bus(Controlled Area Network Bus) : 차량 간 데이터 공유 시 사용되는 커뮤니케이션 프로토콜

*FlexRay : Daimler, BMW, Motorola, Philips가 공동 개발한 프로토콜로 CAN 프로토콜 보다 빠르고, 안정적임. 

  유럽 자동차 브랜드 Audi, BMW, Mercedes 등이 최근 생산된 자동차에 사용되고 있음   

  특징 : 기존 CAN과 비교할 때 타이밍(timing)이 매우 엄격함

  (전자제어장치 (Engine Control Unit, ECU)가 보내는 모든 메시지의 전송 스케줄이 정해져 있음)

*Panda : OBD-II 포트에 부착하여 차량의 다수 종류의 버스(CAN/LIN 등)에 액세스/ 모니터링 가능

- 테스트 가정 : 조향에 관한 명령을 주입하기 위해서는 차선유지도움장치(Lane Keeping Assist System, LKAS)가 보내는 특정 메시지를 차단하고 

                   임의의 명령어를 삽입할 수 있음.

- 테스트 요건 

A. 대상 : 운전자 보조 패키지 탑재 Audi Q8 (*Q8은 FlexRay를 사용하는 Audi, Volkswagen사의 다른 모델과 매우 유사하나, 

                LKAS 카메라를 관리하는 운전자 보조 전자제어장치가 운전석 밑에 따로 매립되어 있는 차이점이 있음)

    *운전자 보조 패키지 : 적응형 크루즈 컨트롤, 차선유지도움장치 포함.

B. PoC :  

- 구현 목표 : EPS 모듈 쪽에 FPGA 하드웨어를 설치하고 자체적으로 특정 비트를 조작하여 CAN 메시지를 전달하면, 

                 할당된 FlexyRay 타이밍에  메시지를 전달하여 조작을 수행 

① 전자식 파워 조향장치(Electric Power Steering, EPS) 쪽의 FlexRay 버스 앞 단에 프록시 하드웨어를 설치하여 EPS 쪽으로 들어가는 

    모든 신호를 제어.

② FlexRay 메시지 리버스 엔지니어링을 통해 차선유지도움장치의 조향 명령이 프레임 ID 65에 속한다는 것을 확인 

     *Panda의 OBD-II 포트를 통해 LKAS CAN 메시지를 읽어 변경해야 하는 특정 비트를 알아내고 Bit를 만들어 보낼 수 있으나, 

     이를 통해 직관적인 조작은 불가능.

③ 일부 바이트를 조작한 패킷을 EPS로 전송 

④ 조향장치 컨트롤 성공

참고자료

출처 : hxxps://medium.com/@comma_ai/hacking-an-audi-performing-a-man-in-the-middle-attack-on-flexray-2710b1d29f3f

요약

- 2018 년말부터 2019년 사이의 김수키(Kimsuky) 해킹 그룹의 활동을 분석한 결과 

- 특정 IP 대역을 사용하고 기반시설을 구축 시 도메인, C&C 서버 폴더 네이밍의 특징 발견.

A. 사용 IP 주소 특징

- 활용된 주요 IP대역 : 185.224.137.0/23, 185.224.138.0/23

※185.224.137.164 : 2018년 12월 - 2020년 1월사이 최소 24개의 악성 도메인의 주소로 활용

위 IP를 사용한 악성 도메인과 사용 기간

user-daum-centre.pe.hu (2019-04-15 ~ 2019-05-21)

rrnaver.com (2019-08-21 ~ 2020-01-01)

nortice-centre.esy.es (2020-01-02 ~ 2020-01-28)

kakao-check.esy.es (2019-06 ~ 2019-11)

B.  사용 Domain 특징 

- pe.hu - 다수 서브도메인 사용, Kabar Cobra, Kitty Phishing, WildCommand 등의 공격에 활용

- hol.es - 다수 서브도메인 사용, WildCommand, MoneyHolic, MyDogs 악성코드, Red Salt 공격에 사용

- esy.es - 다수 서브도메인 사용, WildCommand와 MoneyHolic 간 인프라 설정강화, MyDogs 악성코드, Red Salt 공격에 활용

- 890m.com - 다수 서브도메인 사용, WildCommand, KONNI 그룹의 다양한 공격에 활용

북한 기반 다른 해킹 그룹(APT37/Reaper) 도 해당 도메인 사용 (2019)

ex) hol.es, 890m.com 

C. 기반 시설 설정 관련 특징 

1) 네이밍 

① 크리덴셜 피싱에 활용할 특정 기관, 단체의 이름을 활용

② 한국에서 사용되는 특정 소프트웨어의 이름과 일반, 업무, 사업관련 단어를 조합

③ 순차적 번호를 일반 단어와 조합하여 정식 이메일 서비스, 도메인을 사칭

2) 주로 사용된 C&C 폴더 네이밍

① /Est/up, /Est/down

② /bbs/data/temp

③ /bbs/data

④ /bbs/filter

참고자료

출처 : hxxps://www.pwc.co.uk/issues/cyber-security-data-privacy/research/tracking-kimsuky-north-korea-based-cyber-espionage-group-part-1.html

요약

① 독일 연방 보안국은 독일 연방 정부 메일을 가장한 Emotet 공격에 대해 주의할 것을 권고

- 최근 며칠 간 독일 연방 정부 메일을 사칭한 Emotet 공격에 일부 독일 행정관련 시스템이 감염 되었으나, 피해는 없었음

- 공격 형태 : 

감염 되었던 시스템의 실제 독일 정부 관료의 이름으로 악성 첨부파일, 링크가 포함된 스팸 공격이 활발히 이루어지고 있어 피해가 우려됨

피해 시스템의 이메일 수신 목록에 이미 존재하는 메일의 회신 형태의 스팸 메일 또한 배포되고 있어 주의 필요.

- 대응 방안 : 이메일 클라이언트에 표기되는 이름 외에도 이메일의 실제 발신자 이름을 반드시 확인할 것.

              (클라이언트 표기 이름과 이메일 주소의 이름이 다른 경우 의심. 또한 스팸의 경우 본문 내 오타 혹은 문서 양식이 조잡한 경우가 많음)

②  크리스마스 파티 초대장 가장한 Emotet 공격 기승

- 과거 할로윈, 추수 감사절 파티 초대장을 보낸 공격과 유사하게 크리스마스 시즌에 따라 공격 개시

- 크리스마스 파티 준비 목록을 참고해 파티에 참석할 것을 본문에 기재. 수신자들이 악성 파일을 열도록 유도함.

- 악성 파일 이름 : ‘Christmas party.doc’, ‘ Party menu,doc’

- 스팸 이메일 제목 : 

Christmas party.

Christmas Party next week.

Christmas Party.

Christmas party

Christmas Party next week

holiday schedule 2019-2020

Our holiday schedules

holiday

holiday schedule

탐지룰 존재유무

- Trendmicro : 

Downloader.VBA.TRX.XXVBAF01FF005

Troj.Win32.TRX.XXPE50FFF031

TrojanSpy.Win32.EMOTET.SMCRS

TROJ_EMOTET_GD270036.UVPM

HTTP_EMOTET_REQUEST-5

HTTP_EMOTET_REQUEST-4

- Ahnlab :  Trojan/Win32.Emotet.R200618

- McAfee : 

Generic Application Hooking Protection

Generic Application Invocation Protection

Powershell Command Restriction – EncodedCommand

CMD Tool Access by a Network Aware Application

GenericRXBK-UO!ED3F5BCAF167

- Symantec: 

System Infected: Emotet Activity 2

System Infected: Emotet Activity 3

System Infected: Emotet Activity 4

System Infected: Emotet Activity 6

System Infected: Emotet Activity 8

System Infected: Emotet Activity 11

System Infected: Emotet Activity 12

System Infected: W32.Emotet.B Activity

Web Attack: Emotet Download 2

영향성

유사 이메일을 수신 시 바로 삭제 요망

참고자료

출처 : hxxps://www.bleepingcomputer.com/news/security/attackers-posing-as-german-authorities-distribute-emotet-malware/#.Xfq1UJ1vorE.twitter

  hxxps://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Spam-Bundesbehoerden_181219.html

독일 연방 보안국 공지원문 : hxxps://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Spam-Bundesbehoerden_181219.html