요약
-강력한 NSA(National Security Agency) 공격툴에 대한 패치가 풀린 지 1년이 지났지만 아직도 수 십만 대의 컴퓨터가 공격에 취약한 것으로 나타남.
-유출된 공격툴은 랜섬웨어를 퍼뜨리고, 가상화폐 마이닝 공격을 하는데 사용됨.
-이를 활용해 고도화된 프록시 네트워크를 개발하는데도 활용된 것을 포착 : UPnProxy취약점 공격
-기존의 UPnProxy 취약점 공격은 NAT(network address translation)룰에 의해 방어가 가능했지만, 이를 뛰어 넘어 라우터 방화벽을 통과해 취약한 컴퓨터에 대한 공격이 가능
-공격툴 :
①EternalBlue :NSA로부터 유출된 공격툴로 모든 Windows버전에 공격 가능. 패치가 풀린 후에도 WannaCry와 NotPetya등의 공격 등에 사용됨
②EternalRed : Samba와 Eternal계 공격을 Linux 기반 컴퓨터 공격. SambaCry라는 가상화폐 마이닝 공격에 사용됨.
-공격방법: UPnProxy가 취약한 라우터의 포트에 매핑(mapping) 되도록 조작될 때, 위의 공격툴들은
SMB(대부분의 컴퓨터가 사용하는 일반적인 네트워킹 프로토콜)을 사용한 서비스 포트를 공격 함.
2개의 툴을 함께 사용해 공격하면 더욱더 많은 취약장비에 프록시 네트워크를 퍼트릴 수 있음.(이 같은 공격을 EternalSilence 라고 칭함)
-Akamai 연구진에 따르면 이와 같은 공격에 감염된 장비는 45,000 이상이며, 100만대의 컴퓨터가 명령 대기 중임.
-Eternal 툴을 이용한 공격은 탐지가 어려워 관리자가 감염 여부를 인지하기 어려움.
-라우터의 펌웨어를 교체하거나 UPnP 사용을 제한이 임시적인 대응 방안이 될 수 있지만 확실한 방법으로는 라우터를 교체해야 함.
관련 CVE정보
-EternalBlue (CVE-2017-0144)
-EternalRed (CVE-2017-7494)
탐지룰 존재유무
-벤더룰 : SMB1_Windows_Overflow_02(CVE-2017-0144), Samba_IsKnownPipename_Exec(CVE-2017-7494)
영향성
API를 통해 다른 어플리케이션과 데이터에 접근이 가능해 해커들에게 점점 더 매력적인 공격 목표가 되고 있어 API관련 보안 대책 필요
참고자료
Akamai연구본문: https://blogs.akamai.com/sitr/2018/11/upnproxy-eternalsilence
출처: https://techcrunch.com/2018/11/28/hackers-nsa-eternalblue-exploit-hijack-computers/
'Incident Report' 카테고리의 다른 글
| [2018.12.05] 중국, 새로운 랜섬웨어 기승. 100,000대 이상의 PC 감염 (0) | 2019.03.13 |
|---|---|
| [2018.12.03] 50,000개의 프린터 해킹으로 PewDiePie YouTube 채널 홍보 (0) | 2019.03.13 |
| [2018.11.28] 최근 미국우체국(USPS), Amazon 데이터 유출은 API 보안 허점과 연관 (0) | 2019.03.13 |
| [2018.11.27] 새로운 리눅스 root 패스워드를 탈취하고, 백신을 우회하는 가상화폐 채굴 멀웨어 등장 (CVE-2016-5195,CVE-2013-2094) (0) | 2019.03.13 |
| [2018.11.22] 아마존 사용자 일부의 이름, 이메일 주소 노출 (0) | 2019.03.13 |