해외 보안 트렌드

요약

- Talos는 한국인 대상 Cisco Korea의 채용공고 Microsoft Word 파일을 이용한 공격에 대해 분석 자료 발표

- 악성 파일 : 악성 MS Word 파일의 내용은 공식 홈페이지의 채용 공고를 그대로 복사한 것. 

- 악성 코드 : MS Word 파일 내 악성 매크로가 존재해 악성 실행 파일 추출함.

(1) 악성 PE32 실행 파일명 : jusched.exe (Java 업데이터 바이너리 파일 이름과 동일)

(2) 악성 실행 파일 추출 경로 : %APPDATA%\Roaming

(3) 악성 코드: 

① 바이너리 : HTTP를 통해 C&C서버에 접속 시도. 감염시스템에 추가 악성 행위를 위한 스크립트나 PE32실행 파일을 

                 추가로 전송 받는 것으로 보임.

② API 난독화 : 공격자는 4개의 API호출을 숨김. API는 프로세서 생성과 네트워크 커뮤니케이션과 연관 됨.  

(4)정상 웹사이트를 C&C서버로 사용 (www[.]secuvision[.]co[.]kr/)

- 과거 공격과 연관성

(1) 2017년 8월, “주요 IT 정보보호 및 보안 업체 리스트.zip” : 

동일 매크로 기능, 

다른 악성 실행 파일 추출(이름은 동일: jusched.exe) 

동일 API 난독화

정상 웹사이트를 C&C서버로 사용(www[.]syadplus[.]com)

(2) 2017 년 11월, “이력서_자기소개서.xls”:

동일 매크로 기능

다른 악성 실행 파일 추출

악성 파일 : 이력서 양식

정상 웹사이트 C&C서버로 사용(ilovesvc[.]com,)

- 동일한 공격방법(tactic), 테크닉(techniques), 공격 순서(procedures)가 다수의 유사 공격에 사용됨. 

- 해당 공격은 오랜 시간 지속되었고 현재도 진행 중인 것으로 보임 .

영향성

정상 파일로 가장한 악성 첨부파일에 대한 주의 필요

참고자료

Talos 분석 : https://blog.talosintelligence.com/2019/01/fake-korean-job-posting.html

요약

-  FaceTime 특징(feature) :  연결 속도를 높이기 위해, 전화를 걸자마자 모든 음성과 영상 데이트 전송은 시작됨. 하지만 음소거 상태임.

수신자가 ‘수락’ 버튼을 누르자마자 음소거 기능 해제되고 영상 통화가 됨.

- 로직 에러: 아이폰의 FaceTime (영상통화)의 영상 통화 기능에 로직 에러 존재.

º 음성 유출 :  발신자가 영상 통화를 수신자에 건 후, 자기 자신을 제 3의 수신자로 추가하면, 영상통화 앱은 이를 컨버런스 콜로 인식해 

 아직 영상통화 수락을 하지 않은 수신자의 음성이 발신자에게 유출 됨. 

º 영상 유출 : 위와 같은 컨퍼런스 콜 요청이 이루어질 때, 수신자가 수신을 거부 또는 무시하기 위해 전원버튼을 누를 시, 

수신자의 영상이 발신자에게 유출 됨

- 영향성 : 발신자에 수신자의 음성과 영상이 전달되는 동안 수신자는 알 수 없음.

- 영향받는 제품: iOS 12.1 탑재 Apple 기기

- 대응방안 : FaceTime 기능을 꺼두는 것이 가장 안전.  

*현재 패치는 발표 되지 않았으며, Apple은 Group FaceTime 기능을 서비스 중지함.

영향성

Apple은 패치를 이번 주 후반에 발표할 예정

참고자료

Apple 공식 사이트 :https://www.apple.com/support/systemstatus/

출처 : https://www.hackread.com/facetime-bug-exposes-audio-video-calls/

  https://www.theguardian.com/technology/2019/jan/29/facetime-security-bug-apple-privacy-iphone

  https://www.theverge.com/2019/1/28/18201383/apple-facetime-bug-iphone-eavesdrop-listen-in-remote-call-security-issue

요약

*Total Donations : 온라인 기부 플러그인. 캠페인과 업무관리 기능 및 기부 진행 사항을 바 그래프로 나타낼 수 있는 옵션 제공. 

- 취약점 : 비인가 사용자가 /wp-admin/admin-ajax.php에 요청을 보내 miglaA_update_me 작업을 호출하여 임의의 WordPress 옵션을 변경 가능.

        관리자 권한으로 새로운 사용자를 등록하고, 등록한 새 계정에 관리자 권한 부여 가능

        (플러그인 설치 시 88개의 ajax작업이 등록되는데, 이 모든 ajax작업에 대해 접근 가능)

- 위 취약점 외에도 ‘비공개/게시되지 않은 포스트에 대한 비인가 접근 허락, SQL 인젝션, 임의의 주소로 test 이메일 발송 허용

  (DoS 공격에 사용 가능)’ 취약점을 가지고 있음

  º Total Donations 플러그인에 대한 모든 취약점을 종합적으로 다루기 위해 CVE코드 부여(CVE-2019-6703)

- 영향성 : 현재 해당 취약점을 이용한 공격이 이루어지고 있음.

- 대응 방안 : 해당 플러그인을 사용하는 웹사이트는 즉시 삭제 필요.

                (해당 취약점에 대한 대응을 위해 플러그인 개발사와 연락을 취하였으나, 회신을 받지 못하였고, 개발사 측에서 패치 발표 등의 

                보안 대응도 하지 않고 있음.)

관련 CVE정보

- CVE-2019-6703

영향성

해당 플러그인을 사용할 시 삭제 요망

참고자료

Wordfence Threat Intelligence 보고서 : https://www.wordfence.com/blog/2019/01/wordpress-sites-compromised-via-zero-day-vulnerabilities-in-total-donations-plugin/

출처 : https://www.securityweek.com/zero-days-wordpress-plugin-actively-exploited

   https://nvd.nist.gov/vuln/detail/CVE-2019-6703

요약

- 지난 금요일 보안 전문가 David Davidson이 Cisco RV320와 RV325의 취약점에 대한 PoC를 공개하자마자 공격 개시

- CVE-2019-1653을 이용해 장비의 설정 정보를 획득한 후 CVE-2019-1652를 이용해 추가 명령어를 실행하여 취약장비을 완전히 제어.

º Cisco Small Business RV32/RV325 라우터 정보 노출 취약점 (CVE-2019-1653) :  원격 공격자는 비밀번호없이 민감한 장비 설정 정보를 획들 할 수 있음

º Cisco Small Business RV320/RV325 라우터 명령어 삽입 취약점 (CVE-2019-1652) : 원격 공격자는 비밀번호없이 장비에 관리자 명령어를 삽입하거나 실행할 수 있음.

- 위의 취약점에 대해 Cisco는 1/23일 패치 발표

- 취약한 장비들의 대부분은 미국 ISP 소속

관련 CVE정보

- CVE-2019-1653 (CVSS Score: Base 7.5)

- CVE-2019-1652 (CVSS Score: Base 7.2)

- PoC: https://github.com/0x27/CiscoRV320Dump

참고자료

Cisco 취약점 공지 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-inject

   https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-inject

출처 :  https://www.zdnet.com/article/hackers-are-going-after-cisco-rv320rv325-routers-using-a-new-exploit/#ftag=RSSbaffb68

    https://badpackets.net/over-9000-cisco-rv320-rv325-routers-vulnerable-to-cve-2019-1653/

    https://www.redteam-pentesting.de/en/advisories/rt-sa-2018-002/-cisco-rv320-unauthenticated-configuration-export

    https://www.redteam-pentesting.de/en/advisories/rt-sa-2018-003/-cisco-rv320-unauthenticated-diagnostic-data-retrieval

요약

- PHP 공식 홈페이지에서 제공하는 PHP PEAR패키지 내 악성코드가 삽입된 정황 확인됨

- 공식파일(go-pear.phar)이 아닌 PEAR패키지 매니저 설치파일이 공식 홈페이지에 12/20 이후부터 게재된 것을 확인.

    * PEAR(PHP Extension and Application Repository):

       PHP언어를 사용 무료 라이브러리를 누구나 검색하고 다운 받을 수 있도록 개발된  커뮤니티 기반 프레임워크

       패키지(오픈소스 라이브러리)는 개발자들이 자신의 프로젝트에 인증, 캐싱, 암호화, 웹 서비스 등 다양한 기능들을 추가하는데 사용됨.

- 현재까지 명확한 사건경위가 밝혀지지 않은 상태

     최근 6개월간 PEAR패키지(go-pear.phar)를 공식 홈페이지(http://pear.php.net)로 부터 다운받았을 경우, 

     악성코드가 포함된 파일일 가능성이 존재함으로 조치필요.

     (Windows/Mac시스템의 경우 PEAR파일을 수동으로 설치해야 함으로 설치파일을 다운 받았을 가능성이 높음)

- 현재 악성 설치파일을 분석 중(포렌식을 통한 정밀조사)이나 자세한 내용은 추후에 공개할 예정

- 대응관련 상세

    ⓐ 12/20이후 : go-pear.phar 파일을 다운로드/설치했고, 'sh', 'perl' 명령어 사용이 가능한 경우 반드시 조치 필요

    ⓑ 12/20이전 : 파일에 대한 무결성을 보장할 수 없는 상태이므로 최근 6개월간 PEAR설치를 위해 공식 홈페이지에서 go-pear.phar파일을 

                        받은 경우 점검필요

- 대응방안 : 보안이 강화된 공식 PEAR파일을 Github에서 다운받아 설치 (https://github.com/pear/pearweb_phars/releases/tag/v1.10.10)

- 예외

    ⓐ PHP 설치 시 PEAR이 함께 설치된 경우 : install-pear-nozlib.phar 파일을 사용했기 때문에 안전

    ⓑ Unix/Linux/BSD에서는 시스템용 PHP 소프트웨어 내 PEAR 다운로드 매니저(go-pear.phar)가 패키징 되어 제공되므로 안전.

  ※ PEAR설치 패키지파일 자체는 문제없음. 최초 PEAR 설치 시 go-pear.phar을 실행하는 과정이 영향을 받음.

     'pear' 명령어를 사용해 다양한 PEAR 패키지를 설치한 경우에도 영향을 받지 않음.

---------------

Update: 1/15이후 - 1/24 간 다운로드 받았을 경우 위험. 1/15이전에는 클린 파일이 올라가 있었음

영향성

공식홈페이지를 통해 php PEAR 패키지로 파일을 수동으로 다운로드 받아 단독으로 설치했을 경우에만 해당 (공식 Github 설치파일 안전, Unix계열 시스템 안전)

현재까지 확인된 악성행위 : peal을 통해 리버스쉘을 생성하여 104.131.154.154로 통신하도록 제작되어 있음 

참고자료

공식사이트 : http://pear.php.net/

공식블로그 : http://blog.pear.php.net/ (현재 잠재적인 공격/취약점을 대비해 공식사이트 내림. 백업으로 다시 새로운 박스를 만들어서 올릴 예정)

공식트위터 : https://twitter.com/pear

출처 : https://thehackernews.com/2019/01/php-pear-hacked.html

요약

- 취약점 : SD-WAN 솔루션의 vContainerDP 취약점이 존재. 인증을 받은 원격 공격자는 Denial of Service(Dos) 상태를 유발 할 수 있고, 

             root 권한으로 임의의 코드 실행 가능.

       (공격자는 취약한 vContainer 인스턴트에 악성 파일을 보내며, 공격으로 인해 해당 인스턴스에 버퍼 오버플로우를 발생하고 최종적으로 

         root 권한으로 임의의 코드를 실행할 수 있는 DoS 상태 유발) 

- 취약원인 : vContainer 인스턴스가 부절절한 영역 검사로 발생.

- 영향받는 제품 : Cisco vSmart Controller Software 중 Cisco SD-WAN Solution 18.4.0 이하 버전 사용 경우

- 대응방안 : 소프트웨어 업데이트 실시

관련 CVE정보

-CVE-2019-1651

-CVSS 3.0 Base Score : 9.9

참고자료

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-sdwan-bo

요약

- 메이저 리눅스 배포판에서  많이 사용되는 Advanced Package Tool(APT) 패키지에 원격코드 실행 취약점 존재.

*APT : 데비안, 우분트를 포함한 다양한 리눅스 배포판에 소프트웨어 설치, 업데이트, 삭제를 담당하는 유틸리티. 

HTTP 리다이렉션은 apt-get 명령어가 리눅스 머신이 미러 가능한 서버에 자동으로 패키지를 요청하는 동안 발생. 

1번째 서버가 실패할 시, apt는 클라이언트가 다음으로 패키지를 요청해야 할 서버 주소를 응답 값으로 돌려 줌.

- 취약점 : 공격자는 APT 유틸리티와 미러 서버간의 HTTP 트래픽을 가로채 악성 코드 삽입이 가능하며 시스템에 변조된 패키지를 설치하고 root 권환으로 임의의 코드를 실행하도록 할 수 있음

- 취약원인 : HTTP 리다이렉션 과정 중 특정 파라미터에 대한 부적절한 검증 발생

- 영향 받는 제품: Debian, Ubuntu

- 대응방안 : 최신 APT 패키지 (1.4.9  이상 버전)으로 업그레이드 

(취약점이 패키지 메니저 자체에 존재 하기 때문에, 업그레이드 중 피해를 막기 위해 아래의 명령어를 이용해 리다이렉트를 disable 할 것을 권고)

apt -o Acquire::http::AllowRedirect=false update

apt -o Acquire::http::AllowRedirect=false upgrade

관련 CVE정보

- CVE-2019-3462

- CVSS 3.0 score : 8.1

- PoC : https://justi.cz/security/2019/01/22/apt-rce.html

참고자료

출처 : https://thehackernews.com/2019/01/linux-apt-http-hacking.html

   https://www.bleepingcomputer.com/news/security/remote-code-execution-bug-patched-in-apt-linux-package-manager/

요약

*Xbash Linux malware : 2018년 최초 등장했으며 다양한 기능을  가짐(랜섬웨어, 가상화폐 마이닝, 자가 전파, DB 삭제, 감염 서버 봇화)  

- Palo Alto Network 보안연구진은 5 종류의 클라우드 보안 제품을 제거하고 감염된 리눅스 서버의 제품을 모니터링 할 수 있는 코드가 추가된 Xbash 리눅스 멀웨어 샘플을 발표

(멀웨어는 호스트의 전체 관리 권한을 획득하여 실제 관리자만이 할 수 있는 보안 프로그램 제거 가능)

- 공격 방법 : 

C&C 서버 생성 -> 쉘 스크립트 다운로드 -> 다른 가상화폐 채굴 프로세서 제거 및 가상화폐채굴 멀웨어 블락 -> 클라우드 보안 제품 제거 -> 코인 마이너에 숨겨진 UPX(Ultimate Packers for eXecutables) 실행 -> 리눅스 ps 명령어에서 멀웨어 프로세서 숨김 -> 멀웨어 파일 날짜와 시간 조정

*UPX : 오픈소스 실행파일 압축프로그램

- 영향받는 제품 : Tencent Cloud와 Alibaba Cloud 개발 보안 제품이 현재 해당 멀웨어 공격으로 제거 가능한 것으로 확인 됨

- Rocke : Xbash멀웨어 사용 그룹으로 Iron 사이버 범죄 조직과 관련 있음(*Iron은 Iron ransomeware 제작 그룹). 감염된 리눅스 서버로 모네로 가상화폐 채굴이 주 공격으로 알려져 있으며 Apache Struts 2, Oracle WebLogic, Adobe ColdFusion의 취약점이 주 목표 대상으로 함. 

- 영향성 : Palo에 따르면, Xbash멀웨어는 특정 클라우드 보안 제품을 목표로 하고 제거할 수 있는 기능을 가진 최초의 멀웨어 임. 

  클라우드 서비스 제공사들은 멀웨어 공격을 막기 위해 자체 클라우드 워크로드 보안 플랫폼(Cloud Workload Protection   Plaforms.,CWPPs)을 개발하였으나 Xbash 탐지에 효과 없는 것을 나타남 

- 변종 Xbash 분석 : https://unit42.paloaltonetworks.com/malware-used-by-rocke-group-evolves-to-evade-detection-by-cloud-security-products/

탐지룰 존재유무

기존 Xbash 멀웨어 탐지룰 : 

- Ransom.Linux.XBASH.A

- Ransom.Linux.XBASH.AB

- Ransom.Linux.XBASH.AC

- Ransom.Linux.XBASH.AD

- Ransom.Linux.XBASH.AE

- Ransom.Linux.XBASH.AF

- Trojan.JS.POWLOAD.AA 

- Trojan.VBS.POWLOAD.AB

- Trojan.Win32.INFOSTEAL.TIDAOCN

- Coinminer.Win32.MALXMR.AX

- Coinminer_TOOLXMR.SMB-WIN64

- Coinminer.Unix.MALXMR.AA

영향성

퍼블릭 클라우드 기반시설을 목표로 하는 멀웨어를 막기에는 에이전트기반 클라우드 보안 솔루션은 한계를 보임

참고자료

Palo Alto Network 보고서 원문 : https://unit42.paloaltonetworks.com/malware-used-by-rocke-group-evolves-to-evade-detection-by-cloud-security-products/

출처 : https://www.securityweek.com/xbash-malware-uninstalls-cloud-security-products