해외 보안 트렌드

요약

- 미국 국가 안보국(National Security Agency)이 개발해 사용 중이던 GHIDRA 툴을 오는 3월 샌프란시스코에서 열리는 RSA 컨퍼런스에서 공개 할 예정.

- 공개 후 NSA 공식 GitHub 계정에서 다운로드가 가능.

- GHIDRA:

지난 몇 년간 개발이 되어 왔으며, 이미 몇몇 정부 기관에서 의심스러운 소프트웨어나 멀웨어의 분석에 사용 중.

2017년 3월 Vault7이 발표한 WikiLeaks에서 처음 소개 됨

- GHIDRA 특징 : Java 기반, GUI(Graphical user interface) 채택, Windows, Mac, Linux 호환. Windows, Mac, Linux, Android, iOS 등의 메이저 운영체제의 바이너리를 분석 가능. 모듈 아키텍처를 사용해 페키지 추가 시 기능 추가 가능. 상용 툴의 거의 모든 기능을 다 가지고 있다고 주장함.

- GHIDRA vs. IDA :

IDA : 유명한 리버스 엔지니어링 툴로 라이선스 가격이 몇 백만원에 달함.

GHIDRA가 더 느리고, 버그가 많다는 후기. 하지만 GHIDRA는 오픈소스로 유지,보수, 업그레이드 면에서 큰 장점이 있을 듯 

     *NSA는 지속적으로 다양한 오픈 소스 툴을  제공한 바 있음. 가장 성공적인 툴로는 Apache NiFi(웹 어플리케이션 간 대량의 데이터를 자동으로 전송)가 있음.

     Technology Transfer Program(TPP)의 일환으로 32개의 오픈소스 툴을 공개함. 현재 공식 GitHub 계정도 운영.

참고자료

NSA GitHub계정: https://github.com/nationalsecurityagency

IDA: https://www.hex-rays.com/products/ida/index.shtml

출처 : https://www.zdnet.com/article/nsa-to-release-a-free-reverse-engineering-tool/

  https://www.securityweek.com/nsa-release-reverse-engineering-tool-free-public-use?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

요약

- 해커그룹 Dark Overlord, 9/11테러와 관련된 650건 문서 1차 공개. 

- 자신들의 비트코인 주소로 비트코인이 모금될 시 문건 공개할 것을 예고 했었음. 비트코인 수집액에 따라 순차적으로 더 민감한 문건을 공개 

- 취득 경위: 1월 1일 9/11테러와 관련된 민감한 문건을 Silverstein Properties라는 로펌에서 훔쳤다고 주장

(Silverstein Properties는 Hiscox Syndicates Ltd, Lloyd’s of London 을 포함함)

- Silverstein Properties에게 데이터 유출과 관련해 비트코인을 송금하도록 협박함.

- Hiscox는 데이터 유출을 시인했지만 Lloyd’s와 Silverstein은 유출관련 사실을 부정함

- Dark Overlord : 은행, 보험회사, 성형 외과, Netflix와 같은 대형 미디어 그룹을 목표로 하는 악명 높은 해커 집단으로 알려짐

영향성

현재까지 공개된 문건 가운데 특이사항은 없는 것으로 나타남

참고자료

출처: https://www.hackread.com/dark-overlord-hackers-leak-secret-9-11-files/

요약

- 다크웹의 내용을 검색엔진을 사용해 손쉽게 탐색 가능

- 개발자는 최근 5년간 140,00개 이상의 다크웹 사이트에서 14억개의  다크웹 링크, 4억5000만개의 문서를 인덱싱 함.

(이 중에는 390만개의 신용 카드 정보도 포함 됨)

- 검색엔진 특성상 악용될 소지가 있어 라이선스 취득 신청의 30~40%는 거절 됨.

- 차후 AI 기능을 접목하여 아동 범죄 피해자 신상, 저작관 문제, 무기 제조 등과 관련된 내용에 대한 주의 경보 기능을 추가할 예정.

- 기술과 관련해 공식적인 정보는 없는 상황 

영향성

    다크웹의 데이터 또한 쉽게 검색 가능해 질 것이라며 많은 관심을 받고 있음.

참고자료

Aleph Network 웹사이트 : http://www.aleph-networks.com/en

출처: https://www.securityweek.com/french-startup-offers-dark-web-compass-not-everyone

  https://technology.inquirer.net/82339/french-start-up-offers-dark-web-compass-but-not-for-everyone

요약

*Orange Livebox ADSL 모뎀 : 주로 스페인과 프랑스 등 지에서 많이 사용됨

- 19,500대의 Orange Livebox ADSL 모뎀이 WiFi 크리덴셜을 유출하는 것이 발견됨.

- 취약점 : 원격 공격자는 모뎀의 ‘get_getnetworkconf.cgidp 접근해 내부 WiFi 네트워크의 WiFi 패스워드와 네트워크 ID(SSID)를 획득할 수 있음

- 위험요소 : SSID를 이용해 위치정보를 획득할 수 있고 이를 이용해 특정 회사, 개인을 선별해 공격이 가능해짐. 취약점을 이용한 온라인 봇넷 생성이 가능. 

- 해당제품 : Firmware 01.11.2017-11:43:44, Boot v0.70.03, Modem 5.4.1.10.1.1A, Hardware 02, Arcadyan ARV7519RW22-A-L T VR9 1.2.

- 대응방안 : 최신 Firmware 00.96.00.96.613E로 업데이트 

관련 CVE정보

CVE-2018-20377

참고자료

출처:  https://badpackets.net/over-19000-orange-livebox-adsl-modems-are-leaking-their-wifi-credentials/

  https://www.zdnet.com/article/over-19000-orange-modems-are-leaking-wifi-credentials/

  https://threatpost.com/19k-orange-livebox-modems-open-to-attack/140376/

요약

- NIST(National Institue of Standards and Technology) 책정된 정부 기금을 모두 소진하여 추후 공지가 있을 때 까지 NIST 관련 모든 웹사이트들이 사용 불가.

영향성

- 허리케인과 FAA 항공 플랜 조사에 사용되는 연구 컴퓨터를 제외하고 모든 서비스 사용 불가

참고자료

출처:  https://www.commerce.gov/news/blog/2018/12/shutdown-due-lapse-congressional-appropriations

   https://www.nist.gov/

요약

- FBI(The Federal Bureau of Investigation)는 지난 12월 19일 고객의 사주를 받아 금융기관, 대학, 인터넷서비스제공업체, 정부 시스템, 게임 플랫폼 등을 대상으로 DDoS 공격 서비스를 제공하던 15개의 도메인 폐쇄.

- FBI는 의심 사이트를 각각 테스트하여, DDoS 공격 서비스 제공을 검증함

- Bitcoin을 포함한 다양한 지불 형식 제공하고 저렴한 가격에 서비스 제공

- 폐쇄 사이트 

critical-boot.com

ragebooter.com

downthem.org

quantumstress.net

*Downthem.org 2014.10 - 2018.11 기간 사이 고객 수가 2000 명이 넘었으며, 20만건의 DDoS 공격 서비스를 제공함

*Quantumstress.net -가장 오래된 DDoS 공격 서비스 도메인

2012 - 2018.11 총 고객 수가 8만명을 넘었으며 실제 행했거나 시도했던 DDoS 공격만 무려 5만건에 달함.

영향성

사이버 범죄에 대한 미사법부의 관심이 높아지고 있으며 유사 범죄에 대해 강경 대응하겠다는 입장을 내비침.

참고자료

출처 : https://www.securityweek.com/us-authorities-take-down-15-ddos-hire-websites

요약

- 취약점 : WibuKey.sys의 0x8200E804 IOCTL 핸들러 기능의 pool 손상 취약점.

- 공격자는 특수하게 가공한 IRP 요청을 이용해 커널 메모리 손상을 일으킬 수 있는 버퍼 오버플로우 공격 가능.

- 해당 제품 : WIBU-SYSTEMS WibuKey Network server management 6.40.2402.500

- 대응방안 : WibuKey 6.50 버전으로 업데이트(https://www.wibu.com/support/user/downloads-user-software.html)

관련 CVE정보

- CVE-2018-3990

- PoC : 현재(2018 12.26 3:30) 없음 (발견 그룹 Cisco Talos 블로그에서 관련 분석글이 삭제된 상태)

참고자료

https://www.wibu.com/support/user/downloads-user-software.html

출처 : https://www.securityweek.com/vulnerabilities-wibukey-could-lead-code-execution

요약

- 취약점 : 공격자는 특수하게 가공된 IRP 요청으로 드라이버가 초기화하지 않은 메모리를 반환할 수 있어 커널 메모리 누출 발생

WIBU-SYSTEMS WibuKey.sys 버전6.40 (Build 2400)의 0x8200E804 IOCTL 핸들러 기능에 취약점 존재

- 해당 제품 : WIBU-SYSTEMS WibuKey Network server management 6.40.2402.500

- 대응방안 : WibuKey 6.50 버전으로 업데이트(https://www.wibu.com/support/user/downloads-user-software.html)

관련 CVE정보

- CVE-2018-3989

- PoC : 현재(2018 12.26 3:30) 없음 (발견 그룹 Cisco Talos 블로그에서 관련 분석글이 삭제된 상태)

참고자료

https://www.wibu.com/support/user/downloads-user-software.html

출처 : https://www.securityweek.com/vulnerabilities-wibukey-could-lead-code-execution