해외 보안 트렌드

요약

- Cisco Talos과 AppRiver에 따르면 최근 이루어진 스팸 2건의 공격이 같은 공격자의 소행으로 밝혀짐 

- 성인웹사이트 컨텐츠를 감상하는 사용자의 모습을 녹화해 가지고 있다는 협박 이메일(Sextortion)과 지난 주 미국, 캐나다 등 지에 퍼진 회사와 공공기관을 폭파하겠다는 협박 이메일(Bombtortion)이 같은 공격자의 소행으로 밝혀짐

- 모든 이메일은 194.58.X.X에서 송신됨.

- 지난 주 목요일 급속도로 퍼진 폭파 협박 이메일은 FBI와 경찰, 언론의 보도로 실패로 돌아감. 

- 이번 폭파 협박에 공격자가 제시한 Bitcoin 4개의 주소 중 돈이 입금된 계좌는 하나도 없음 (공격자는 첫번째 협박 메일(Sextortion)로 3일만에 $146,380탈취 성공(한화 약 1억 6570만원) )

- 두 번째 공격이 실패로 돌아가, 새로운 공격 개시 : 염산 테러 협박 이메일

▼염산테러 협박 원문

Good day.

I run a forum in the darkweb, I sell all sorts of services – above all it is damage to property and injury. Basically, all but the 

shooting. Often this happens because of unrequited love or competition at workplace. This month she talked me and set

me the order of empty acid in your visage. Standard order – quickly, painfully, for life. Without too much fuss. I get receive

only after completing the task. So, now I offer you pay me to be inactive, I suggest this to nearly all the victims. If I do not

receive money from you, then my man will fulfill the mission. If you send me money, in addition to my inactivity, I will

provide you the information that I have about the client. After completing the task, I often drop the performer, so I have an

option, to get $1700 from you for information about the customer and my inaction, or to receive $4000 from the

customer, but with a big probability of spending the performer.

I’m getting money in bitcoins, here’s my bitcoin address – xxxxxxxxxxxxxxxxxxxxxxxxxxxxx

The sum I indicated above.

36 hours to transfer. 

요약)

염산테러를 하도록 고객의 사주를 받았다. $1700달러의 비트코인을 송금하면 사주는 고객의 정보는 물론 너를 해치지 않겠다.

그렇지 않으면 나는 사례금 $4000을 받기 위해 염산테러를 할 수 밖에 없다. 36시간안에 아래 비트코인 주소로 돈을 송금해라

영향성

유사 이메일을 받을 경우 바로 삭제 후 신고 필요. 

참고자료

AppRiver분석 : https://blog.appriver.com/sextortion-vs-bombtortion-hoaxes

출처: https://www.zdnet.com/article/bomb-threat-scammers-are-now-threatening-to-throw-acid-on-victims/#ftag=RSSbaffb68

요약

- 취약점 이름 : Magellan

- Tencent Blade 보안팀이 발견

- 취약점 : 공격자는 원격으로 악성 코드를 실행 할 수 있음. 또한 프로그램  메모리 누출 혹은 DoS공격으로 인해 시스템 작동중지(crash)할 수 있음

기본 브라우저가 SQLite이고 공격 코드를 일반 SQL구문으로 변환해주는 Web SQL API를 지원할 경우, 웹 페이지를 접근하는 간단한 방식으로 원격 공격이 가능.

- 선행조건 : 임의의 SQL구문을 생성 할 수 있어야 함.

*SQLite : 웹 브라우저, 안드로이드 앱, iOS앱, IoT, 주요 OS와 S/W에 사용되는 DB이며 매우 많은 어플리케이션에 임베디드 되어 있어 해당 취약점에 영향을 받는 제품이 많음.

- 영향성 : 데스크탑, 모바일, 웹 어플리케이션의 기반 데이터베이스 엔진을 업데이트 하는 것은 데이터 손실 등을 초래할 수 있는 위험한 작업이라

             대부분의 프로그래머들이 기피함. 

             또한 앱 개발자들은 대게 라이브러리와 앱의 요소들을 잘 업데이트 하지 않기 때문에 이 취약점의 영향성은 상당할 것으로 추정

- 영향제품 : SQLite나 Chromium기반 웹 브라우저 (Google Chrome, Vivaldi, Opera, and Brave)를 사용하고 있는 모든 장비와 소프트웨어

- 대응방안 : Chromium 71.0.3578.80 버전으로 업데이트 / SQLite 3.26.0 버전으로 업데이트

관련 CVE정보

- 현재(2018.12.17 1:30) 없음

- PoC : Tencent Blade팀 - 발표 계획 없다고 밝힘.

참고자료

Tencent's Blade 보안팀: https://blade.tencent.com/magellan/index_en.html

재현: https://worthdoingbadly.com/sqlitebug/

출처: https://www.zdnet.com/article/sqlite-bug-impacts-thousands-of-apps-including-all-chromium-based-browsers/

 https://thehackernews.com/2018/12/sqlite-vulnerability.html

요약

- Sextortion 이메일(은밀한 동영상이 있다며 협박하선 이메일)과 유사한 신종 혹스 메일이 어제(목요일) 퍼짐 

- 수십 곳의 미국, 캐나다, 뉴질랜드 회사와 공공기관이 폭발 협박 이메일을 받아 긴급 대피함 

- 비트코인을 입금하지 않을 시, 직장, 학교, 은행 등을 폭파 하겠다는 협박성 이메일

- 샌프란시스코, 뉴욕, 시애틀, 마이애미 , 워싱턴 DC, 밴쿠버, 오타와, 토론토 등 지에서 신고가 접수 되고 폭발물 탐지 조사를 펼쳤으나, 

  발견된 폭발물 없음

- 혹스메일이라 가능성이 매우 높음

- 지난 8월에도 이와 비슷한 이메일 사건이 있었음.

▼협박 이메일 원문

Subject:  --SPAM --My device is inside your building

Hello. There is an explosive device(Tetryl) in the building where your company is conducted. My recruited person constructed the bomb according to my guide. It is small and it is hidden very carefully, it is not able to destroy the structure of the building, but if it detonates there will be many wounded people. My recruited person is watching the situation around the building if any unusual behavior, panic or police man is noticed he will power the device. I want to propose you a bargain. You pay me $20'000 in Bitcoin and explosive will not detonate, but don't try to fool me -! guarantee you that I have to withdraw my man only after 3 confirmations in blockchain.

It is my BTC address - xxxxxxxxxxx

You must pay me by the end of the working day. If you are late with the payment explosive will detonate. Nothing personal, if you don't send me the money the bomb detonates, next time other commercial enterprise will transfer me a lot more, because it is not a one-time action.

For my safety, I will no longer visit this email account. I monitor my Bitcoin address every 30 min and after receiving the bitcoins I will give the command to my person to get away.

If an explosion occurred and he authorities notice this letter:

We arent the terrorist organization and dont assume any liability for exploisions in other buildlings.

제목: --스팸 --내 장치가 당신의 빌딩 안에 있다.

폭탄을 당신이 일하는 곳에 숨겨 놓았다. 폭탄이 작아 건물 골격을 부수지는 못하지만 많은 부상자를 낳을 것이다. 거래를 제안한다. $20,000을 비트코인으로 나에게 전송을 하면 폭파시키지 않겠다. 당신이 일하는 건물 밖에서 내 부하가 지켜보고 있다. 따라서 경찰에게 신고를 한 정황 등이 포착되면 부하에게 폭파 버튼을 누르게 할 것이다. 돈은 반드시 퇴근시간 전에 입금해야 한다. 늦을 시 폭파한다. 당신을 돈을 지불하지 않으면 폭탄을 폭파하고, 다음 타겟 건물에는 더 많은 폭탄을 설치할 것이다. 내 안전을 위해 이 이메일 주소에 다시 접근 하는 일은 없을 것이다. 비트코인 주소를 30분마다 체크하는데, 입금을 확인하면, 나의 부하에게 철수하라고 명령할 것이다.

영향성

은밀한 동영상을 가지고 있다며 협박하던 최근 혹스 메일과 유사한 형태의 피싱인 것으로 추정

참고자료

출처: https://threatpost.com/bomb-threat-bitcoin-demands/139915/

 https://edition.cnn.com/2018/12/13/us/email-bomb-threats/index.html

요약
Cross-site scripting(XSS) 

- 취약점 : 공격자는 특수하게 제작한 DB/테이블 이름을 이용해 데시보드에 악성 코드 삽입이 가능한  네비게이션 트리에 XSS취약점 존재.

- 심각도 : 심각

- 영향 받는 품 : 4.0-4.8.3

- 대응방안 : 모든 취약점에 대한 대응방안으로 : 최신 버전 (4.8.4)로 업데이트하거나 패치 필요

(https://www.phpmyadmin.net/security/PMASA-2018-8/)

관련 CVE코드

CVE-2018-19970

참고자료

출처: https://thehackernews.com/2018/12/phpmyadmin-security-update.html

요약

- Cross-Site 요청 변조(Cross-Site Request Forgery, CSRF/XSRF) 

- 취약점 : 사용자가 특수하게 제작된 링크를 열어보게 만들어 공격자는 'DB이름수정, 새로운 테이블/루틴 생성, 디자이너 페이지 삭제, 

            사용자 추가/삭제, 사용자 비밀번호 변경, SQL 프로세서 죽이기 등 악의적으로 SQL 구동 가능. 

- 심각도 : 보통

- 영향 받는 제품  : 4.7.0 - 4.7.6, 4.8.0-4.8.4

- 대응 방안 : 패치 (https://www.phpmyadmin.net/security/PMASA-2018-7/)

관련 CVE코드

CVE-2018-19969

참고자료

요약

LFI (Local file inclusion) 취약점

- 취약점 : 원격 공격자가 변환 기능을 통해 서버 로컬파일에서 민감한 정보를 읽을 수 있음

- 선행 조건: 공격자는 phpMyAdmin Configuration Storage 테이블에 접속해야 함(공격자가 접근 가능한 아무 DB에 손쉽게 생성이 가능). 

   공격자는 유효한 크리덴셜을 가지고 있어야 phpMyAdmin에 로그인할 수 있음. (이 취약점으로 로그인 우회할 수 없음)

- 심각도 : 심각

- 영향 받는 제품  : 4.0~4.8.3

- 대응방안 : 패치 (https://www.phpmyadmin.net/security/PMASA-2018-6/)

CVE-2018-19968

참고자료

출처 : https://thehackernews.com/2018/12/phpmyadmin-security-update.html

요약

- 뉴욕타임즈 보도: 다수의 스마트폰 위치 추적 허용 앱, 사용자 이동 경로 데이터를 수집하여 데이터 수집 회사에 판매. 

- 판매된 데이터는 다시 고객 행동패턴 분석 회사에 재판매되어 위치 기반으로 커스텀화된 광고 개발(특정 주소에 있는 고객을 대상으로 한 광고), 

  고객 행동 패턴 분석에 사용 됨. 

- 수집 데이터는 익명으로 수집되나 앱 사용자의 현재 주소 및 장소 A에서 B로 이동한 시간 등이 수집되어 데이터를 보고 사용자를 유추할 수 있음. 

- 이에 따라 프라이버시 침해 논란이 많음. 사용자의 모든 생활 패턴 탐지가 노출됨

영향성

위치추적 허용 앱으로 수집된 데이터는 사용자의 허가 없이 판매 될 수 있어, 개인 정보 노출이 우려됨 

참고자료

출처: https://www.hackread.com/apps-on-your-phone-selling-sharing-location-data/

       https://www.nytimes.com/interactive/2018/12/10/business/location-data-privacy-apps.html

요약

- ESET는 현재까지 밝혀진 적이 없는 12개의 백도어 포함 총 21개의 악성 OpenSSH 백도어 발견 

- OpenSSH 백도어 버전 개발이 다소 쉬움

- 백도어 사용시 공격자가 탐지 되지 않음과 동시에  OpenSSH 데몬과 클라이언트는 비밀번호를 평문으로 볼 수 있어 비밀번호 등 

  크리덴셜 도용 가능

- 유사한 악성 샘플들은 기존 OpenSSH 소스코드를 변경하거나 리컴파일링하여 구현 방법에서 많은 유사점을 찾을 수 있음.

º 사용자 입력 패스워드를 훔쳐 로컬 파일에 저장

º 일부는 패스워드를 이메일을 통해 외부로 전송.

º root로그인을 제한하는 Trojan OpenSSH 데몬 함수를 이용해 시스템에 활동 기록을 삭제

- 4대 주요 백도어

º Chandrila:  SSH 패스워드를 통해 명령을 받을 수 있음

º Bonadan: 가상화폐 마이닝

º Kessel: 봇 기능 (includes bot functionality). 

º Kamino:  대규모 악성코드 공격을 제한적인 공격으로 전환 할 수 있음

영향성

악성코드 샘플만을 분석한 것으로 백도어가 시스템에 어떻게 설치가 되었는지 등의 상황적 정보가 존재하지 않아 백도어 감염 정보가 미흡함.

참고자료

출처 : https://www.securityweek.com/researchers-find-dozen-undocumented-openssh-backdoors

보고서원문 : https://www.welivesecurity.com/wp-content/uploads/2018/12/ESET-The_Dark_Side_of_the_ForSSHe.pdf