해외 보안 트렌드

<취약점>

신뢰되는 디렉토리의 파일의 경로 실행을 조작하여 윈도우 사용자 계정 컨트롤(Windows User Account Control(UAC)) 우회 가능

MS는 UAC를 보안관련 요소로 여기지 않지만, UAC는 프로그램에 관한 권한 상승이 있을 시 관리자 그룹의 사용자에게 알리는 역할을 함.

Tenable 소속 David Wells은 악성 파일을 실행시킬 때 UAC 알림이 뜨지 않도록 하는데 성공함.

실행 파일을 “C:\Windows\System32”와 같은 신뢰되는 디렉토리에서  실행하기 위해서는 자동 권한 상승’에 필요한 ‘자동권한상승(autoElevate)’ 키가 있어야 함. 

<영향 받는 제품>

Windows 10 Build 17134

<영향성>

공격자의 코드를 제한 없이 권한 상승하는데 악용될 수 있음. 

<관련 CVE정보>

현재(2018.11.13 9:23) 확인 안됨

PoC : https://github.com/tenable/poc/tree/master/UACBypass

<참고자료>

Tenable 공격방법 설명 : https://medium.com/tenable-techblog/uac-bypass-by-mocking-trusted-directories-24a96675f6e

출처 : https://www.securityweek.com/researcher-bypasses-windows-uac-spoofing-trusted-directory

Palo Alto Network 보안 전문가,  Inception 그룹 공격 경고

리서치 원문 : https://researchcenter.paloaltonetworks.com/2018/11/unit42-inception-attackers-target-europe-year-old-office-vulnerability/

<Inception 활동 이력>

2014년 : 자체 제작 악성코드 사용해 전세계 대상 활동. 특히 러시아 공격에 집중

2018년 10월 : 2017년 11월에 패치 된 Microsoft 취약점(CVE-2017-11882)이용해 다양한 유럽 유저들을 공격한 것이 포착됨.

이번 공격에는 새로운 PowerShell 백도어(POWERSHOWER라고도 불림)를 사용한 것으로 알려짐.

악성 문서와 악성 페이로드를 전송하기 위한 원격 템플릿을 이용함.

과거패턴 : 동일한 악성 문서를 이용한 공격을 함. 최초 접근 시 정착을 위한 스피어 피싱 문서를 포함한 2개의 악성 문서를 이용

<Inception 그룹 공격방법>

MS Word는 인터넷이나 파일쉐어 등의 외부에서 호스팅되는 템플릿을 로딩하는 것을 허용함. 

템플릿이 로딩 됨과 동시에 문서가 열리고, 공격자는 이러한 기능을 악의적으로 사용함.

최초 악성 문서는 직접적으로 악성 목표를 띄지 않는다는 장점들을 이용하여 지난 4년간  원격 템플릿 공격방법을 이용. 

이러한 방법은 공격자가 공격 대상으로부터 받은 초기 데이터를 기반으로 피해자에게 악성 콘텐츠를 배포할 수 있게 함. 

(이는 호스팅 서버가 다운되면 악성코드 연구자들이 공격에 대한 연구를 하기 힘들게 함)

최근 공격에서 사용된 악성 문서는 HTTP를 통해 원격 콘텐츠를 획득하려는 시도를 함. 

악성 템플릿은 CVE-2012-1856과 CVE-2017-11882 공격 구문 POWERSHOWER를 포함

<POWERSHOWER>

최초 정찰의 발판으로 사용되고 좀 더 완성도 높은 기능을 포함한 2차 페이로드 실행하고 다운로드를 도움.

파일과 레지스트리 키를 포함한 dropper 프로세서로부터 상당량의 포렌직 증거를 지울 수 있음

(-> 이 또한 공격에 대한 분석 시, 정교하고 복잡한 악성 코드를 숨기는데 도움이 됨) 

<관련 CVE코드>

CVE-2017-11882, CVE-2012-1856

PoC:

CVE-2017-11882 : https://github.com/embedi/CVE-2017-11882

CVE-2012-1856 : https://blog.ropchain.com/2015/07/27/analyzing-vupens-cve-2012-1856/

출처 : https://www.securityweek.com/inception-attackers-combine-old-exploit-and-new-backdoor

<패치 내용>

초기화되지 않는 스택 메모리 사용 취약점에 대한 패치. 취약점은 vmxnet3 어댑터에 존재.  

이는 게스트가 호스트에서 코드를 실행할 수 있게 함. (정보가 호스트에서 게스트로 유출 될 수 있음)

이 문제점은 vmxnet3가 '사용가능'으로 설정될 시에만 존재.

<영향받는 제품>

• VMware vSphere ESXi (ESXi)

• VMware Workstation Pro / Player (Workstation)

• VMware Fusion Pro, Fusion (Fusion)

<관련 CVE코드>

 CVE-2018-6981, CVE-2018-6982

심각도 : Critical

출처 : https://www.vmware.com/security/advisories/VMSA-2018-0027.html

<취약점>

역직렬화는 인스턴스를 임의의 값으로 정하기 때문에 공격자가 가젯(gadget)이 작동하는 일부 데이터를 컨트롤 할 수 있음. 

또한 공격자는 가젯을 이용하여 두 번째 가젯을 불러올 수 있음 (일련의 가젯들이 이런 식으로 서로 연결되는 것을 ‘가젯 체인’이라고 부름)

<영향받는 제품> 

version 2.0 ~ 2.5

*Ruby의 대안으로 여겨지 JRuby Rubinius 또한 조사 예정

<영향성>

Java와 .NET 역직렬화 문제는 third-party 라이브러리에만 국한 되었다면, Ruby의 경우 언어 자체의 취약점이므로 해커 공격에 대한 취약 정도가 큼.

<대응방안>

프로그램언어 종류와는 상관 없이 직렬화/역직렬화 관련 문제는 취약한 코드와 나쁜 코딩 습관과 연관됨. 

직렬화된 데이터는 반드시 안전한 것이 아니며, 따라서 이를 역직렬화 할 때 주의를 기울여야 함. 

대응법으로는 직렬화하기 전 사용자 인풋을 반드시 검증하고, 역직렬화된 데이터의 특정 함수에 대한 접근 권한을 제한해야 함. 

<관련 CVE코드>

PoC : https://www.elttam.com.au/blog/ruby-deserialization/

출처 : https://www.zdnet.com/article/deserialization-issues-also-affect-ruby-not-just-java-php-and-net/

시만텍의 새로운 리포트에 따르면 북한 관련  해킹 그룹들의 경제적 목적의 활동이 급증하는 것으로 밝혀짐

<해킹그룹>

Lazarus 그룹의 최소 2016년 후부터의 수십 차례의 ATM기기 목표 공격을 포함한 'FASTCash' 시리즈 공격함

- 변화 : 현재 경제적 목적의 해킹이 주된 활동

- 해커들은 금융시스템과 결제 프로세싱 프로토콜에 대한 상당한 지식 보유

Lazarus는 현재 활발한 활동을 하고 있으며 사이버 스파이행위 등과 같은 고도의 공격을 펼치는 단체로 알려짐

<공격방법>

은행 네트워크에 인증되지 않은 접속을 성공한 후, 해커는 ATM결제를 처리하는 서버를 해킹 함.

공격자가 현금 인출을 요청할 시 가짜 승인 응답을 ATM기에 보내게 하는 Trojan.Fastcash 멀웨어 설치

<과거 공격행위>

- 2014년 Sony Pictures Entertainment 해킹 사건 : 수백억에 달하는 피해를 끼침. 소니픽처스가 제작한 영화 '더 인터뷰'(2명의 미국인이 김정은을 암살하는 내용)을 해킹해 개봉 전 시중에 유포

- 2016년 방글라데시 중앙은행 해킹 : 미국 뉴욕연은의 방글라데시 중앙은행 계좌에서 8100만 달러를 불법 인출

- WannaCry 공격 : 150개국 23만대 이상 컴퓨터를 감염. 전세계 기관들에게 막대한 피해를 끼침

*FBI과 미 국토보안부(Department of Homeland Security)는 지난달 Hidden Cobra(은행대상 공격을 펼치는 해킹그룹)이 유사한 공격을 한다고 경고한바 있음

출처 : https://thehill.com/policy/cybersecurity/415576-north-korean-hacker-group-poses-serious-threat-to-the-banking-sector

<사건요약>

지난 1일 캐나다 우체국이 캐나다 Ontario Cannabis Store(온라인 대마 판매업체)의 거래내용을 처리하는 과정에서 4500명의 고객정보 유출

(4500명은 총 고객의 2% 해당함)

임의의 사용자가 실시간 배송조회서비스를 통해 온라인 대마 주문을 한 고객의 이름 혹은 이니셜, 생년월일, 우편번호, 배송일자, OCS참조 번호, 송장번호를 빼감.

<Ontario Cannabis Store 측 입장>

다행히 다른 주문 상세내역(배송 주소, 대금결제 주소 등), 

공격자는 유출된 데이터는 악의적으로 도용되지 않았으며 캐나다 우체국과만 내용을 공유한 뒤 삭제함.

모든 책임은 캐나다 우체국에게 있다고 책임 전가

(현재 온라인 샵은 배송지연, 결제대금 처리, 불만족스러운 고객서비스 등의 1000건이 넘는 컴플레인을 받고 있는 상태)

<논쟁점>

캐나다 우체국은 어떻게 데이터 유출이 일어났는지 설명하지 않음.

유출과 관련하에 신속하게 사건경위를 피해고객들에게 전하지 않음

대마판매가 합법이라고 할지라도 다들 사용 여부를 공개적으로 알리고 싶어하지 않은데 거리 내역이 유출되 파문

데이터 유출은 계약 협상 관련 캐나다 우체국의 대규모 교대 파업에 도중에 일어남.

이번 주 토론토의 가장 큰 처리센터가 파업에 들어가 '4500명'의 직원이 지난 화요일에 거리 시위에 참여함.

유출된 정보 숫자와 집회 참여 직원 수가 일치하는 데에 따라 말이 많음

*캐나다는 10월 17일  만 19세 이상의 성인에게 Ontario Cannabis Store을 통해 온라인 판매를 합법화 함

출처 : https://www.zdnet.com/article/canada-post-leaked-personal-data-orders-of-thousands-of-cannabis-smokers/#ftag=RSSbaffb68

   https://slate.com/technology/2018/11/canada-post-exposes-data-of-cannabis-buyers.html

Cisco Meraki Local Status Page Privilege Escalation Vulnerability

<취약점>

Cisco Meraki MR, MS, MX, Z1, and Z3의 로컬 상태 페이지 기능상의 취약점으로 

인증되지 않은 원격 공격자가 장비의 설정 파일들을 조작할 수 있음

로컬 상태 페이지 요청을 처리할 때 취약점 발생. 공격자는 상승된 권한으로 장비와 대화형 세션(interactive session) 맺기가 가능. 

상승된 권한을 위해 공격자는 장비에서 추가 환경 설정 내용 등을 획득하거나 장비 장악이 가능.

<영향받는 제품>

로컬 상태 페이지 기능이 '사용가능'이 된 경우에 한함. (*기본설정은 '사용가능'임)

Cisco Meraki MR devices 

Cisco Meraki MS devices  

Cisco Meraki MX devices (물리적 장비와 가상 장비 vMX100 포함) 

Cisco Meraki Z1 and Z3 devices

<대응방안> 

소프트웨어 업데이트 존재

MR devices  24 : 24.13 혹은 최신 

25 : 25.11 혹은 최신 

MS devices  9 : 9.37 혹은 최신 

10 : 10.20 혹은 최신 

MX devices / Z1 and Z3 devices  MX 13 : 13.32 혹은 최신

14 : 14.25 혹은 최신 

15 : 15.7 혹은 최신버전으로 패치

<관련 CVE 코드>

CVE-2018-0284

CVSS Score : Base 8.8

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-meraki

Cisco Unity Express Arbitrary Command Execution Vulnerability

<취약점>

자바 역직렬화 취약점으로 인증되지 않은 원격 공격자가  임의의 쉘 명령을 root유저의 권한으로 실행 할 수 있음

공격자는 악성 직렬화된 자바 객체를 Java Remote Method Invocation (RMI) 서비스에 보내 공격가능. 

<취약원인>

사용자측 제공 컨텐츠의 불안전한 역직렬화

<대응방안>

소프트웨어 업데이트 존재. Cisco Unity Express 9.0.6 혹은 최신버전으로 업데이트 

 *Cisco Unity Express 8.6에 대한 패치 발표 계획이 없음. 

<영향받는 제품>

Cisco Unity Express 9.0.6 미만 버전 

<관련 CVE코드>

CVE-2018-15381

CVSS Score : Base 9.8

출처 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-cue