해외 보안 트렌드

요약

- WinRAR : 윈도우 압축 프로그램으로 RAR, ZIP파일 등의 파일형식으로 파일을 포맷, 압축해제 가능. 

               약 5억명의 사용자가 있으며 현재 세계에서 가장 유명한 압축 프로그램으로 알려짐.

- 취약점 : UNACEV2.DLL에 존재하는 디렉토리 경로 조작 취약점으로 인해 악성 압축 파일을 시작 폴더에 압축해제 가능. 

             재부팅을 실시 할 시 공격자는 압축 해제된 파일을 이용해 명령어 실행이 가능함.

- 취약원인 : 모든 WinRAR 버전에 존재하는 UNACEV2.DLL 라이브러리가 어떠한 보안 매커니즘 없이 설계되어 취약점 존재 

                (UNACEV2.DLL : ACE 파일 형식으로 압축을 해제하는데 사용 됨)

- 대응방안 : WinRAR 5.70로 업데이트 

- 일반사용자들은 WinRAR을 업데이트 하기 이전에 이메일에서 의심스러운 ACE 압축파일을 절대 다운로드 하거나 열지 말 것을 당부

관련 CVE정보

- CVE-2018-20250, CVE-2018-20251, CVE-2018-20252, CVE-2018-20253.

- PoC 및 재현 : https://research.checkpoint.com/extracting-code-execution-from-winrar/

탐지룰 존재유무

-Check Point : RARLAB WinRAR ACE Format Input Validation Remote Code Execution (CVE-2018-20250)

참고자료

Check Point 분석 : https://research.checkpoint.com/extracting-code-execution-from-winrar/

WinRAR : https://www.win-rar.com/whatsnew.html?&L=0

출처 : https://www.zdnet.com/article/winrar-versions-released-in-the-last-19-years-impacted-by-severe-security-flaw/#ftag=RSSbaffb68

   https://www.securityfocus.com/bid/106948

요약

- Pirate Bay, TorrentGalaxy, 1337x 등을 포함한 유명 토렌트 웹사이트는 악성코드를 유포하는 이유로 CrackNow 업로더의 사용을 금지시킴

- CrackNow : 유명 토렌트 사이트에서 신뢰할 수 있는 업로더로 알려졌음

- 피해 사례 : 해당 업로더의 토렌트를 다운받은 다수의 사용자가 GandCrab 랜섬웨어와 기타 악성 코드에 감염 됨.

- 현재 개인플랫폼 CracksNow.com 를 설립해 정기적으로 토렌트 파일을 올리고 있는 것으로 알려짐.

영향성

신뢰된 소스를 통해서만 소프트웨어를 다운로드 할 것

참고자료

출처 : https://thehackernews.com/2019/02/malware-torrent-download.html

   https://gbhackers.com/torrents-sites-banned-cracknow/

요약

- Rietspoof : 다단계 악성코드로 다양한 파일 형식을 사용하며, 더욱 강력한 악성코드 감염을 유도하여 dropper 혹은  downloader라고 분류 됨.

- 최초 발견 : 2018

- 감염 경로 : Skype, Facebook 등 다양한 메신저 앱을 통해 전파

- 메신저를 통한 악성코드 전파 사례 : Eko(원치 않은 광고 화면을 팝업으로 띄우고, 사용자의 개인정보를 탈취 하며, 

                                                 감염 링크를 다른 계정 사용자에게 메시지로 보내 전파시도)

  (https://www.hackread.com/eko-malware-targeting-facebook-messenger-users/)

 *정확환 공격 목적과 공격 대상에 대해서는 밝혀지지 않음 

영향성

상용 메신저 사용 시 다운로드 URL 주의 필요

참고자료

Avast 분석 : https://blog.avast.com/rietspoof-malware-increases-activity?ref=cj&utm_medium=affiliate&utm_source=commissionjunction&utm_campaign=6158287&couponfield=yes&cjevent=9ccaee95344011e98011006a0a180513

출처 : https://www.softwaretestingnews.co.uk/19720-2-rietspoof-malware-facebook-skype/

   https://www.softwaretestingnews.co.uk/19720-2-rietspoof-malware-facebook-skype/

요약

- Jackson T.가 Low-level 하드웨어 접근 (LHA) 커널 모드 드라이브를 분석 중 발견

- 취약점 : 목표 장비에 접근이 가능한 공격자는 장치 관리자 앱을 악용하여 SYSTEM으로 권한 상승 후, 특수하게 가공한 IOCTL 요청을 통해 임의의 메모리에 읽고 쓰기가 가능함.

*IOCTL(I/O Control) : 사용자와 커널을 잇는 인터페이스의 일부 

- 영향받는 제품 : LHA.sys 드라이버 1.1.1811.2101 이전 버전

- 취약점은 2018.11.18일 LG측에 보고 됨. 2019.2.13일 패치 발표

- LG Product Security 웹사이트에서는 해당 취약점에 대해 언급 없음

관련 CVE정보

- CVE-2019-8372

- PoC : http://jackson-t.ca/lg-driver-lpe.html(Windows 7, 10 테스트 용)

참고자료

출처 : https://www.securityweek.com/privilege-escalation-vulnerability-found-lg-device-manager

  https://nvd.nist.gov/vuln/detail/CVE-2019-8372

요약

- 최근 새롭게 유출된 약 1억 2600만 계정의 이메일과 패스워드를 다크웹 Dream Market에서 판매 중.

- 유출 데이터 관련 사이트

(1) Ge.tt : 덴마크 소재 파일 공유 웹사이트. 총 사용자 : 5,588.,934명

- 판매 계정 : 183만명의 계정 사용자의 이름, Sha256 해시 암호, Twitter/Facebook 액세스 토큰

- 판매가격 : BTC 0.1609

(2) Ixigo : 인도의 유명한 온라인 여행, 호텔 예약 웹사이트.

- 판매 계정 : 1800만명의 계정 사용자 이름, 성별, 이메일, md5 해시 암호, Facebook UR, IP 주소, 일부 사용자의 여권 이름과 신분증 번호

- 판매 가격 : BTC 0.263

(3) Roll20 : 테이블 탑 롤플레잉 게임 툴 제공, 가상 테이블 탑

- 판매 계정 : 400만명의 계정 사용자 이름, 이메일, 암호, 역할, 웹 검색, 상세 장비 정보

- 판매 가격 : BTC 0.0585

(4) Houzz : 건축, 장식, 인테리어 디자인, 조경 디자인, 리모델링 관련 켈리포니아 기반의 웹사이트/온라인 커뮤니티

- 판매 계정 : 5700만명 계정 사용자의 이름, 계정 등록일, 이메일, Sha256해시 암호

- 판매 가격 : BTC 2.927

(5) Coinmama : 신용카드로 Bitcoin, Ethereum을 구매할 수 있는 온라인 가상화폐 거래소

- 판매 계정 : 약 49만명의 계정 사용자의 이메일, 해시 암호.

- 판매 가격 : BTC 0.351

(6) YouNow : 실시간 방송 서비스 제공 사이트

- 판매 계정 : 약 4000만명의 계정 사용자 이름, 이메일, 원격/실 IP주소, Facebook, Instagram, Google, Twitter ID 링크 주소

     (유출 데이터 중 암호는 포함 되어 있지 않음 ∵ YouNow는 암호를 분리된 서버에 보관)

- 판매 가격: BTC 0.1317

(7) Stronghold Kingdoms : Firefly Studios사가 개발한 멀티플레이어 전략 게임

- 판매 계정 : 약 500만명의 계정 사용자 유저네임, 이메일, 평문 암호, 생년월일

- 판매 가격 : BTC 0.2927

(8) PetFlow : Phillips Feed Service 사의 고양이/개 사료 배송 서비스

- 판매 계정 : 약 100만명의 계정 사용자 이메일, 유저네임, MD5 해시 암호, AES암호화된 신용카드 정보

- 판매 가격 : BTC 0.1769

- 판매 해커 : 해커의 정확한 신상은 밝혀지지 않음. 동일한 해커가 지난주 16개 웹사이트, 61700만개의 계정 정보 판매 함.

(유출 웹사이트 : Dubsmash, MyFitnessPal, MyHeritage, ShareThis, HauteLook, Animoto, EyeEm, 8fit, Whitepages, Fotolog, 500px, Armor Games, BookMate, CoffeeMeetsBagel, Artsy, DataCamp)

영향성

유출 웹사이트의 계정이 존재할 시, 신속한 비밀번호 변경 필요

참고자료

출처 : https://www.hackread.com/dark-web-hacker-selling-accounts-stolen-data-breaches/

   http://www.ehackingnews.com/2019/02/148-million-500px-users-data-stolen.html?utm_source=dlvr.it&utm_medium=twitter

요약

- Emotet : Mealybug 그룹이 개발한 모듈방식의 Trojan. 정보유출형 악성코드로 로그인 정보, 개인정보, 금융 정보들을 탈취하고 주로 스팸 이메일을 이용해 전파 됨

- 변종 Emotet : 백신프로그램의 탐지를 피하기 위해 Microsoft Word 파일로 가장한 XML파일에 악성 매크로를 내장함

         (과거 : 악성 매크로를 삽입한 Microsoft Word 문서 형식)

- 최초 발견시기 : 2019년 1월 중순 (Menlo Security 보고)

- Emotet 활동 이력 : 현재까지 활발한 활동을 보임.

2018년 10월 : 이메일 주소를 탈취 이력

2018년 11월 : C&C 기반시설을 미국으로 이동, 금융 단체 또는 미국 추수감사절 감사장으로 가장한 이메일로 전파 시도

2019년 1월 : 수신자의 IP주소가 Spamhaus, SpamCop, SORBS가 운영하는 블랙리스트 또는 스팸리스트에 해당이 되는지 확인할 수 있는 

                 기능이 추가 됨

탐지룰 존재유무

IBM : HTTP_Emotet_Trojan_CnC

Symantec  : System Infected: Emotet Activity 2, 

System Infected: Trojan.Emotet Activity 3

System Infected: Trojan.Emotet Activity 4

System Infected: Trojan.Emotet Activity 6

System Infected: W32.Emotet.B Activity

Web Attack: Emotet Download 2

참고자료

Menlo Security 변종 Emotet 분석 : https://www.menlosecurity.com/blog/emotet-a-small-change-in-tactics-leads-to-a-spike-in-attacks

출처 : https://www.bleepingcomputer.com/news/security/emotet-uses-camouflaged-malicious-macros-to-avoid-antivirus-detection/

  https://threatpost.com/emotet-evasion-tactic-xml/141862/

요약

- Simple Social Button : 무료/유료 플러그인으로 소셜 미디어 공유버튼을 웹사이트에 추가할 수 있음. 현재 40,000건 이상의 웹사이트가 해당 플러그인 사용 중.

- 선행조건 : 사용자 계정 등록이 가능해야 함.

- 취약점 : 공격자는 등록된 사용자 계정(admin이 아닌 계정)으로 admin 계정 탈취가능. 또한, Admin이 아닌 사용자 계정으로 중요 WordPress 설치

              설정이 있는 wp_options DB테이블의 옵션을 수정 가능.

- 취약원인: 부적절한 어플리케이션 설계 흐름과 불충분한 권한 검증 

- 영향받는 제품 : simple-social-buttons 2.0.22이전 버전

- 대응방안 : 최신 버전으로 업데이트(2.0.22)

관련 CVE정보

-PoC : https://www.webarxsecurity.com/wordpress-plugin-simple-social-buttons/

참고자료

출처 : https://threatpost.com/wordpress-plugin-flaw-website-takeover/141746/

        https://www.zdnet.com/article/wordpress-plugin-flaw-lets-you-take-over-entire-sites/

요약

- Snapd : snaps의 데몬. Snaps은 2014년 Ubuntu를 위해 개발된 앱 패키징 포맷. Snapd로 사용자는 앱을 .snap 파일 형식으로 다운로드하고 

             설치할 수 있음

             모든 Ubuntu OS에 기본으로 설치가 되어 있으며, 이 외의 다른 리눅스 배포판에서도 사용되고 있음.

- 취약점 : snapd의 API에 취약점 존재. 로컬 공격자 권한이 있는 소켓 API에 접근해 관리자 권한을 획득하고, root 레벨의 계정을 생성 할 수 있음

- 취약원인: UNIX 소켓에 접근을 컨트롤 할 시 원격 소켓 주소를 잘못 검증하고 파싱함

- 취약점 별칭 : Dirty Sock 

- 영향받는 제품 : Snapd 2.28이상 2.37이하 버전

- 대응방안 : Snapd 2.371로 업데이트

- Ubuntu 외에도 Snapd 사용하는 Debian, Arch Linux, OpenSUSE, Solus, Fedora도 패치 발표

관련 CVE정보

- CVE-2019-7304

- CVSS 3.0 Score : 8.4

- PoC : https://github.com/initstring/dirty_sock/

Dirty_sockv1

Dirty_sockv2

참고자료

Dirty Sock 분석 : https://shenaniganslabs.io/2019/02/13/Dirty-Sock.html

Dirty Sock 최초 보고 :https://bugs.launchpad.net/snapd/+bug/1813365

Ubuntu : https://usn.ubuntu.com/3887-1/

출처 : https://www.zdnet.com/article/dirty-sock-vulnerability-lets-attackers-gain-root-access-on-linux-systems/

   https://threatpost.com/dirty-sock-snapd-linux/141779/