해외 보안 트렌드

요약

- Citrix : 유명 소프트웨어 회사로 미국 군대, FBI 등 다양한 미국 정부 기관에 서비스를 제공하는 업체.

- Citrix는 지난 주말 국제 사이버 범죄자에 의해 내부 네트워크의 데이트가 유출됐다고 밝힘

- 유출 데이터 : 현재 해커가 정확히 어떤 데이터를 취득했는지 파악하지 못함.

- 사건 경위 : 

(1) 침투 경로 : FBI는 무작위 패스워드 대입 공격으로 내부 네트워크 망 진입에 성공한 후 데이터 유출이 발생한 것으로 추측.

(2) 최초 침투 시기 : 10 년전

(3) 위험성 : 정보보안 회사 Resecurity에 따르면 이 같은 공격은 “특정 대상을 목표로한 계획된 데이터 유출사고”라고 명명.

(4) 과거 공격 이력 : 2018년 12월과 2019년 3월4일  이란 기반 IRIDIUM 해커 그룹은 이메일, 블루프린트, 다른 문서 등을 포함한  

                          6테라바이트 가량의 내부 파일을 탈취.

- IRIDIDUM 해커 그룹 

(1) 공격 이력 : 최근 200곳이 넘는 세계 정부 기관, 유류/가스 회사, 기술 회사 등에 대한 공격의 배후로 지목 됨

(2) 공격 기술 : VPN 채널과 SSO(Single Sign-On)에 대한 비인가 접근을 위해 중요 어플리케이션과 서비스의 다중 인증을 우회하는 기술 사용

(3) 국가 지원의 공격 : 공격대상이 “정부, 군사 산업단지, 에너지회사, 금융 기관 및 대기업의 주요 분야의 핵심 시설”임으로 볼 때, 

                             국가 지원의 정교한 공격으로 해석됨

영향성

정확한 피해 규모 파악을 위해 현재 디지털  포렌식 진행 중 

참고자료

Citrix : https://www.citrix.com/blogs/2019/03/08/citrix-investigating-unauthorized-access-to-internal-network/

Resecurity 분석 : https://resecurity.com/blog/supply-chain-the-major-target-of-cyberespionage-groups/

출처 : https://thehackernews.com/2019/03/citrix-data-breach.html

요약

- 취약점 :  FileReader 요소의 Use-After-Free 취약점이 발생해 비인가 원격 공격자는 Chrome 웹 브라우저의 권한을 얻고, 이를 이용해 샌드박스를 벗어나 임의의 코드를 실행할 수 있음.

공격자가 특수하게 제작한 웹 페이지를 사용자가 열거나, 해당 웹페이지로 리다이렉트 될 시 해당 취약점을 이용한 공격이 가능..

- *Use-After-Free(UAF)취약점 : 비인가 사용자가 취약 시스템/소프트웨어에서 권한 상승이 가능하도록 메모리의 데이터를 손상시키거나 

                                        변조를 일으키는 메모리 손상 취약점.

*FileReader : 일반적인 API로 웹 어플리케이션이 ‘File’ 또는 ‘Blob’객체를 이용해 읽고자 하는 파일/데이터를 특정함. 

                 사용자의 컴퓨터에 저장된 파일 또는 로우 데이터 버퍼의 내용을 비동기식으로 읽을 수 있도록 디자인 됨. 

- 해당 제로데이 취약점을 이용해 Chrome 사용자에 대한 공격이 활발히 이루어지고 있음

- 영향 받는 제품 : Windows, Mac OS, Linux 사용 Google Chrome 

- 대응방안 : Chrome update 72.0.3626.121 또는 최신버전으로 업데이트

관련 CVE정보

- CVE-2019-5786

- CVSS 3.0 Score : 8.8

- PoC : 현재(2019.03.07 16:30) 없음

영향성

크롬 브라우저 사용 고객사는 신속한 패치 필요

참고자료

Chrome : https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html

출처 : https://thehackernews.com/2019/03/update-google-chrome-hack.html

https://www.bleepingcomputer.com/news/security/google-chrome-update-patches-zero-day-actively-exploited-in-the-wild/

요약

(1) 연대별 주요 사건

º 2014년 김정은 풍자 영화,’The Interview’에 대한 보복성 Sony Pictures Entertainment 해킹 : 개봉 전 영화 유출, 경영진 이메일 유출

                                                                                                                        (2016년 선거에 유출자료 큰 파장을 일으킴)

º 2017년 – 트럼프, 김정은 “로켓 맨”이라고 조롱함

º 2017년 초 (북미관계-냉각) 북한은 미국의 은행, 유류, 가스 회사, 공공 단체를 대상으로 공격 펼침.

º 2018년 2월 평창 동계올림픽 – 평창 올림픽 홈페이지, 중계 드론, 텔레비전 방송, 티켓 발매기 공격으로 일시 작동 중지

º 2018년 5월 29일 – Hidden Cobra : Joanap 백도어 Trojan과 SMB 웜 Brambul이용 공격 

º 2018년 6월12일 1차 싱가포르 북미정상회담 : 완전한 비핵화, 평화체제 보장, 북미 관계 정상화 추진, 6.25전쟁 전사자 유해송환 합의

    미사일 발사 테스트 중단했으나 미국에 대한 사이버 공격은 멈추지 않음. 

    100곳 이상의 미국과 동맹 국가 회사 공격

    남아프리카국가 나미비아를 출발지로 터키 회사 추가적으로 공격 

    (*나미비아 : 평양과 우호적 관계를 유지중)

º 2018년 10월경 – Sharpshooter 공격 : Dropbox를 이용해 악성 매크로가 삽입된 MS Word 문서로 악성코드 배포

º 2019년 2월27일 2차 하노이 북미정상회담 :  결렬

(2) 공격 목적 : 뚜렷하지 않음. 공격 대상이 엔지니어, 경영진, 회사 네트워크, 지적 재산 등 광범위 함.

(3) 주요 공격지  

º 미국 :휴스턴 – 오일, 가스 허브, 뉴욕 – 금융 허브

º 기타

영국 – 런던

에스파냐 – 마드리드

일본 – 도쿄

이스라엘 – 텔아비브

이탈리아 – 로마

태국 – 방콕

타이완 – 타이베이

한국 – 서울

중국 - 홍콩

º 북한과 우호적인 관계에 있는 러시아와 중국은 공격에서 제외된 것으로 보임

영향성

북한 해킹 그룹은 소니 픽쳐스 해킹사건 이 후로 매우 활발한 활동을 펼치고 있음

참고자료

출처 : https://www.nytimes.com/2019/03/03/technology/north-korea-hackers-trump.html

   https://thehackernews.com/2019/03/north-korea-hacking.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29

   https://www.bleepingcomputer.com/news/security/op-sharpshooter-connected-to-north-koreas-lazarus-group/

   https://www.nytimes.com/2018/02/12/technology/winter-olympic-games-hack.html?module=inline)

요약

- CVE-2019-163 : 웹 기반 RV110W 무선-N VPN Firewall, RV130W 무선-N Multifunction VPN, RV215W 무선-N VPN 라우터 관리 인터페이스에 

                       취약점이 존재. 비인가 공격자는 악성 HTTP 요청을 취약 장비에 보내 해당 장치의 운영체제에 높은 사용자 권한으로 원격 코드 

      실행 가능.

- Rapid7의 스캔에 따르면 취약한 장비는 현재 12,000 대이며 미국, 캐나다, 인도, 아르헨티나, 폴란드, 로마니아에 주로 분포

- 보안업체 Bad Packets는 2019. 3/1일 취약장비를 찾기위해 ‘login.cgi’ 스캔 활동이 탐지됐다고 보고.

- 취약점 악용 요인 :

영향 받는 제품은 모두 WiFi 라우터로 소규모 사업체와 가정에서 사용되어 신속한 패치가 이루어지지 않고 있음

취약점 및 패치 발표 1일 후, 취약 장비를 스캔하고 공개된 POC를 이용한 공격이 포착 됨

고급 코딩 스킬이나 복잡한 공격 절차가 필요 없음. 

인터넷을 통해 원격으로 공격이 가능

- 공격 패턴 : Pen Test Partner이 발표한 취약점 분석 예제를 이용한 공격 

                 (https://www.pentestpartners.com/security-blog/cisco-rv130-its-2019-but-yet-strcpy/)

관련 CVE정보

- CVE-2019-1663

- CVSS 3.0 Score : 9.8

- PoC : https://www.pentestpartners.com/security-blog/cisco-rv130-its-2019-but-yet-strcpy/

참고자료

Cisco : https ://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex

출처 : https://www.zdnet.com/article/hackers-have-started-attacks-on-cisco-rv110-rv130-and-rv215-routers/#ftag=RSSbaffb68

   https://www.pentestpartners.com/security-blog/cisco-rv130-its-2019-but-yet-strcpy/

요약

- 신규 Drupal 취약점 발표 3일 후, 해당 취약점을 이용해 가상화폐 채굴, 기타 공격 구문 전송 움직임 포착  

- Drupal은 미흡한 대응방안에 대해 추가(*로 표시) 권고 사항을 발표 

  *모든 Drupal 8 core RESTful 웹 서비스 모듈이 사용 가능으로 설정돼 있을 시 취약

  *(GET 요청만 허용된 경우도 취약)

- 업데이트(*로 표시)된 대응 방안 : 

(1) 버전 업데이트 

1) Drupal 8.6.x -> Drupal 8.6.10

2) Drupal 8.5.x -> Drupal 8.5.11

3) Drupal core 업데이트 후 연관 프로젝트에 대한 보안 업데이트 실시

4) Drupal 7에 대한 core 업데이트는 불필요하나, 일부 Drupal 7관련 모듈은 업데이트가 필요함

Cf. Drupal 8.5.x 이전 버전의 Drupal 8은 서비스가 종료되어 관련 보안 서비스 제공 없음

(2) 즉각적인 대응

1) 모든 웹 서비스 모듈의 사용 불가능으로 설정

2 )웹 서비스 리소스에 대한 *GET/PUT/PATCH/POST 요청이 불가능으로 웹 서버를 설정.

관련 CVE정보

- CVE-2019-6340

- PoC : https://gist.github.com/leonjza/d0ab053be9b06fa020b66f00358e3d88/f9f6a5bb6605745e292bee3a4079f261d891738a

- 취약점 분석 : https://www.ambionics.io/blog/drupal8-rce

탐지룰 존재유무

IBM : HTTP_Drupal_Unserialize_Exec

영향성

취약버전 사용 시 반드시 업데이트 혹은 웹 서비스 리소스 설정 변경 필요

참고자료

Drupal : https://www.drupal.org/sa-core-2019-003

출처 : https://www.imperva.com/blog/latest-drupal-rce-flaw-used-by-cryptocurrency-miners-and-other-attackers/

  https://www.securityweek.com/drupal-rce-flaw-exploited-attacks-days-after-patch

  https://thehackernews.com/2019/02/drupal-hacking-exploit.html

요약

- 멀웨어 특징 : Mac의 빌트인 보안소프트웨어 GateKeeper 등이 Mac 운영체제 호환 파일들만을 점검한다는 점을 이용 (Mac에서 .exe파일 실행 시 오류 메시지만 발생하고, 실행 파일의 보안점검 우회 가능). 

- 공격 방법 : 

º 사용자가 torrent 사이트에서 다운받은 가짜 유명 소프트웨어 설치파일(exe 파일 또는 .dmg,Mac 실행파일)을 실행 시 감염 됨.

º 사용자가 가짜 설치파일을 실행 시, 시스템 정보를 수집해 C&C 서버로 전송.

º 설치 완료 후, Adobe Flash media Player 또는 Little Snitch(소프트웨어 방화벽)로 가장한 애드웨어를 다운로드 해 설치함.

º Trend Micro에 따르면 해당 멀웨어 감염 사례가 영국, 호주, 아르마니아, 룩셈부르크, 남아프리카, 미국 등지에서 다수 보고됨.

º 정확한 공격 패턴은 아직 밝혀지지 않음

영향성

검증된 사이트에서만 파일이나 프로그램을 다운로드 받을 시 해당 멀웨어 감염을 방지 가능

참고자료

TrendMicro보고서 https://blog.trendmicro.com/trendlabs-security-intelligence/windows-app-runs-on-mac-downloads-info-stealer-and-adware/

출처 : https://www.hackread.com/exe-malware-hit-mac-users/

요약

- Talos는 한국인 대상 Cisco Korea의 채용공고 Microsoft Word 파일을 이용한 공격에 대해 분석 자료 발표

- 악성 파일 : 악성 MS Word 파일의 내용은 공식 홈페이지의 채용 공고를 그대로 복사한 것. 

- 악성 코드 : MS Word 파일 내 악성 매크로가 존재해 악성 실행 파일 추출함.

(1) 악성 PE32 실행 파일명 : jusched.exe (Java 업데이터 바이너리 파일 이름과 동일)

(2) 악성 실행 파일 추출 경로 : %APPDATA%\Roaming

(3) 악성 코드: 

① 바이너리 : HTTP를 통해 C&C서버에 접속 시도. 감염시스템에 추가 악성 행위를 위한 스크립트나 PE32실행 파일을 

                 추가로 전송 받는 것으로 보임.

② API 난독화 : 공격자는 4개의 API호출을 숨김. API는 프로세서 생성과 네트워크 커뮤니케이션과 연관 됨.  

(4)정상 웹사이트를 C&C서버로 사용 (www[.]secuvision[.]co[.]kr/)

- 과거 공격과 연관성

(1) 2017년 8월, “주요 IT 정보보호 및 보안 업체 리스트.zip” : 

동일 매크로 기능, 

다른 악성 실행 파일 추출(이름은 동일: jusched.exe) 

동일 API 난독화

정상 웹사이트를 C&C서버로 사용(www[.]syadplus[.]com)

(2) 2017 년 11월, “이력서_자기소개서.xls”:

동일 매크로 기능

다른 악성 실행 파일 추출

악성 파일 : 이력서 양식

정상 웹사이트 C&C서버로 사용(ilovesvc[.]com,)

- 동일한 공격방법(tactic), 테크닉(techniques), 공격 순서(procedures)가 다수의 유사 공격에 사용됨. 

- 해당 공격은 오랜 시간 지속되었고 현재도 진행 중인 것으로 보임 .

영향성

정상 파일로 가장한 악성 첨부파일에 대한 주의 필요

참고자료

Talos 분석 : https://blog.talosintelligence.com/2019/01/fake-korean-job-posting.html

요약

- PHP 공식 홈페이지에서 제공하는 PHP PEAR패키지 내 악성코드가 삽입된 정황 확인됨

- 공식파일(go-pear.phar)이 아닌 PEAR패키지 매니저 설치파일이 공식 홈페이지에 12/20 이후부터 게재된 것을 확인.

    * PEAR(PHP Extension and Application Repository):

       PHP언어를 사용 무료 라이브러리를 누구나 검색하고 다운 받을 수 있도록 개발된  커뮤니티 기반 프레임워크

       패키지(오픈소스 라이브러리)는 개발자들이 자신의 프로젝트에 인증, 캐싱, 암호화, 웹 서비스 등 다양한 기능들을 추가하는데 사용됨.

- 현재까지 명확한 사건경위가 밝혀지지 않은 상태

     최근 6개월간 PEAR패키지(go-pear.phar)를 공식 홈페이지(http://pear.php.net)로 부터 다운받았을 경우, 

     악성코드가 포함된 파일일 가능성이 존재함으로 조치필요.

     (Windows/Mac시스템의 경우 PEAR파일을 수동으로 설치해야 함으로 설치파일을 다운 받았을 가능성이 높음)

- 현재 악성 설치파일을 분석 중(포렌식을 통한 정밀조사)이나 자세한 내용은 추후에 공개할 예정

- 대응관련 상세

    ⓐ 12/20이후 : go-pear.phar 파일을 다운로드/설치했고, 'sh', 'perl' 명령어 사용이 가능한 경우 반드시 조치 필요

    ⓑ 12/20이전 : 파일에 대한 무결성을 보장할 수 없는 상태이므로 최근 6개월간 PEAR설치를 위해 공식 홈페이지에서 go-pear.phar파일을 

                        받은 경우 점검필요

- 대응방안 : 보안이 강화된 공식 PEAR파일을 Github에서 다운받아 설치 (https://github.com/pear/pearweb_phars/releases/tag/v1.10.10)

- 예외

    ⓐ PHP 설치 시 PEAR이 함께 설치된 경우 : install-pear-nozlib.phar 파일을 사용했기 때문에 안전

    ⓑ Unix/Linux/BSD에서는 시스템용 PHP 소프트웨어 내 PEAR 다운로드 매니저(go-pear.phar)가 패키징 되어 제공되므로 안전.

  ※ PEAR설치 패키지파일 자체는 문제없음. 최초 PEAR 설치 시 go-pear.phar을 실행하는 과정이 영향을 받음.

     'pear' 명령어를 사용해 다양한 PEAR 패키지를 설치한 경우에도 영향을 받지 않음.

---------------

Update: 1/15이후 - 1/24 간 다운로드 받았을 경우 위험. 1/15이전에는 클린 파일이 올라가 있었음

영향성

공식홈페이지를 통해 php PEAR 패키지로 파일을 수동으로 다운로드 받아 단독으로 설치했을 경우에만 해당 (공식 Github 설치파일 안전, Unix계열 시스템 안전)

현재까지 확인된 악성행위 : peal을 통해 리버스쉘을 생성하여 104.131.154.154로 통신하도록 제작되어 있음 

참고자료

공식사이트 : http://pear.php.net/

공식블로그 : http://blog.pear.php.net/ (현재 잠재적인 공격/취약점을 대비해 공식사이트 내림. 백업으로 다시 새로운 박스를 만들어서 올릴 예정)

공식트위터 : https://twitter.com/pear

출처 : https://thehackernews.com/2019/01/php-pear-hacked.html