해외 보안 트렌드

요약

-강력한 NSA(National Security Agency) 공격툴에 대한 패치가 풀린 지 1년이 지났지만 아직도 수 십만 대의 컴퓨터가 공격에 취약한 것으로 나타남.

-유출된 공격툴은 랜섬웨어를 퍼뜨리고, 가상화폐 마이닝 공격을 하는데 사용됨. 

-이를 활용해 고도화된 프록시 네트워크를 개발하는데도 활용된 것을 포착 : UPnProxy취약점 공격

-기존의 UPnProxy 취약점 공격은 NAT(network address translation)룰에 의해 방어가 가능했지만, 이를 뛰어 넘어 라우터 방화벽을 통과해 취약한 컴퓨터에 대한 공격이 가능

-공격툴 :

①EternalBlue :NSA로부터 유출된 공격툴로 모든 Windows버전에 공격 가능. 패치가 풀린 후에도 WannaCry와 NotPetya등의 공격 등에 사용됨 

②EternalRed : Samba와 Eternal계 공격을 Linux 기반 컴퓨터 공격. SambaCry라는 가상화폐 마이닝 공격에 사용됨. 

-공격방법: UPnProxy가 취약한 라우터의 포트에 매핑(mapping) 되도록 조작될 때, 위의 공격툴들은 

  SMB(대부분의 컴퓨터가 사용하는 일반적인 네트워킹 프로토콜)을 사용한 서비스 포트를 공격 함.

  2개의 툴을 함께 사용해 공격하면 더욱더 많은 취약장비에 프록시 네트워크를  퍼트릴 수 있음.(이 같은 공격을 EternalSilence 라고 칭함)

-Akamai 연구진에 따르면 이와 같은 공격에 감염된 장비는 45,000 이상이며, 100만대의 컴퓨터가 명령 대기 중임.

-Eternal 툴을 이용한 공격은 탐지가 어려워 관리자가 감염 여부를 인지하기 어려움.

-라우터의 펌웨어를 교체하거나 UPnP 사용을 제한이 임시적인 대응 방안이 될 수 있지만 확실한 방법으로는 라우터를 교체해야 함. 

관련 CVE정보

-EternalBlue (CVE-2017-0144) 

-EternalRed (CVE-2017-7494)

탐지룰 존재유무

-벤더룰 : SMB1_Windows_Overflow_02(CVE-2017-0144), Samba_IsKnownPipename_Exec(CVE-2017-7494)

영향성

API를 통해 다른 어플리케이션과 데이터에 접근이 가능해 해커들에게 점점 더 매력적인 공격 목표가 되고 있어 API관련 보안 대책 필요

참고자료

Akamai연구본문: https://blogs.akamai.com/sitr/2018/11/upnproxy-eternalsilence

출처: https://techcrunch.com/2018/11/28/hackers-nsa-eternalblue-exploit-hijack-computers/

요약

-블랙프라이데이, 사이버 먼데이 등의 연휴 쇼핑철과 맞물려 사이버 공격 기승.

-Carbon Black이 Holiday Threat Report에 따르면 작년에 비해 미국 연휴철 사이버 공격이 60% 증가했으며 그 중 사이버 먼데이에 공격 급증.

-2017년 연휴철 글로벌 단체를 대상으로 한 공격이 57.5% 증가(2016년 연휴철에는 20.5% 증가)

-올해 연휴철 공격의 큰 증감은 최근 미국 우체국이 6천만명의 이메일 주소, 계정 번호, 주소, 메일 광고 자료, 전화번호 등 기업 사용자에 대한 계정 세부정보가 1년동안 공개되었던 것과 연관이 있음. 

-해당 취약점은 1년전 익명의 보안전문가가 발견해 신고했으나, Brian Krebs이 지난 주 미국우체국에 알리기 전까지 패치 되지 않았음.

-취약원인 : 실시간 배송 추적, 회사와 기관 광고를 위한 대량 이메일 발송을 제공하는 서비스 정보 시각화 기능에 사용되는 API 인증이 약함

취약점 : 미국우체국 사이트(USPS.com)에 로그인한 아무 사용자가 어떠한 인증 절차도 없이 검색 파라미터를 변경하여 누구든지 특정 단어들을 검색할 필요 없이 제공되는 모든 데이터를 요청할 수 있음.

-유출된 데이터는 소셜엔지니어링과 피싱 등에 악용될 소지가 큼.

-미국우체국은 현재 유출 데이터로 인한 피해는 없다고 밝혔으나, 왜 1년동안 취약점에 대한 패치를 하지 않았는지에 대한 언급은 없음.

-지난 주 아마존도 API 이슈와 관련해 사용자의 이메일 주소를 노출한 사건이 있었음. 

영향성

API를 통해 다른 어플리케이션과 데이터에 접근이 가능해 해커들에게 점점 더 매력적인 공격 목표가 되고 있어 API관련 보안 대책 필요

참고자료

Carbon Black, Holiday Threat Report : https://www.carbonblack.com/2018-holiday-threat-report/

출처: https://threatpost.com/usps-amazon-data-leaks-showcase-api-weaknesses/139362/

요약

- 러시아 백신회사 ‘Dr.Web’ 이 달 새롭게 발견함. 현재 뚜렷한 명칭은 없으며 ‘Linux.BtcMine.174’라고 탐지됨.

- 공격 시나리오 : 

① Trojan은 1000줄의 큰 쉘 스크립트로 감염된 리눅스 시스템에서 처음으로 실행되는 파일임. 스크립트의 역할은 쓰기 권한이 허락된 폴더를 디스크 내에서 찾아, 스크립트를 복제하고 후에 다른 모듈을 다운로드 함 

② 권한 상승 취약점 CVE-2016-5195(Dirty COW)와 CVE-2013-2094 중 하나를 이용하여 root 권한을 획득하고 OS 전체 접근

③ Trojan은 nohup(리눅스에서 프로세스를 백그라운드로 실행할 수 있게함) 유틸리티가 없을 시 다운로드하여 스스로를 로컬 데몬으로 설정

④ 감염된 호스트를 장악 후 시스템을 스캔하고 다른 가상화폐 채굴 멀웨어를 종료 

⑤ 모네로 채굴기를 다운로드 하고 실행

⑥ 또 다른 멀웨어 Bill.Gates Trojan(DDoS 멀웨어로 유사한 백도어 기능을 많이 가지고 있음)를 다운로드하여 실행

⑦ Linux기반의 백신 이름과 유사한 프로세서를 찾아 죽여 백신이 탐지하는 것을 원천 봉쇄

*프로세서 이름의 예: safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord 

⑧ trojan을 오토런 파일 리스트에 추가함 (etc/rc.local, /etc/rc.d/...,  /etc/cron.hourly) 

⑨ rootkit을 다운로드하고 실행함

*루트킷은 su 명령어를 이용해 사용자가 입력한 패스워드를 훔치고, 파일 시스템에 파일을 숨기고 네트워크 연결과 프로세서 실행을 할 수 있음

⑩ 감염된 호스타가 SSH를 통해 연결된 원격서버에 대한 정보를 모으는 함수를 실행하고 멀웨어를 전파하기 위해 그 서버들과도 연결을 시도.

*SSH를 통한 자가 증식 방법이 Linux.BtcMine.174의 주요한 전파 방식임. Linux.BtcMine.174은 유효한 SSH 크리덴셜을 훔치기 때문에 리눅스 sysadmin이 SSH 연결 서버에 대해 적절한 보안정책을 펼치고 일부 선택된 호스트에 대해서만 연결을 허락할지라도, sysadmin이 인지 하지 못한 상태에서 허락된 호스트 중 하나라도 감염이 되면 추가 감염은 불가피함. 

관련 CVE정보

- CVE-2016-5195(Dirty COW) : 커널 취약점으로 리눅스와 안드로이드 장치 대상 공격. 

악성 코드가 읽기만 가능한 메모리에 쓰기권한을 획득할 수 있음. 

- CVE-2016-5195(Dirty COW)  PoC: https://github.com/scumjr/dirtycow-vdso

- CVE-2013-2094 : 리눅스 커널 취약점으로 로컬 유저가 시스템 권한을 획득 할 수 있음

(http://timetobleed.com/a-closer-look-at-a-recent-privilege-escalation-bug-in-linux-cve-2013-2094/)

- CVE-2013-2094 PoC : https://github.com/realtalk/cve-2013-2094

영향성

권한상승 취약점(CVE-2016-5195(Dirty COW)와 CVE-2013-2094)중 하나를 이용하여 root권한을 획득 하여야 추가 행위가 이루어 짐

해당 취약점의 경우 Linux 4.8. 이상의 버전을 사용할 경우 해결됨

참고자료

Linux.BtcMine.174 Hash정보 : https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174

Dr.WEB 분석 원문: https://vms.drweb.com/virus/?i=17645163

출처: https://www.zdnet.com/article/new-linux-crypto-miner-steals-your-root-password-and-disables-your-antivirus/#ftag=RSSbaffb68

요약

- 피해 사용자들에게 이메일로 알림

- 피해 사실에 대한 자세한 내용은 밝히지 않음

- 월스트리트저널이 과거 아마존이 뇌물의 대가로 사용자 이메일 주소를 유포한 직원들에 대한 조사를 벌이고 있다고 보도한 적이 있음.

- 일각에서는 지난달 제3의 판매자에게 고객 이메일을 공유한데 따라 직원 1명을 해고한 것과 연관된 것일 수도 있다고들 함

- Kolochenko, High-Tech Bridge 웹 보안 회사 CEO 曰 : 데이터 유출 '사고'라고 하기엔 부적절하며, 사실상 부주의로 인한 프로그램 에러로 인해 고객 프로파일의 일부가 불특정 다수에게 노출된 것.

영향성

-기술적 문제에 대해 아마존이 아직 밝히지 않아, 정확한 사건 경위 파악이 힘든 상태. 아마존의 공식적 입장에 이목이 집중되고 있음.

참고자료

출처: https://www.securityweek.com/amazon-exposes-customer-names-email-addresses

<요약>

Recorded Future보고서 원문 : https://www.recordedfuture.com/chinese-threat-actor-tempperiscope/?utm_source=SecurityWeek

공격그룹 : TEMP.Periscope 혹은 Leviathan으로 불림. 최근 5년간 활동. 올해 초 영국 엔지니어와 해운업 회사들을 공격. 

  2017년 10월경 TEMP.Periscope이 중국인 해커집단이라고 처음으로 언급됨

추측 : 

1) 러시아 해커 집단이 TEMP.Periscope기술을 차용했을 가능성

2) TEMP.Periscope이 러시아 해커들의 기술을 차용했을 가능성

3) 혹은 제 3의 해커 집단이 러시아와 TEMP.Periscope의 기술을 차용했을 가능성

-> Recorded Future의 조사에 따르면 중국인 해커 집단의 소행일 가능성이 유력

공격목표 : 민감한 정보와 기밀 기술, 데이터 등에 접근하기 위한 것으로 추측

<과거 활동>

Microsoft Equation Editor 취약점(CVE-2017011882)을 이용하여 Cobalt Strike 페이로드를 보내는 공격.

<현재 활동 >

- APT28, Dragonfly, TEMP.Periscope와 연관된 기술들을 사용

- 2017년 7월, 영국 소재의 엔지니어 회사에 스피어피싱 공격을 펼침 (같은 회사는 2017년 5월에도 ETERNALBLUE 공격과 

   DNS 터널러(tunneler) 백도어 공격을 받음)

- 캄보디아 기자 이메일 공격(캄보디아 현지 정치, 인권 운동, 중국 발전에 주로 다루는 프리랜서 기자)

- 러시아 해커 그룹 Dragonfly와 APT28의 공격 방법TTPs(Tactics, Techniques and Procedures)을 활용함

- Dragonfly의 독자적인 공격방식인 SMB 크리덴셜(credential)과 APT28의 공격기술인 오픈소스툴 리스판더를 

  넷바이오스 네임 서비스(NBT-NS)포이즈너로 사용(2017년 APT28이 호텔 투숙객을 타깃으로한 공격에 사용한 방법) 

-  scsnewstoday[.]com 을 C&C로 활용.(해당 도메인은 최근 캄보디아 정부 공격에 사용됨. 

   과거 AIRBREAK 다운로더를 전파하는데에도 사용)

- 스피어 피싱에 사용된 이메일은 Foxmail계정에서 보내짐. 2018년 7월6일 악성링크를 첨부한 메일을 영국 회사에 보냄

1번째 링크 : ""file://""로 SMB세션을 실행하도록 구성

2번째 링크 : URL파일로 아웃바운드 SMB 연결을 하도록 구성

<영향성>

중국해커집단의 첨단기술 분야의 회사들에 대한 공격이 계속 되며, 특히 해운업관련 회사에 초점을 맞출 것으로 예상.

<참고자료>

Recorded Future보고서 원문 : https://www.recordedfuture.com/chinese-threat-actor-tempperiscope/?utm_source=SecurityWeek

출처 : https://www.securityweek.com/chinese-hackers-target-uk-engineering-company-report

<요약>

BGPmon은 태평양시간 11/12일 13:12~14:35 사이 나이지리아 ISP Google 데이터센터 트래픽을 하이재킹 탐지(BGP 하이잭)

소규모 나이지리아 ISP업체 MainOne Cable Company(AS37282)가 주변 ISP들에게 원래 Google센터로 할당된 IP주소들을 자신들이 호스팅 한다고 알리면서 발발.

212개의 Google 네트워크 프리픽스(prefix)을 호스팅한다고 총 74분간 잘못 알림

(21:13 - 21:17 4min, 21:18 - 21:21 3min, 21:22 - 21:28 6min, 21:30 - 21:50 20min, 21:51 - 22:32 41min)

이로인해 다른 ISP업체들은 정상적인 BGP 라우트대신 ,Google로 가야 할 트래픽을 MainOne 네트워크로 보냄.

트래픽은 대부분 러시아 TransTelecom(AS 20485)와 중국 China Telecom(AS 4809)을 통과함.

트래픽은 비즈니스 레벨간의 트래픽에 영향을 미쳤으며, 소비자 레벨의 네트워크에는 영향을 미치지 않음.

Google 트래픽이 소규모 나이지리아 ISP로 연결되어, 후에 트래픽이 드랍됨 -> Google, Spotify(온라인 음원재생사이트) 등 접속 장애 발생.

MainOne은 네트워크 업그레이드 중 잘못된 BGP 필터 설정에 의해 일어난 것이라고 입장 발표.

<영향성>

지난달 발표된 학술지에 인터넷 트래픽이 대량으로 China Telecom에 의해 악의적 리다이렉팅 된다고 발표됐으며, 

이를 Cisco가 사실이라고 입증함.

중국정부가 운영하는 China Telcom이 연관되면서 최근 미국과 중국간의 정치적 경제적 대립의 일환이라는 의견

Google과 같이 막대한 자원을 가진 회사조차 BGP 하이잭에 취약함

1980년대에 개발된 BGP 프로토콜은 보안 기능이 없지만 아직도 널리 사용되고 있음

<참고자료>

ThousandEyes 분석내용: https://blog.thousandeyes.com/internet-vulnerability-takes-down-google/

출처: https://www.zdnet.com/article/google-traffic-hijacked-via-tiny-nigerian-isp/#ftag=RSSbaffb68

  https://www.independent.co.uk/life-style/gadgets-and-tech/news/internet-hijack-google-traffic-china-russia-a8631266.html

<취약점>

인증되지 않은 공격자는 새로운 관리자 계정을 추가하여 목표 웹사이트에 대한 접근 권한을 획득할 수 있음.

<공격 패턴>

 (1)  공격자는 취약점을 공격하여 설정을 조작하고, 새로운 사용자를 등록할 수 있게 함. 

새로 등록된 사용자를 ‘관리자’로 바꿔 사이트의 관리자 접근 권한을 가능하게 함

관리자 권한을 획득한 후에 새 등록자 계정을 일반 계정으로 원상복귀 시켜 다른 공격자의 침입을 막고, 의심을 받지 않게 함.

새로 생성한 개정으로 로그인한 뒤 공격자는 PHP 웹셸을 업로드하여 공격 최종 완료

(2) 웹사이트 WP-크론 스케줄에 악의적인 행동을 취해 백도어를 설치하는 방법의 공격

    공격보다 훨씬 더 복잡하지만, 백도어가 제거된 후에도 계속해서 백도어를 생성할 수 있음

<영향성>

하이재킹한 웹사이트를 이용해 공격자는 스팸, 피싱, 직/간접적인 금융 사기 등의 다양한 공격을 펼칠 수 있음

현 시점에서 이러한 공격을 펼치는 해커들이 목적이 불분명하여 즉각적인 대응 필요.

<WordPress GDPR 준수 플러그인>

WordPress GDPR 준수 플러그인은 웹사이트 운영자가 EU의 일반개인정보보호법(GDPR(General Data Protection Regulation))을 지킬 수 있도록 고안된 것. Contact Form, Gravity Form, WordPress Comment, WooCommerce와 같은 플러그인을 서포트함.

<관련 CVE정보>

현재(2018.11.13 9:23) 확인 안됨

PoC현재까지 확인 안됨

<탐지룰 존재유무>

벤더룰 : 현재 없음 (취약점 조사 진행한 회사(WordFence)에서 유료회원 대상으로 방화벽 룰 제공 중)

<대응방안>

WordPress는 해당 플러그인의 ‘사용중지’함. 플러그인을 최신 버전 1.4.3으로 업데이트 할 시 안전.

     (https://wordpress.org/support/topic/important-update-to-1-4-3-immediately/)

<참고자료>

출처: https://wordpress.org/support/topic/important-update-to-1-4-3-immediately/

https://www.wordfence.com/blog/2018/11/privilege-escalation-flaw-in-wp-gdpr-compliance-plugin-exploited-in-the-wild/

Palo Alto Network 보안 전문가,  Inception 그룹 공격 경고

리서치 원문 : https://researchcenter.paloaltonetworks.com/2018/11/unit42-inception-attackers-target-europe-year-old-office-vulnerability/

<Inception 활동 이력>

2014년 : 자체 제작 악성코드 사용해 전세계 대상 활동. 특히 러시아 공격에 집중

2018년 10월 : 2017년 11월에 패치 된 Microsoft 취약점(CVE-2017-11882)이용해 다양한 유럽 유저들을 공격한 것이 포착됨.

이번 공격에는 새로운 PowerShell 백도어(POWERSHOWER라고도 불림)를 사용한 것으로 알려짐.

악성 문서와 악성 페이로드를 전송하기 위한 원격 템플릿을 이용함.

과거패턴 : 동일한 악성 문서를 이용한 공격을 함. 최초 접근 시 정착을 위한 스피어 피싱 문서를 포함한 2개의 악성 문서를 이용

<Inception 그룹 공격방법>

MS Word는 인터넷이나 파일쉐어 등의 외부에서 호스팅되는 템플릿을 로딩하는 것을 허용함. 

템플릿이 로딩 됨과 동시에 문서가 열리고, 공격자는 이러한 기능을 악의적으로 사용함.

최초 악성 문서는 직접적으로 악성 목표를 띄지 않는다는 장점들을 이용하여 지난 4년간  원격 템플릿 공격방법을 이용. 

이러한 방법은 공격자가 공격 대상으로부터 받은 초기 데이터를 기반으로 피해자에게 악성 콘텐츠를 배포할 수 있게 함. 

(이는 호스팅 서버가 다운되면 악성코드 연구자들이 공격에 대한 연구를 하기 힘들게 함)

최근 공격에서 사용된 악성 문서는 HTTP를 통해 원격 콘텐츠를 획득하려는 시도를 함. 

악성 템플릿은 CVE-2012-1856과 CVE-2017-11882 공격 구문 POWERSHOWER를 포함

<POWERSHOWER>

최초 정찰의 발판으로 사용되고 좀 더 완성도 높은 기능을 포함한 2차 페이로드 실행하고 다운로드를 도움.

파일과 레지스트리 키를 포함한 dropper 프로세서로부터 상당량의 포렌직 증거를 지울 수 있음

(-> 이 또한 공격에 대한 분석 시, 정교하고 복잡한 악성 코드를 숨기는데 도움이 됨) 

<관련 CVE코드>

CVE-2017-11882, CVE-2012-1856

PoC:

CVE-2017-11882 : https://github.com/embedi/CVE-2017-11882

CVE-2012-1856 : https://blog.ropchain.com/2015/07/27/analyzing-vupens-cve-2012-1856/

출처 : https://www.securityweek.com/inception-attackers-combine-old-exploit-and-new-backdoor