해외 보안 트렌드

최근 이슈가 되고 있는 Zoom의 개인정보 보호 및 취약한 보안 관련 논쟁에 대해 정리한 내용입니다. 

1. 개인정보 보호

1)  개인정보 트래킹

지난 3/26일, 마더보더지는 모바일 iOS Zoom 사용자의 정보가 페이스북에 제공된다고 보도(페이스북 계정이 없는 사용자의 정보까지 페이스북으로 전송되 논란의 소지가 큼)

트래킹(Tracking) 했던 정보 : 사용자의 디바이스 정보, 시간대(타임존), 현재 위치한 도시, 사용 통신사업자 이름 등이며 

 이 정보는 사용자 맞춤형 광고에 사용 

-> Zoom 측 :  현재 트래킹 소프웨어(Facebook SDK) 를 제거하는 중이라고 발표 

2) 학생 개인정보 보호

많은 학교에서 Zoom을 온라인 교육에 사용하는데, 학생들의 개인 정보를 어떻게 사용하느지에 대한 유려 표명.

- 일부 지역에서는 원거리 교육 플랫폼으로 Zoom 사용을 금지 함

-> Zoom 측 : 교육용 개인정보 보호/학생 개인정보 보호 관련 연방 주 법에 입각하여 정보를 수집한다고 밝히고, 3/29 개인정보보호 정책 업데이트 

2. 취약한 보안 및 미흡한 취약점 관련 대응

- 코로나사태로 인해 폭발적으로 증가한 사용량과 이에 따른 Zoom 미팅 시 오가게 되는 민감한 정보들을 보호하기에는 Zoom의 보안 능력이 

  미흡하다는 평가를 받고 있음

1) 소극적인 취약점 관련 대응

- 보안 전문가가 비인가 제 3자에 의한 Zoom 웹캠을 컨트롤 할 수 있는 취약점을 발표했으나, 이에 대한 조치가 신속하게 이루어지지 않음.

the Electronic Privacy Information Center 리서치 기관이 연방 거래위원회에 공식적으로 컴플레인을 제기 된 후 취약점에 대한 조치가 이루어짐

(취약점 공개 후 몇 달 뒤 패치가 발표되는 등 Zoom 관련 취약점이 공개 될 때 이에 대응 하는 속도가 비교적 매우 느림)

2) Zoombombing 

: 최근 Zoom의 화면 공유 기능을 하이재킹 해, 해커가 Zoom 미팅에 참여하여 인종차별, 성희롱, 성인물 컨테츠 등을 게재하는 공격이 일어나고 있음

공격 패턴 : 

- 가짜 Zoom 도메인으로 사용자들을 접속하게 만들어 계정 정보를 탈취 후, 이를 Zoom 미팅을 염탐하는데 이용.

- Check Point사의 보고에 따르면, 2020년 이후 새롭게 등록된 가짜 Zoom 도메인 수는 약 1700여개 이며, 최근 몇 주 사이 이 수가 가파르게 상승 중. 

  (25%에 달하는 도메인이 지난 주에 생성됨, 이 중 4%가 악성 도메인으로 판별, *Fake list에 대한 정보는 현재 공개 되지 않음)

-> Zoom 측 : 전화로 미팅에 초대될 시 암호 인증 단계 추가, 초대한 참석자 및 회사 이메일 주소를 가진 사람만 미팅에 참여할 수 있는 기능을 추가

3. 참고자료

hxxps://threatpost.com/zoom-scrutinized-as-security-woes-mount/154305/

hxxps://www.nytimes.com/2020/03/30/technology/new-york-attorney-general-zoom-privacy.html

마더보더지 원문 :  hxxps://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account

Check Point사 가짜 Zoom 도메인 통계 : hxxps://blog.checkpoint.com/2020/03/30/covid-19-impact-cyber-criminals-target-zoom-domains/

요약

- 2018 년말부터 2019년 사이의 김수키(Kimsuky) 해킹 그룹의 활동을 분석한 결과 

- 특정 IP 대역을 사용하고 기반시설을 구축 시 도메인, C&C 서버 폴더 네이밍의 특징 발견.

A. 사용 IP 주소 특징

- 활용된 주요 IP대역 : 185.224.137.0/23, 185.224.138.0/23

※185.224.137.164 : 2018년 12월 - 2020년 1월사이 최소 24개의 악성 도메인의 주소로 활용

위 IP를 사용한 악성 도메인과 사용 기간

user-daum-centre.pe.hu (2019-04-15 ~ 2019-05-21)

rrnaver.com (2019-08-21 ~ 2020-01-01)

nortice-centre.esy.es (2020-01-02 ~ 2020-01-28)

kakao-check.esy.es (2019-06 ~ 2019-11)

B.  사용 Domain 특징 

- pe.hu - 다수 서브도메인 사용, Kabar Cobra, Kitty Phishing, WildCommand 등의 공격에 활용

- hol.es - 다수 서브도메인 사용, WildCommand, MoneyHolic, MyDogs 악성코드, Red Salt 공격에 사용

- esy.es - 다수 서브도메인 사용, WildCommand와 MoneyHolic 간 인프라 설정강화, MyDogs 악성코드, Red Salt 공격에 활용

- 890m.com - 다수 서브도메인 사용, WildCommand, KONNI 그룹의 다양한 공격에 활용

북한 기반 다른 해킹 그룹(APT37/Reaper) 도 해당 도메인 사용 (2019)

ex) hol.es, 890m.com 

C. 기반 시설 설정 관련 특징 

1) 네이밍 

① 크리덴셜 피싱에 활용할 특정 기관, 단체의 이름을 활용

② 한국에서 사용되는 특정 소프트웨어의 이름과 일반, 업무, 사업관련 단어를 조합

③ 순차적 번호를 일반 단어와 조합하여 정식 이메일 서비스, 도메인을 사칭

2) 주로 사용된 C&C 폴더 네이밍

① /Est/up, /Est/down

② /bbs/data/temp

③ /bbs/data

④ /bbs/filter

참고자료

출처 : hxxps://www.pwc.co.uk/issues/cyber-security-data-privacy/research/tracking-kimsuky-north-korea-based-cyber-espionage-group-part-1.html

요약

- Pirate Bay, TorrentGalaxy, 1337x 등을 포함한 유명 토렌트 웹사이트는 악성코드를 유포하는 이유로 CrackNow 업로더의 사용을 금지시킴

- CrackNow : 유명 토렌트 사이트에서 신뢰할 수 있는 업로더로 알려졌음

- 피해 사례 : 해당 업로더의 토렌트를 다운받은 다수의 사용자가 GandCrab 랜섬웨어와 기타 악성 코드에 감염 됨.

- 현재 개인플랫폼 CracksNow.com 를 설립해 정기적으로 토렌트 파일을 올리고 있는 것으로 알려짐.

영향성

신뢰된 소스를 통해서만 소프트웨어를 다운로드 할 것

참고자료

출처 : https://thehackernews.com/2019/02/malware-torrent-download.html

   https://gbhackers.com/torrents-sites-banned-cracknow/

요약

- Emotet : Mealybug 그룹이 개발한 모듈방식의 Trojan. 정보유출형 악성코드로 로그인 정보, 개인정보, 금융 정보들을 탈취하고 주로 스팸 이메일을 이용해 전파 됨

- 변종 Emotet : 백신프로그램의 탐지를 피하기 위해 Microsoft Word 파일로 가장한 XML파일에 악성 매크로를 내장함

         (과거 : 악성 매크로를 삽입한 Microsoft Word 문서 형식)

- 최초 발견시기 : 2019년 1월 중순 (Menlo Security 보고)

- Emotet 활동 이력 : 현재까지 활발한 활동을 보임.

2018년 10월 : 이메일 주소를 탈취 이력

2018년 11월 : C&C 기반시설을 미국으로 이동, 금융 단체 또는 미국 추수감사절 감사장으로 가장한 이메일로 전파 시도

2019년 1월 : 수신자의 IP주소가 Spamhaus, SpamCop, SORBS가 운영하는 블랙리스트 또는 스팸리스트에 해당이 되는지 확인할 수 있는 

                 기능이 추가 됨

탐지룰 존재유무

IBM : HTTP_Emotet_Trojan_CnC

Symantec  : System Infected: Emotet Activity 2, 

System Infected: Trojan.Emotet Activity 3

System Infected: Trojan.Emotet Activity 4

System Infected: Trojan.Emotet Activity 6

System Infected: W32.Emotet.B Activity

Web Attack: Emotet Download 2

참고자료

Menlo Security 변종 Emotet 분석 : https://www.menlosecurity.com/blog/emotet-a-small-change-in-tactics-leads-to-a-spike-in-attacks

출처 : https://www.bleepingcomputer.com/news/security/emotet-uses-camouflaged-malicious-macros-to-avoid-antivirus-detection/

  https://threatpost.com/emotet-evasion-tactic-xml/141862/

요약

- Adiantum : 모바일 기기, IoT 기기의 성능을 저하시키지 않고 로컬 데이터 암호화가 가능한 알고리즘.

- 기존 모바일 기기 암호화 문제점 : Google은 안드로이드 기기 제조사들에게 AES(Advanced Encryption Standard)암호화가 가능하도록 

  기기 제조를 요구해왔으나, 현실적으로 저가형 모바일, 커넥티드 기기의 경우, AES 암호화 성능이 저조하여(50MiB/s 이하) 암호화 기능 자체를 

  사용 하지 않도록 설정되어 있음

- 위의 문제점을 보안하기 위해 Adiantum 개발. 

- Adiantum 장점 : ChaCha 스트림 암호 사용(AES암호에 비해 안전성과 속도가 높음), 저가형 ARM 프로세서 성능에 영향을 끼치지 않고 

                       보안성을 극대화 할 수 있음

- Adiantum을 이용해 Google은 스마트워치부터 커넥티드 의료 장비에 이르기까지 보안성을 업그레이드한 차세대 모바일, IoT 기기 개발을 

  염두에 두고 있음

영향성

모바일, IoT기기의 보안 성능 강화를 이끌 것으로 예상 됨

참고자료

Adiantum Whitepaper : https://opensource.google.com/projects/adiantum

Google 블로그 : https://security.googleblog.com/2019/02/introducing-adiantum-encryption-for.html

출처 : https://thehackernews.com/2019/02/fast-adiantum-file-encryption.html

요약

*Xbash Linux malware : 2018년 최초 등장했으며 다양한 기능을  가짐(랜섬웨어, 가상화폐 마이닝, 자가 전파, DB 삭제, 감염 서버 봇화)  

- Palo Alto Network 보안연구진은 5 종류의 클라우드 보안 제품을 제거하고 감염된 리눅스 서버의 제품을 모니터링 할 수 있는 코드가 추가된 Xbash 리눅스 멀웨어 샘플을 발표

(멀웨어는 호스트의 전체 관리 권한을 획득하여 실제 관리자만이 할 수 있는 보안 프로그램 제거 가능)

- 공격 방법 : 

C&C 서버 생성 -> 쉘 스크립트 다운로드 -> 다른 가상화폐 채굴 프로세서 제거 및 가상화폐채굴 멀웨어 블락 -> 클라우드 보안 제품 제거 -> 코인 마이너에 숨겨진 UPX(Ultimate Packers for eXecutables) 실행 -> 리눅스 ps 명령어에서 멀웨어 프로세서 숨김 -> 멀웨어 파일 날짜와 시간 조정

*UPX : 오픈소스 실행파일 압축프로그램

- 영향받는 제품 : Tencent Cloud와 Alibaba Cloud 개발 보안 제품이 현재 해당 멀웨어 공격으로 제거 가능한 것으로 확인 됨

- Rocke : Xbash멀웨어 사용 그룹으로 Iron 사이버 범죄 조직과 관련 있음(*Iron은 Iron ransomeware 제작 그룹). 감염된 리눅스 서버로 모네로 가상화폐 채굴이 주 공격으로 알려져 있으며 Apache Struts 2, Oracle WebLogic, Adobe ColdFusion의 취약점이 주 목표 대상으로 함. 

- 영향성 : Palo에 따르면, Xbash멀웨어는 특정 클라우드 보안 제품을 목표로 하고 제거할 수 있는 기능을 가진 최초의 멀웨어 임. 

  클라우드 서비스 제공사들은 멀웨어 공격을 막기 위해 자체 클라우드 워크로드 보안 플랫폼(Cloud Workload Protection   Plaforms.,CWPPs)을 개발하였으나 Xbash 탐지에 효과 없는 것을 나타남 

- 변종 Xbash 분석 : https://unit42.paloaltonetworks.com/malware-used-by-rocke-group-evolves-to-evade-detection-by-cloud-security-products/

탐지룰 존재유무

기존 Xbash 멀웨어 탐지룰 : 

- Ransom.Linux.XBASH.A

- Ransom.Linux.XBASH.AB

- Ransom.Linux.XBASH.AC

- Ransom.Linux.XBASH.AD

- Ransom.Linux.XBASH.AE

- Ransom.Linux.XBASH.AF

- Trojan.JS.POWLOAD.AA 

- Trojan.VBS.POWLOAD.AB

- Trojan.Win32.INFOSTEAL.TIDAOCN

- Coinminer.Win32.MALXMR.AX

- Coinminer_TOOLXMR.SMB-WIN64

- Coinminer.Unix.MALXMR.AA

영향성

퍼블릭 클라우드 기반시설을 목표로 하는 멀웨어를 막기에는 에이전트기반 클라우드 보안 솔루션은 한계를 보임

참고자료

Palo Alto Network 보고서 원문 : https://unit42.paloaltonetworks.com/malware-used-by-rocke-group-evolves-to-evade-detection-by-cloud-security-products/

출처 : https://www.securityweek.com/xbash-malware-uninstalls-cloud-security-products

요약

- 2020년 1월 14일을 기점으로 Windows 7에 대한 기술적 지원 중단.

- 엔터프라이즈 Windows 7를 사용하는 회사는 기술 지원 연장을 위해서는 연간 100만달러(약 11억2050만원) 이상의 라이센스비를 지불 해야 함.

- 12개월안에 마이그레이션을 해야 하는 상황 (대규모 회사의 경우 Windows XP에서 Windows 7으로 마이그레이션 하는데 길게는 3년이 걸리기도 함)

- ‘Windows as a Service’ 라는 Microsoft의 새로운 시스템에 따라 마이그레이션이 완료된 후에도 Windows 10 을 계속적으로 업데이트 해야 함

   이는 노후화된 인프라스트럭처를 사용 중인 시스템에 현실적으로 불가능 함

- 2018년 12월을 기준 Windows 사용자 중 35.63%가 Windows 7을 사용 (Windows 10 사용 : 52.36%)

영향성

기업 사용자들은 단계적 마이그레이션 실시 혹은 서비스 종료 후 시스템 유지 보수에 대한 대책 마련 필요

참고자료

출처: https://www.helpnetsecurity.com/2019/01/15/still-running-windows-7/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+HelpNetSecurity+%28Help+Net+Security%29

 https://www.howtogeek.com/400783/windows-7-only-has-one-year-of-security-patches-left/

요약

- Google은 DNS(Domain Name System) 서비스(8.8.8.8, 8.8.4.4)를 TLS(Transport Layer Security) 보안 프로토콜을 통해 제공

  (DNS 쿼리와 응답값은 TLS 암호화된 TCP로 전송됨)

- DNS-over-TLS는 2가지 모드로 사용 가능: strict, opportunistic 프라이버스 모드 

- Strict 프라이버시 모드 : 장비/시스템은 DNS서버와의 시큐어 TLS 연결 시 853포트를 사용(접속에 실패할 시, 서버는 error로 응답)

- Opportunistic 프라이버시 모드 :  853포트를 통한 서버와의 시큐어 TLS 연결에 실패할 시, 보안과 프라이버시 기능이 없는 일반 UDP 또는 TCP를 사용. 일반 DNS 포트 53을 이용해 DNS 서버와 접속.

- Android 9 Pie 사용자는 모바일에서도 DNS-over-TLS 사용가능(이하 버전의 사용 불가능)

- 일반적으로 DNS 쿼리는 UDP와 TCP로 암호화되는 과정없이 평문으로 전송되어 사용자의 접속 사이트를 알 수 있을 뿐 아니라 스푸핑 공격에도 취약함.

*Google외에도 DNS-over-TLS 기능을 사용하는 회사로 Cloudflare(1.1.1.1)가 있음

영향성

Google DNS보다 Cloudflare(속도가 훨씬 빠르며, Google과 달리 사용자의 데이터를 수집하여 판매하지 않음)의 서비스에 대한 관심도가 더 높음.

참고자료

출처: https://thehackernews.com/2019/01/google-dns-over-tls-security.html

  https://www.zdnet.com/article/google-public-dns-gets-dns-over-tls-treatment/