해외 보안 트렌드

요약

- 미국 국가 안보국(National Security Agency)이 개발해 사용 중이던 GHIDRA 툴을 오는 3월 샌프란시스코에서 열리는 RSA 컨퍼런스에서 공개 할 예정.

- 공개 후 NSA 공식 GitHub 계정에서 다운로드가 가능.

- GHIDRA:

지난 몇 년간 개발이 되어 왔으며, 이미 몇몇 정부 기관에서 의심스러운 소프트웨어나 멀웨어의 분석에 사용 중.

2017년 3월 Vault7이 발표한 WikiLeaks에서 처음 소개 됨

- GHIDRA 특징 : Java 기반, GUI(Graphical user interface) 채택, Windows, Mac, Linux 호환. Windows, Mac, Linux, Android, iOS 등의 메이저 운영체제의 바이너리를 분석 가능. 모듈 아키텍처를 사용해 페키지 추가 시 기능 추가 가능. 상용 툴의 거의 모든 기능을 다 가지고 있다고 주장함.

- GHIDRA vs. IDA :

IDA : 유명한 리버스 엔지니어링 툴로 라이선스 가격이 몇 백만원에 달함.

GHIDRA가 더 느리고, 버그가 많다는 후기. 하지만 GHIDRA는 오픈소스로 유지,보수, 업그레이드 면에서 큰 장점이 있을 듯 

     *NSA는 지속적으로 다양한 오픈 소스 툴을  제공한 바 있음. 가장 성공적인 툴로는 Apache NiFi(웹 어플리케이션 간 대량의 데이터를 자동으로 전송)가 있음.

     Technology Transfer Program(TPP)의 일환으로 32개의 오픈소스 툴을 공개함. 현재 공식 GitHub 계정도 운영.

참고자료

NSA GitHub계정: https://github.com/nationalsecurityagency

IDA: https://www.hex-rays.com/products/ida/index.shtml

출처 : https://www.zdnet.com/article/nsa-to-release-a-free-reverse-engineering-tool/

  https://www.securityweek.com/nsa-release-reverse-engineering-tool-free-public-use?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

요약

- 다크웹의 내용을 검색엔진을 사용해 손쉽게 탐색 가능

- 개발자는 최근 5년간 140,00개 이상의 다크웹 사이트에서 14억개의  다크웹 링크, 4억5000만개의 문서를 인덱싱 함.

(이 중에는 390만개의 신용 카드 정보도 포함 됨)

- 검색엔진 특성상 악용될 소지가 있어 라이선스 취득 신청의 30~40%는 거절 됨.

- 차후 AI 기능을 접목하여 아동 범죄 피해자 신상, 저작관 문제, 무기 제조 등과 관련된 내용에 대한 주의 경보 기능을 추가할 예정.

- 기술과 관련해 공식적인 정보는 없는 상황 

영향성

    다크웹의 데이터 또한 쉽게 검색 가능해 질 것이라며 많은 관심을 받고 있음.

참고자료

Aleph Network 웹사이트 : http://www.aleph-networks.com/en

출처: https://www.securityweek.com/french-startup-offers-dark-web-compass-not-everyone

  https://technology.inquirer.net/82339/french-start-up-offers-dark-web-compass-but-not-for-everyone

요약

- NIST(National Institue of Standards and Technology) 책정된 정부 기금을 모두 소진하여 추후 공지가 있을 때 까지 NIST 관련 모든 웹사이트들이 사용 불가.

영향성

- 허리케인과 FAA 항공 플랜 조사에 사용되는 연구 컴퓨터를 제외하고 모든 서비스 사용 불가

참고자료

출처:  https://www.commerce.gov/news/blog/2018/12/shutdown-due-lapse-congressional-appropriations

   https://www.nist.gov/

요약

- FBI(The Federal Bureau of Investigation)는 지난 12월 19일 고객의 사주를 받아 금융기관, 대학, 인터넷서비스제공업체, 정부 시스템, 게임 플랫폼 등을 대상으로 DDoS 공격 서비스를 제공하던 15개의 도메인 폐쇄.

- FBI는 의심 사이트를 각각 테스트하여, DDoS 공격 서비스 제공을 검증함

- Bitcoin을 포함한 다양한 지불 형식 제공하고 저렴한 가격에 서비스 제공

- 폐쇄 사이트 

critical-boot.com

ragebooter.com

downthem.org

quantumstress.net

*Downthem.org 2014.10 - 2018.11 기간 사이 고객 수가 2000 명이 넘었으며, 20만건의 DDoS 공격 서비스를 제공함

*Quantumstress.net -가장 오래된 DDoS 공격 서비스 도메인

2012 - 2018.11 총 고객 수가 8만명을 넘었으며 실제 행했거나 시도했던 DDoS 공격만 무려 5만건에 달함.

영향성

사이버 범죄에 대한 미사법부의 관심이 높아지고 있으며 유사 범죄에 대해 강경 대응하겠다는 입장을 내비침.

참고자료

출처 : https://www.securityweek.com/us-authorities-take-down-15-ddos-hire-websites

요약

- 뉴욕타임즈 보도: 다수의 스마트폰 위치 추적 허용 앱, 사용자 이동 경로 데이터를 수집하여 데이터 수집 회사에 판매. 

- 판매된 데이터는 다시 고객 행동패턴 분석 회사에 재판매되어 위치 기반으로 커스텀화된 광고 개발(특정 주소에 있는 고객을 대상으로 한 광고), 

  고객 행동 패턴 분석에 사용 됨. 

- 수집 데이터는 익명으로 수집되나 앱 사용자의 현재 주소 및 장소 A에서 B로 이동한 시간 등이 수집되어 데이터를 보고 사용자를 유추할 수 있음. 

- 이에 따라 프라이버시 침해 논란이 많음. 사용자의 모든 생활 패턴 탐지가 노출됨

영향성

위치추적 허용 앱으로 수집된 데이터는 사용자의 허가 없이 판매 될 수 있어, 개인 정보 노출이 우려됨 

참고자료

출처: https://www.hackread.com/apps-on-your-phone-selling-sharing-location-data/

       https://www.nytimes.com/interactive/2018/12/10/business/location-data-privacy-apps.html

요약

- ESET는 현재까지 밝혀진 적이 없는 12개의 백도어 포함 총 21개의 악성 OpenSSH 백도어 발견 

- OpenSSH 백도어 버전 개발이 다소 쉬움

- 백도어 사용시 공격자가 탐지 되지 않음과 동시에  OpenSSH 데몬과 클라이언트는 비밀번호를 평문으로 볼 수 있어 비밀번호 등 

  크리덴셜 도용 가능

- 유사한 악성 샘플들은 기존 OpenSSH 소스코드를 변경하거나 리컴파일링하여 구현 방법에서 많은 유사점을 찾을 수 있음.

º 사용자 입력 패스워드를 훔쳐 로컬 파일에 저장

º 일부는 패스워드를 이메일을 통해 외부로 전송.

º root로그인을 제한하는 Trojan OpenSSH 데몬 함수를 이용해 시스템에 활동 기록을 삭제

- 4대 주요 백도어

º Chandrila:  SSH 패스워드를 통해 명령을 받을 수 있음

º Bonadan: 가상화폐 마이닝

º Kessel: 봇 기능 (includes bot functionality). 

º Kamino:  대규모 악성코드 공격을 제한적인 공격으로 전환 할 수 있음

영향성

악성코드 샘플만을 분석한 것으로 백도어가 시스템에 어떻게 설치가 되었는지 등의 상황적 정보가 존재하지 않아 백도어 감염 정보가 미흡함.

참고자료

출처 : https://www.securityweek.com/researchers-find-dozen-undocumented-openssh-backdoors

보고서원문 : https://www.welivesecurity.com/wp-content/uploads/2018/12/ESET-The_Dark_Side_of_the_ForSSHe.pdf

요약

-2018년 유럽 블랙햇에서 Toyota 정보 기술 센터(Info Technology Center)의 Tsuyoshi Toyama, Takuya Yoshida가 이동식 자동차 보안 테스트기(PASTA(Portable Automotive Security Testbed)) 발표

-실제 자동차를 사용하지 않아 테스트 환경의 제약에서 자유로울 수 있는 오픈소스 테스팅 플랫폼.

(자세한 기술은 추후  Github을 통해 공개할 예정이며, 완성된 시스템은 일본에서 첫 시판에 나설 것)

-기기정보 : 무게 8kg, 서류가방크기, 이동식 테스트기

4개의 ECU(engine control unit)탑재, LED 패널(자동차 시스템 테스트 시 사용 - 메세지 보기 등), ODBII, RS232 포트, 바이너리 해킹을 위한 포트 제공

-기능 :  자동차 안전 테스팅 플랫폼 제공해 원격으로 바퀴, 브레이크, 창문, 등의 각종 자동차 기능 제어 가능

* 2015 블랙햇 미국에서 Charlie Miller and Chris Valasek가 Chrysler사의 Jeep 자동차의 wifi를 해킹해 주행중인 상태에서 제어 성공.

(주행 중 차량의 멀티미디어 제어(음악 재생), GPS 네비게이션 시스템을 통해 차량 추적, CAN 버스(차량 내부 네트워크로 엔진, 트랜스미션, 센서 등과 연결됨)에 명령어를 보내 차량 제어 가능).

해킹 발표 후 Chrysler사는 140만대의 차를 리콜함.

영향성

자동차 보안 테스팅을 오픈 소스로 개발함에 따라 자동차업계와 보안업계에서 이슈화 되고 있음

참고자료

출처 : https://www.darkreading.com/vulnerabilities---threats/toyota-builds-open-source-car-hacking-tool/d/d-id/1333415

블랙햇발표PPT : https://i.blackhat.com/eu-18/Wed-Dec-5/eu-18-Toyama-PASTA-Portable-Automotive-Security-Testbed-with-Adaptability[1].pdf

2015Jeep해킹 : https://www.kaspersky.com/blog/blackhat-jeep-cherokee-hack-explained/9493/

<요약>

- 사쿠라다 요시타카, 68세, 사이버 보안국 장관이자 2020 도쿄 올림픽 패럴림픽 담당장관은 지난 수요일 의회에서 컴퓨터 사용을 일체 사용하지 않는다고 밝힘.  

""25살부터 지금까지 부하 직원과 비서들에게 지시하기 때문에 나는 컴퓨터를 사용하지 않는다"" 라고 질의에 응답함.

- 또한 USB장치가 일본 핵 시설에서 사용되느냐라는 질문에 답할 때 USB장치를 이해하지 못하는 것으로 알려짐.

- 이에 입헌민주당의 이마이 마사토 의원은 ""컴퓨터를 만져본 적도 없는 사람이 사이버 보안정책을 책임지는 일은 있을 수 없는 일이다""며 비난함

- 사쿠라다 장관의 이러한 언행은 온라인에서 큰 이슈를 불러일으킴. 

- 사쿠라다 장관이 사실은 자신만의 사이버 보안 정책을 지키고 있는 것이 맞을 수 있다는 농담들도 난무

‘해커가 사쿠라다 장관을 공격해서, 해커가 훔칠 수 있는 정보가 하나도 없다.(컴퓨터를 사용하지 않기 때문) 사실상 장관은 가장 강력한 사이버 보안 정책을 펼치고 있는 것일지도...‘

- 아베 총리가 재당선 되면서 내각개편이 이루어지며, 사쿠라다 장관이 사이버장관으로 임명됨. 취임한지는 한 달 남짓.

- 그는 의회에서 상대 입법부 의원의 이름을 잘못 말함과 올림픽 관련 질문에 계속해서 ""자세한 건 난 모른다""라고 대답하면서 이미 많은 비난을 받은 상태임

<영향성>

외신에서도 이러한 사이버보안 장관의 자질에 대해 비난. 아베 총리가 사쿠라다 장관을 사퇴시킬지에 대해 관심이 쏠림.

<참고자료>

출처: https://www.securityweek.com/does-not-compute-japan-cyber-security-minister-admits-shunning-pcs