해외 보안 트렌드

요약

-강력한 NSA(National Security Agency) 공격툴에 대한 패치가 풀린 지 1년이 지났지만 아직도 수 십만 대의 컴퓨터가 공격에 취약한 것으로 나타남.

-유출된 공격툴은 랜섬웨어를 퍼뜨리고, 가상화폐 마이닝 공격을 하는데 사용됨. 

-이를 활용해 고도화된 프록시 네트워크를 개발하는데도 활용된 것을 포착 : UPnProxy취약점 공격

-기존의 UPnProxy 취약점 공격은 NAT(network address translation)룰에 의해 방어가 가능했지만, 이를 뛰어 넘어 라우터 방화벽을 통과해 취약한 컴퓨터에 대한 공격이 가능

-공격툴 :

①EternalBlue :NSA로부터 유출된 공격툴로 모든 Windows버전에 공격 가능. 패치가 풀린 후에도 WannaCry와 NotPetya등의 공격 등에 사용됨 

②EternalRed : Samba와 Eternal계 공격을 Linux 기반 컴퓨터 공격. SambaCry라는 가상화폐 마이닝 공격에 사용됨. 

-공격방법: UPnProxy가 취약한 라우터의 포트에 매핑(mapping) 되도록 조작될 때, 위의 공격툴들은 

  SMB(대부분의 컴퓨터가 사용하는 일반적인 네트워킹 프로토콜)을 사용한 서비스 포트를 공격 함.

  2개의 툴을 함께 사용해 공격하면 더욱더 많은 취약장비에 프록시 네트워크를  퍼트릴 수 있음.(이 같은 공격을 EternalSilence 라고 칭함)

-Akamai 연구진에 따르면 이와 같은 공격에 감염된 장비는 45,000 이상이며, 100만대의 컴퓨터가 명령 대기 중임.

-Eternal 툴을 이용한 공격은 탐지가 어려워 관리자가 감염 여부를 인지하기 어려움.

-라우터의 펌웨어를 교체하거나 UPnP 사용을 제한이 임시적인 대응 방안이 될 수 있지만 확실한 방법으로는 라우터를 교체해야 함. 

관련 CVE정보

-EternalBlue (CVE-2017-0144) 

-EternalRed (CVE-2017-7494)

탐지룰 존재유무

-벤더룰 : SMB1_Windows_Overflow_02(CVE-2017-0144), Samba_IsKnownPipename_Exec(CVE-2017-7494)

영향성

API를 통해 다른 어플리케이션과 데이터에 접근이 가능해 해커들에게 점점 더 매력적인 공격 목표가 되고 있어 API관련 보안 대책 필요

참고자료

Akamai연구본문: https://blogs.akamai.com/sitr/2018/11/upnproxy-eternalsilence

출처: https://techcrunch.com/2018/11/28/hackers-nsa-eternalblue-exploit-hijack-computers/

요약

-11/28일 Dell은 11월9일 Dell.com의 사용자 이름, 이메일주소, 해시된 패스워드를 네트워크에서 탈취하려는 공격을 탐지했다고 밟힘. 

-공격의 일부가 성공했을 가능성이 있으나, Dell이 조사한 결과 데이터가 유출된 것을 발견하지 못함.

-잠재적 공격에 대비해 모든 사용자의 패스워드를 리셋하도록 하고 패스워드를 해싱하기로 함.

-공격은 신용카드 정보를 목표하지 않았고, 공격은 Dell 홈페이지 서비스에 영향을 미치지 않음.

-최근 패스워드를 업데이트 하지 않은 사용자들에게 업데이트를 권고, Dell 계정 패스워드를 다른 웹사이트에도 쓴다면 해당 웹 페이지의 패스워드도 바꿀 것을 권고.

영향성

Dell.com 계정이 있는 사용자는 패스워드 업데이트가 필요함

참고자료

출처: https://www.dell.com/customerupdate

 https://www.zdnet.com/article/dell-announces-security-breach/#ftag=RSSbaffb68

요약

-블랙프라이데이, 사이버 먼데이 등의 연휴 쇼핑철과 맞물려 사이버 공격 기승.

-Carbon Black이 Holiday Threat Report에 따르면 작년에 비해 미국 연휴철 사이버 공격이 60% 증가했으며 그 중 사이버 먼데이에 공격 급증.

-2017년 연휴철 글로벌 단체를 대상으로 한 공격이 57.5% 증가(2016년 연휴철에는 20.5% 증가)

-올해 연휴철 공격의 큰 증감은 최근 미국 우체국이 6천만명의 이메일 주소, 계정 번호, 주소, 메일 광고 자료, 전화번호 등 기업 사용자에 대한 계정 세부정보가 1년동안 공개되었던 것과 연관이 있음. 

-해당 취약점은 1년전 익명의 보안전문가가 발견해 신고했으나, Brian Krebs이 지난 주 미국우체국에 알리기 전까지 패치 되지 않았음.

-취약원인 : 실시간 배송 추적, 회사와 기관 광고를 위한 대량 이메일 발송을 제공하는 서비스 정보 시각화 기능에 사용되는 API 인증이 약함

취약점 : 미국우체국 사이트(USPS.com)에 로그인한 아무 사용자가 어떠한 인증 절차도 없이 검색 파라미터를 변경하여 누구든지 특정 단어들을 검색할 필요 없이 제공되는 모든 데이터를 요청할 수 있음.

-유출된 데이터는 소셜엔지니어링과 피싱 등에 악용될 소지가 큼.

-미국우체국은 현재 유출 데이터로 인한 피해는 없다고 밝혔으나, 왜 1년동안 취약점에 대한 패치를 하지 않았는지에 대한 언급은 없음.

-지난 주 아마존도 API 이슈와 관련해 사용자의 이메일 주소를 노출한 사건이 있었음. 

영향성

API를 통해 다른 어플리케이션과 데이터에 접근이 가능해 해커들에게 점점 더 매력적인 공격 목표가 되고 있어 API관련 보안 대책 필요

참고자료

Carbon Black, Holiday Threat Report : https://www.carbonblack.com/2018-holiday-threat-report/

출처: https://threatpost.com/usps-amazon-data-leaks-showcase-api-weaknesses/139362/

요약

-지난 달 10월 24일에 패치된 취약점(CVE-20180-15442)에 대해 두 번째 패치.

-최초 취약점 : 사용자 제공 파라미터를 충분히 검증하지 않아 인증을 받은 로컬 공격자가 SYSTEM 권한으로 임의의 명령을 실행할 수 있음.

로컬에서 공격을 해야 하나 어플리케이션 인증을 받을 필요가 없음. 또한 Active Directory deployment에서 원격 운영체제 관리 툴을 이용한 원격 공격이 가능할 수 있음.

-10월 패치의 취약점 : DLL 하이재킹(소셜 엔지니어 등을 통해 사용자가 어플리케이션을 실행하면 시스템에 파일을 삽입할 수 있음)을 통해 

우회가 가능함.

로컬 공격자 ptUpdate.exe 바이너리와 wbxtrace.dll 파일이 있는 컨트롤러 폴더를 복사해 공격 가능. 권한을 얻기 위해서 공격자는 반드시 명령어 라인 sc start webexservice install software-update 1 ‘attacker-controlled-path’ 으로 시작해야 함 (파라미터 1이 맞지 않을 시 파라미터 2사용)

-심각도 : High

-CVSS Score : Base 7.8

-해당제품 : Microsoft Windows 엔드유저 시스템으로 실행 시 

Cisco Webex Meetings Desktop App 33.6.4 이전 버전

Cisco Webex Productivity Tools releases 32.6.0 이상 33.0.6 이전 버전

-대응방안 : 

-Cisco Webex Meetings Desktop App 33.6.4 혹은 이후 버전으로 업데이트

-Cisco Webex Productivity Tools releases 33.0.6 이상 버전으로 업데이트

(-> Cisco Webex Productivity Tools은 옵션 어플리케이션으로 Cisco Webex Meetings Desktop App 33.2.0으로 대체 되어 별도의 업데이트가 필요하지 않을 수 있음)

관련 CVE정보

-CVE-20180-15442

-PoC : https://www.secureauth.com/labs/advisories/cisco-webex-meetings-elevation-privilege-vulnerability

참고자료

출처: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181024-webex-injection

https://www.securityweek.com/cisco-releases-second-patch-webex-meetings-vulnerability

https://threatpost.com/cisco-re-issues-patch-for-high-severity-webex-flaw/139412/?utm_source=twitter&utm_medium=social&utm_campaign=us_tpnov27_organic&utm_content=link&utm_term=us_twitter_organic_link_social_tpnov27

요약

- 러시아 백신회사 ‘Dr.Web’ 이 달 새롭게 발견함. 현재 뚜렷한 명칭은 없으며 ‘Linux.BtcMine.174’라고 탐지됨.

- 공격 시나리오 : 

① Trojan은 1000줄의 큰 쉘 스크립트로 감염된 리눅스 시스템에서 처음으로 실행되는 파일임. 스크립트의 역할은 쓰기 권한이 허락된 폴더를 디스크 내에서 찾아, 스크립트를 복제하고 후에 다른 모듈을 다운로드 함 

② 권한 상승 취약점 CVE-2016-5195(Dirty COW)와 CVE-2013-2094 중 하나를 이용하여 root 권한을 획득하고 OS 전체 접근

③ Trojan은 nohup(리눅스에서 프로세스를 백그라운드로 실행할 수 있게함) 유틸리티가 없을 시 다운로드하여 스스로를 로컬 데몬으로 설정

④ 감염된 호스트를 장악 후 시스템을 스캔하고 다른 가상화폐 채굴 멀웨어를 종료 

⑤ 모네로 채굴기를 다운로드 하고 실행

⑥ 또 다른 멀웨어 Bill.Gates Trojan(DDoS 멀웨어로 유사한 백도어 기능을 많이 가지고 있음)를 다운로드하여 실행

⑦ Linux기반의 백신 이름과 유사한 프로세서를 찾아 죽여 백신이 탐지하는 것을 원천 봉쇄

*프로세서 이름의 예: safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord 

⑧ trojan을 오토런 파일 리스트에 추가함 (etc/rc.local, /etc/rc.d/...,  /etc/cron.hourly) 

⑨ rootkit을 다운로드하고 실행함

*루트킷은 su 명령어를 이용해 사용자가 입력한 패스워드를 훔치고, 파일 시스템에 파일을 숨기고 네트워크 연결과 프로세서 실행을 할 수 있음

⑩ 감염된 호스타가 SSH를 통해 연결된 원격서버에 대한 정보를 모으는 함수를 실행하고 멀웨어를 전파하기 위해 그 서버들과도 연결을 시도.

*SSH를 통한 자가 증식 방법이 Linux.BtcMine.174의 주요한 전파 방식임. Linux.BtcMine.174은 유효한 SSH 크리덴셜을 훔치기 때문에 리눅스 sysadmin이 SSH 연결 서버에 대해 적절한 보안정책을 펼치고 일부 선택된 호스트에 대해서만 연결을 허락할지라도, sysadmin이 인지 하지 못한 상태에서 허락된 호스트 중 하나라도 감염이 되면 추가 감염은 불가피함. 

관련 CVE정보

- CVE-2016-5195(Dirty COW) : 커널 취약점으로 리눅스와 안드로이드 장치 대상 공격. 

악성 코드가 읽기만 가능한 메모리에 쓰기권한을 획득할 수 있음. 

- CVE-2016-5195(Dirty COW)  PoC: https://github.com/scumjr/dirtycow-vdso

- CVE-2013-2094 : 리눅스 커널 취약점으로 로컬 유저가 시스템 권한을 획득 할 수 있음

(http://timetobleed.com/a-closer-look-at-a-recent-privilege-escalation-bug-in-linux-cve-2013-2094/)

- CVE-2013-2094 PoC : https://github.com/realtalk/cve-2013-2094

영향성

권한상승 취약점(CVE-2016-5195(Dirty COW)와 CVE-2013-2094)중 하나를 이용하여 root권한을 획득 하여야 추가 행위가 이루어 짐

해당 취약점의 경우 Linux 4.8. 이상의 버전을 사용할 경우 해결됨

참고자료

Linux.BtcMine.174 Hash정보 : https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174

Dr.WEB 분석 원문: https://vms.drweb.com/virus/?i=17645163

출처: https://www.zdnet.com/article/new-linux-crypto-miner-steals-your-root-password-and-disables-your-antivirus/#ftag=RSSbaffb68

요약

-개발자 Luiz O. Pinto 이름으로 등록된 12개의 게임이 악성 앱으로 밝혀짐 

-13개 게임은 합계 총 560,000번 다운로드 됨. 그 중 2개는 인기 앱으로 선정되기도 함.

-악성 앱 게임 이름:

Truck Cargo Simulator

Extreme Car Driving

City Traffic Moto Rally

Moto Cross Extreme

Hyper Car Driving Simulator

Extreme Car Driving Simulator

Firefighter – Fire Truck Simulator

Car Driving Simulator

Extreme Sports Car Driving

SUV 4x4 Driving Simulator

Luxury Car Parking

Luxury Cars SUV Traffic

SUV City Climb Parking

-악성행위 : 악성 게임 앱은 실행하면 정상적으로 작동조차 하지 않음. 악성 앱은 실행 후, 스스로 디바이스에 숨어 추가적인 APK(안드로이드 폰의 파일 형식)를 다운로드하고 사용자가 설치하게 함.

새롭게 다운로드 받아진 APK는  ‘Game Centre’이며, 이 또한 다운로드 후 스스로를 숨김. 사용자가 폰 잠금해제를 할 때마다 광고를 띄워 악성앱 개발자에게 수익이 돌아감.

-현재 구글 스토어에서 해당 앱들은 삭제 됨.

-대응방안 : 해당 악성 게임을 다운 받아 설치했다면 삭제 할 것. 혹은 개발자 이름이 Luiz O. Pinto 앱들은 모두 삭제할 것. 삭제 후 백신앱을 실행해 멀웨어가 모두 제거 되었는지 확인 할 것.

영향성

공식 앱 스토에서 앱을 다운로드 시에도 주의 필요.

참고자료

출처: https://www.thesun.co.uk/tech/7831893/android-phone-warning-games-malware-uninstall/

  http://fortune.com/2018/11/26/google-play-malware-apps/

요약

-Tianfu Cup PWN 대회에서 Qihoo 360’s Vulcan Team의 Tianwen Tang 이 발견.

-취약점 : 가상 네트워크 장비에 영향을 끼치는 실수 오버플로우. 게스트가 호스트 시스템에 임의의 코드를 실행할 수 있음.

-심각도  : Critical 

-취약대상 : 

Workstation  14.x 버전 모든 OS

15.x 버전 모든 OS

Fusion  10.x Mac OS

11.x Mac OS

-대응방안 : 

Workstation  14.x -> 14.1.5 버전으로 패치

Workstation  15.x -> 15.0.2 버전으로 패치

Fusion  10.x Mac OS -> 10.1.5 버전으로 패치

Fusion  11.x Mac OS -> 11.0.2 버전으로 패치

관련 CVE정보

-CVE-2018-6983

-PoC현재(2018.11.26 10:20)까지 확인 안됨

영향성

그룹 내 VDI서비스의 영향성은 현재까지 확인된바 없음. 제조사 문의를 통한 영향성 파악 필요

참고자료

출처: https://www.vmware.com/security/advisories/VMSA-2018-0030.html

https://www.securityweek.com/vmware-patches-workstation-flaw-disclosed-hacking-contest?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

요약

-Gmail UX에 버그 존재. ‘보내는이’란을 비워둘 수 있어 보내는이 없이 전송되는 ‘고스트’ 이메일을 보낼 수 있음.

-‘보내는이’란에 받는 사람의 이메일 주소를 적고 <object>, <script>, 혹은 <img>와 매칭하여 입력하면 가능

-‘원문보기(Show Original)’ 버튼을 눌러도 보내는이의 주소가 없음.

-피싱에 사용될 수 있는 버그라 문제가 됨.

-원인 : 구글이 헤더를 보관하고 파싱을 하는데 UX가 처리하지 못함

-시스템 경고나 에러메세지등이 보내는이 없이 표시가 되기 때문에 이를 악용한 피싱 공격에 유의 

영향성

크게 문제될 취약점은 아니나, ‘보내는이’가 없는 시스템 경고나 메시지등을 가장한 이메일을 보내는데 악용될 소지가 있어 주의 요망

현재 구글에서 이 버그에 관해 아무런 언급을 하지 않음.

참고자료

출처: https://threatpost.com/gmail-glitch-enables-anonymous-messages-in-phishing-attacks/139247/