해외 보안 트렌드

<요약>

- 사쿠라다 요시타카, 68세, 사이버 보안국 장관이자 2020 도쿄 올림픽 패럴림픽 담당장관은 지난 수요일 의회에서 컴퓨터 사용을 일체 사용하지 않는다고 밝힘.  

""25살부터 지금까지 부하 직원과 비서들에게 지시하기 때문에 나는 컴퓨터를 사용하지 않는다"" 라고 질의에 응답함.

- 또한 USB장치가 일본 핵 시설에서 사용되느냐라는 질문에 답할 때 USB장치를 이해하지 못하는 것으로 알려짐.

- 이에 입헌민주당의 이마이 마사토 의원은 ""컴퓨터를 만져본 적도 없는 사람이 사이버 보안정책을 책임지는 일은 있을 수 없는 일이다""며 비난함

- 사쿠라다 장관의 이러한 언행은 온라인에서 큰 이슈를 불러일으킴. 

- 사쿠라다 장관이 사실은 자신만의 사이버 보안 정책을 지키고 있는 것이 맞을 수 있다는 농담들도 난무

‘해커가 사쿠라다 장관을 공격해서, 해커가 훔칠 수 있는 정보가 하나도 없다.(컴퓨터를 사용하지 않기 때문) 사실상 장관은 가장 강력한 사이버 보안 정책을 펼치고 있는 것일지도...‘

- 아베 총리가 재당선 되면서 내각개편이 이루어지며, 사쿠라다 장관이 사이버장관으로 임명됨. 취임한지는 한 달 남짓.

- 그는 의회에서 상대 입법부 의원의 이름을 잘못 말함과 올림픽 관련 질문에 계속해서 ""자세한 건 난 모른다""라고 대답하면서 이미 많은 비난을 받은 상태임

<영향성>

외신에서도 이러한 사이버보안 장관의 자질에 대해 비난. 아베 총리가 사쿠라다 장관을 사퇴시킬지에 대해 관심이 쏠림.

<참고자료>

출처: https://www.securityweek.com/does-not-compute-japan-cyber-security-minister-admits-shunning-pcs

<요약>

- Amazon Web Service(AWS)고객들은 일상적으로 개인 파일들을 공용으로 사용할 수 있도록 남겨 둠.

- 따라서, 고객 정보, 사용자 비밀번호, 회사 기밀 등이 포함된 데이터베이스를 해커들로부터 보호하는데 많은 비용을 지불함.

- 관련 데이터 유출 사건들이 많았음(Viacom, Verizon, Accenture, Booz Allen Hamilton, Dow Jones)

<유출 사례>

- 2017년 10월 Accenture은 4개의 S3(Simple Storage Service) 저장공간을 공개해 놓음

   40,000 암호화되지 않은 암호를 포함한 137 기가바이트의 데이터들의 유출 

*Accenture의 클라우드 서비스는 아마존 서비스에서 호스팅하는데 

Fortune Global 100회사중 92개의 회사와 Fortune Global 500의 3/4의 회사들에게 서비스를 제공함 

- 2018년 8월 Spyfone(자녀를 둔 부모를 대상으로 하는 감시 소프트웨어 판매) S3 저장공간을 공개

카메라 사진을 포함한 수 테라바이트의 수천 명 고객의 민감한 데이터를 노출 

* 사용자의 Amazon S3 설정에 따른 데이터 유출이 아주 빈번했음 .

2016년 10월 Uber 5700만 고객 개인정보 유출

Deep Root Analytics는 1억9700만명의 미국 유권자의 개인 정보 유출

WWE 레슬링 엔터테이먼트 회사는 300만명의 팬의 개인정보를 유출

<Amazon의 대응책>

- 2017년 11월 아마존은 시스템 관리자들에게 저장공간이 공개되어 있을 시 파일 관리 데시보드에 주황색 라벨을 

  사용해 설정이 눈에 띄도록 함

- 2018년 11월16일에는 각 폴더와 파일에 덮어쓰기를 금지하는 모든 저장 공간에 대한 탑다운(top-down)컨트롤을 시행함

  사용자가 ACL과 공공 버킷 정책을 관리할 수 있도록 함(기존 ACL정책을 수정하거나 거부가 가능하며, 

  새로운 공공 버킷 사용 등을 불허할 수도 있음).

<영향성>

데이터 유출 사고 건수를 줄 일 수 있을 것이라 예상하나 이러한 대응책이 얼마나 효과적인지는 미지수

<참고자료>

출처 : http://fortune.com/2018/11/16/amazon-secures-cloud-password-breach-safer/

   https://www.securityweek.com/aws-adds-new-feature-preventing-data-leaks

<요약>

- 파이어폭스 브라우저로 과거 데이터 유출 이력이 있는 웹사이트를 방문 시 알람 메시지로 알려줌

- 알림 메시지를 통해 사용자가 비밀번호를 변경하도록 하고, 비밀번호 재사용의 위험성을 알리기 위함.

- *Have I Been Pwned(HIBP)사이트의 데이터를 이용해 해킹 여부를 확인

   https://haveibeenpwned.com/

  ▽ 이메일 주소를 입력하면 데이터 유출 사고에 해당 이메일이 포함되어 있는지 확인해줌)

                             (유출된 경위와 유출 여부를 알려줌)

                       - 최초 알림 메시지 :  HIBP에 최근 12개월 안에 신규로 추가된 데이터 유출 이력에 관해서만 알릴 예정

- 최초 알림 메시지 후에 동일 사이트에 방문 시 사이트가 HIBP에 최근 2개월간 신규 유출 사고로 등재된 경우에만 알림 메시지 띄움 

- 추후 알림 메시지 정책을 좀 더 정교하게 업데이트 할 예정 

- 최근 파이어폭스 모니터 서비스(사용자 계정이 데이터 유출 사고에 관련 있을 시 알려주는 서비스) 시행 중 : 

<영향성>

최근 출시한 Firefox Monitor 서비스를 웹 브라우저에 포함시켜 사용자 편의성을 높임.

<참고자료>

출처 : https://www.securityweek.com/firefox-alerts-users-when-visiting-breached-sites

   https://www.zdnet.com/article/mozilla-firefox-will-start-alerting-you-to-recently-breached-sites/

<요약>

Recorded Future보고서 원문 : https://www.recordedfuture.com/chinese-threat-actor-tempperiscope/?utm_source=SecurityWeek

공격그룹 : TEMP.Periscope 혹은 Leviathan으로 불림. 최근 5년간 활동. 올해 초 영국 엔지니어와 해운업 회사들을 공격. 

  2017년 10월경 TEMP.Periscope이 중국인 해커집단이라고 처음으로 언급됨

추측 : 

1) 러시아 해커 집단이 TEMP.Periscope기술을 차용했을 가능성

2) TEMP.Periscope이 러시아 해커들의 기술을 차용했을 가능성

3) 혹은 제 3의 해커 집단이 러시아와 TEMP.Periscope의 기술을 차용했을 가능성

-> Recorded Future의 조사에 따르면 중국인 해커 집단의 소행일 가능성이 유력

공격목표 : 민감한 정보와 기밀 기술, 데이터 등에 접근하기 위한 것으로 추측

<과거 활동>

Microsoft Equation Editor 취약점(CVE-2017011882)을 이용하여 Cobalt Strike 페이로드를 보내는 공격.

<현재 활동 >

- APT28, Dragonfly, TEMP.Periscope와 연관된 기술들을 사용

- 2017년 7월, 영국 소재의 엔지니어 회사에 스피어피싱 공격을 펼침 (같은 회사는 2017년 5월에도 ETERNALBLUE 공격과 

   DNS 터널러(tunneler) 백도어 공격을 받음)

- 캄보디아 기자 이메일 공격(캄보디아 현지 정치, 인권 운동, 중국 발전에 주로 다루는 프리랜서 기자)

- 러시아 해커 그룹 Dragonfly와 APT28의 공격 방법TTPs(Tactics, Techniques and Procedures)을 활용함

- Dragonfly의 독자적인 공격방식인 SMB 크리덴셜(credential)과 APT28의 공격기술인 오픈소스툴 리스판더를 

  넷바이오스 네임 서비스(NBT-NS)포이즈너로 사용(2017년 APT28이 호텔 투숙객을 타깃으로한 공격에 사용한 방법) 

-  scsnewstoday[.]com 을 C&C로 활용.(해당 도메인은 최근 캄보디아 정부 공격에 사용됨. 

   과거 AIRBREAK 다운로더를 전파하는데에도 사용)

- 스피어 피싱에 사용된 이메일은 Foxmail계정에서 보내짐. 2018년 7월6일 악성링크를 첨부한 메일을 영국 회사에 보냄

1번째 링크 : ""file://""로 SMB세션을 실행하도록 구성

2번째 링크 : URL파일로 아웃바운드 SMB 연결을 하도록 구성

<영향성>

중국해커집단의 첨단기술 분야의 회사들에 대한 공격이 계속 되며, 특히 해운업관련 회사에 초점을 맞출 것으로 예상.

<참고자료>

Recorded Future보고서 원문 : https://www.recordedfuture.com/chinese-threat-actor-tempperiscope/?utm_source=SecurityWeek

출처 : https://www.securityweek.com/chinese-hackers-target-uk-engineering-company-report

<요약>

BGPmon은 태평양시간 11/12일 13:12~14:35 사이 나이지리아 ISP Google 데이터센터 트래픽을 하이재킹 탐지(BGP 하이잭)

소규모 나이지리아 ISP업체 MainOne Cable Company(AS37282)가 주변 ISP들에게 원래 Google센터로 할당된 IP주소들을 자신들이 호스팅 한다고 알리면서 발발.

212개의 Google 네트워크 프리픽스(prefix)을 호스팅한다고 총 74분간 잘못 알림

(21:13 - 21:17 4min, 21:18 - 21:21 3min, 21:22 - 21:28 6min, 21:30 - 21:50 20min, 21:51 - 22:32 41min)

이로인해 다른 ISP업체들은 정상적인 BGP 라우트대신 ,Google로 가야 할 트래픽을 MainOne 네트워크로 보냄.

트래픽은 대부분 러시아 TransTelecom(AS 20485)와 중국 China Telecom(AS 4809)을 통과함.

트래픽은 비즈니스 레벨간의 트래픽에 영향을 미쳤으며, 소비자 레벨의 네트워크에는 영향을 미치지 않음.

Google 트래픽이 소규모 나이지리아 ISP로 연결되어, 후에 트래픽이 드랍됨 -> Google, Spotify(온라인 음원재생사이트) 등 접속 장애 발생.

MainOne은 네트워크 업그레이드 중 잘못된 BGP 필터 설정에 의해 일어난 것이라고 입장 발표.

<영향성>

지난달 발표된 학술지에 인터넷 트래픽이 대량으로 China Telecom에 의해 악의적 리다이렉팅 된다고 발표됐으며, 

이를 Cisco가 사실이라고 입증함.

중국정부가 운영하는 China Telcom이 연관되면서 최근 미국과 중국간의 정치적 경제적 대립의 일환이라는 의견

Google과 같이 막대한 자원을 가진 회사조차 BGP 하이잭에 취약함

1980년대에 개발된 BGP 프로토콜은 보안 기능이 없지만 아직도 널리 사용되고 있음

<참고자료>

ThousandEyes 분석내용: https://blog.thousandeyes.com/internet-vulnerability-takes-down-google/

출처: https://www.zdnet.com/article/google-traffic-hijacked-via-tiny-nigerian-isp/#ftag=RSSbaffb68

  https://www.independent.co.uk/life-style/gadgets-and-tech/news/internet-hijack-google-traffic-china-russia-a8631266.html

<요약>

취약점 : 고급 로컬 프로시저 콜(Advanced Local Procedure Call(ALPC))취약점. 

      인증 받은 공격자는 로컬 시스템의 보안 콘텍스트에 임의의 코드를 실행할 있어 

취약한 시스템을 조정하고 인증을 상승시킬 수 있음.

취약원인 : 윈도우가 ALPC를 부적절하게 호출.

취약대상 : Windows 10, 10 Version 1607, 1703, 1709, 1803, 1809, 

   Windows Server 2016, 2019, Version 1709, 1803

영향성 : 공격을 위해서는 인증이 선행되어야 함

<관련 CVE정보>

CVE-2018-8584

CVSS Score : 7.8

PoC : https://sandboxescaper.blogspot.com/2018/10/reversing-alpc-where-are-your-windows.html

<탐지룰 존재유무>

벤더룰 : 현재 없음 (취약점 조사 진행한 회사(WordFence)에서 유료회원 대상으로 방화벽 룰 제공 중)

<참고자료>

출처 :    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8584

https://www.securityweek.com/microsoft-patches-actively-exploited-windows-vulnerability?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

<요약>

Kaspersky Lab는 CVE-2018-8589 관련 APT공격이 활발하다 Microsoft에게 알림.

취약점 : 인증 받은 공격자는 커널 권한으로 임의의 코드를 실행 할 수 있어,

프로그램을 설치하고, 파일을 보거나, 변경하거나, 삭제, 혹은 모든 유저 권한을 가능 새로운 계정 생성이 가능함.

취약원인 :  윈도우가 부적절하게 Win32k.sys를 호출

취약제품 : Windows 7, Windows Server 2008, Windows Server R2

영향성 : 공격을 위해서는 인증이 선행되어야 함. 따라서 다른 취약점과 함께 목표 대상을 공격하는데 사용되며, 

특수하게 제작된 어플리케이션으로 이 취약점을 이용한 공격이 가능함.

<관련 CVE정보>

CVE-2018-8589

CVSS Score : 7.8

PoC현재(2018.11.14 9:00)까지 확인 안됨

<영향성>

공격자는 목표 시스템의 유저레벨 접근이 가능해야 함으로 해당 취약점이 악용될 가능성은 낮음

<참고자료>

출처 :    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8589

https://www.securityweek.com/microsoft-patches-actively-exploited-windows-vulnerability?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

https://tools.cisco.com/security/center/viewAlert.x?alertId=59150&vs_f=Alert%20RSS&vs_cat=Security%20Intelligence&vs_type=RSS&vs_p=Microsoft%20Windows%20Win32k%20Privilege%20Escalation%20Vulnerability&vs_k=1

<취약점>

인증되지 않은 공격자는 새로운 관리자 계정을 추가하여 목표 웹사이트에 대한 접근 권한을 획득할 수 있음.

<공격 패턴>

 (1)  공격자는 취약점을 공격하여 설정을 조작하고, 새로운 사용자를 등록할 수 있게 함. 

새로 등록된 사용자를 ‘관리자’로 바꿔 사이트의 관리자 접근 권한을 가능하게 함

관리자 권한을 획득한 후에 새 등록자 계정을 일반 계정으로 원상복귀 시켜 다른 공격자의 침입을 막고, 의심을 받지 않게 함.

새로 생성한 개정으로 로그인한 뒤 공격자는 PHP 웹셸을 업로드하여 공격 최종 완료

(2) 웹사이트 WP-크론 스케줄에 악의적인 행동을 취해 백도어를 설치하는 방법의 공격

    공격보다 훨씬 더 복잡하지만, 백도어가 제거된 후에도 계속해서 백도어를 생성할 수 있음

<영향성>

하이재킹한 웹사이트를 이용해 공격자는 스팸, 피싱, 직/간접적인 금융 사기 등의 다양한 공격을 펼칠 수 있음

현 시점에서 이러한 공격을 펼치는 해커들이 목적이 불분명하여 즉각적인 대응 필요.

<WordPress GDPR 준수 플러그인>

WordPress GDPR 준수 플러그인은 웹사이트 운영자가 EU의 일반개인정보보호법(GDPR(General Data Protection Regulation))을 지킬 수 있도록 고안된 것. Contact Form, Gravity Form, WordPress Comment, WooCommerce와 같은 플러그인을 서포트함.

<관련 CVE정보>

현재(2018.11.13 9:23) 확인 안됨

PoC현재까지 확인 안됨

<탐지룰 존재유무>

벤더룰 : 현재 없음 (취약점 조사 진행한 회사(WordFence)에서 유료회원 대상으로 방화벽 룰 제공 중)

<대응방안>

WordPress는 해당 플러그인의 ‘사용중지’함. 플러그인을 최신 버전 1.4.3으로 업데이트 할 시 안전.

     (https://wordpress.org/support/topic/important-update-to-1-4-3-immediately/)

<참고자료>

출처: https://wordpress.org/support/topic/important-update-to-1-4-3-immediately/

https://www.wordfence.com/blog/2018/11/privilege-escalation-flaw-in-wp-gdpr-compliance-plugin-exploited-in-the-wild/