해외 보안 트렌드

요약

- Intel CPU 영역인 Intel SGX(Software Guard Extensions)에 저장된 데이터의 무결성에 영향을 미치는 새로운 공격이 발표됨

▶ Intel SGX : 6세대 이후 Intel CPU에 탑재된 어플리케이션 보안을 향상시켜주는 CPU기반 기술로, enclaves로 어플리케이션을 분리하여 OS에서 

                  실행되는 다른 앱으로부터 데이터를 안전하게 보호함

▶ Enclaves : Intel CPU 메모리의 작은 섹션에서 실행되며, 하드웨어수준(SGX메모리는 나머지 CPU메모리와 분리)과 

                 소프트웨어 수준(SGX데이터는 암호화)으로 격리하는 기능

-   취약점 : Plundervolt로 불리는 이 공격은 CPU가 받는 전압과 주파수의 양을 조정함으로써 SGX 내부의 비트를 변경하여 데이터가 SGX enclave의 

               보안을 벗어난 후에 악용될 수 있는 오류를 유발할 수 있음

               취약점 테스트 당시 연구진들은 전압을 바꾸면서 SGX의 무결성을 손상시킬 수 있었고, 나아가 SGX 내부의 비트를 변조에 성공함 

               (해당 취약점을 이용해 권한 상승 및 정보 유출 공격의 가능성을 제시함)

               (*Plunder : 중요한 무언가를 제거하거나 약탈하다)

-   해당 공격은 루트 또는 관리자 권한이 있는 감염된 호스트의 앱에서 실행해야 하며, 원격으로 악용할 수 없음. 

-   영향 받는 제품 : 

인텔 ® 6 세대, 7 세대, 8 세대, 9 세대 및 10 세대 코어 프로세서

인텔 ® Xeon ® 프로세서 E3 v5 및 v6

인텔 ® Xeon ® 프로세서 E-2100 및 E-2200 제품군

관련 CVE정보

- CVE-2019-11157

패치 정보

-  Intel 社 에서 해당 취약점에 대한 패치 발표

   hxxps://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00289.html

참고자료

출처 : hxxps://www.zdnet.com/article/new-plundervolt-attack-impacts-intel-cpus

hxxps://thehackernews.com/2019/12/intel-sgx-voltage-attack.html

hxxps://threatpost.com/intel-cpus-plundervolt-attack/151006/""hxxps://threatpost.com/intel-cpus-plundervolt-attack/151006

hxxps://plundervolt.com

연구 논문 : hxxps://plundervolt.com/doc/plundervolt.pdf

요약

- 독일 공영방송 Bayerischer Rundfunk(BR), 베트남 정부 지원 APT 그룹 오션로터스가 BMW 네트워크 해킹에 성공했다고 보도

- 공격 시기 : 지난 2019년 봄부터 시작된 것으로 추정하며, 지난 주 피해 시스템들을 격리 조치 및 공격자의 네트워크 접근을 차단함

- 공격 내용 : 보도 에 따르면 피해 컴퓨터에 코발트 스트라이크 툴 설치 성공. BMW 태국 지점으로 가장한 가짜 웹 사이트를 셋팅해 공격에 이용.

                 (현대자동차 공격에도 똑같이 가짜 웹 사이트를 사용했다 함)

- 피해 내용 : 익명의 IT 전문가에 따르면, 민감 정보는 유출 되지 않았으며, BMW 뭔휀 본사의 시스템에 접근 이력은 없음

- 오션로터스 추정 근거 : 코발트 스트라이크, 커스텀 멀웨어 - agent RUI, KerrDown 사용

- 언론 보도에 따른 각 사측의 대응 : 

BMW 측 답변 : 오션로터스 공격과 관련한 직접적인 언급은 하지 않았으나, 외부 비인가 접속에 대한 위험을 최소화하고, 

                    이를 신속하게 탐지 및 대응할 수 있도록 프로세스와 대응체계를 구축하고 있다는 원론적인 답변을 내놓음

현대 측 답변 : 답변에 응하지 않았다고 함

- 자동차 산업 타겟 공격 이유 : 

2019년 6월 베트남 자체 자동차 브랜드 Vinfast 런칭과 관련 된 것으로 추정. 

(오션로터스의 공격이 베트남의 자체 자동차 생산의 시작 시점부터 자동차 산업회사 타겟의 활발한 공격이 시작 됨.)

독일 회사들이 주요 공급원 이며, VInfast의 최초 2 모델의 라이센스를 BMW에서 가지고 있음. 프로덕션이 거의 100 독일산으로 봐도 무방

참고자료

출처 : hxxps://www.tagesschau.de/investigativ/br-recherche/bmw-hacker-101.html

hxxps://www.bleepingcomputer.com/news/security/bmw-infiltrated-by-hackers-hunting-for-automotive-trade-secrets/

hxxps://twitter.com/hatr/status/1202815789570633728

hxxps://twitter.com/cyb3rops/status/1202843110260252672

요약

- Django(장고)

: 파이썬으로 작성된 오픈 소스 웹 애플리케이션 프레임워크로, 모델-뷰-컨트롤러 패턴을 따르고 있다. 현재는 장고 소프트웨어 재단에 의해 관리되고 있음.

  고도의 데이터베이스 기반 웹사이트를 작성하는 데 있어서 수고를 더는 것이 장고의 주된 목표임.

- 취약점 : 수정 권한이 없는 사용자가 저장과 관련된 시그널을 트리거 할 수 있음.

- 취약 원인 : 장고 어드민 사이트는 부모 모델과 관련된 인라인 모델을 함께 보여줌. 사용자는 부모 모델에 대한 “보기(view)” 권한만 가지나, 

                 인라인 모델에 대해서는 “수정(edit)”이 가능한 폼들에 대해 접근 가능함.

                 폼들을 수정하는 것으로 부모 모델을 직접적으로 변경가능하지 않으나, 부모 모델의 저장 전, 후의 시그널을 담당하는 save 함수를 

                  트리거 시켜 권한 상승 취약점 유발.

- 영향 받는 제품 : 

Django master branch

Django 3.0

Django 2.2

Django 2.1

- 대응 방안 :  각 버전 별 패치

관련 CVE정보

- CVE-2019-19118

참고자료

출처 : hxxps://www.djangoproject.com/weblog/2019/dec/02/security-releases/

hxxps://twitter.com/chybeta/status/1201449525367336960

hxxps://twitter.com/jas502n/status/1201536750192975872

hxxps://nvd.nist.gov/vuln/detail/CVE-2019-19118

hxxps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19118

요약

- 11월 2일 누나부트준주가 랜섬웨어에 공격을 받았다고 공식 발표.

- 현재 모든 네트워크 사용이 중지 된 상태이며, 업무는 수기, 팩스, 전화 등으로 처리하고 있음

- 공개된 랜섬노트를 보아 Doppelpaymer 랜섬웨어에 감염된 것을 알 수 있음.

- 랜섬노트는 총 2일의 기한을 주며, 520만 달러를 요구 (네트워크 복수 비용에 들어갈 비용은 1800만 달러가 들 것으로 예상)

- 영향성 : 정기적으로 시스템에 대한 스냅샷을 찍어 보관 하기 때문에 피해 규모는 작을 것으로 보임

모든 부서의 데이터가 10/31 기준으로 백업이 되어 있어 11/1 ~ 11/2일 간의 데이터만 소실 위험에 있음.

-      랜섬노트 : 참고 hxxps://nunatsiaq.com/stories/article/government-of-nunavut-returns-to-paper-records-and-phone-calls-following-ransomware-attack/

      *Doppelpaymer : 2019년 6월경부터 최초 목격된, 변종 Bitpaymer 랜섬웨어. 미국 텍사스 주의 에드카우치 시와 칠레 농업부가 공격을 당한 바 있음. 

- 탐지방법 :

① 네트워크 관리자 계정 활동의 행동 변화 유무 확인 (예, 다량의 RDP 연결 사용)

② Powershell Empire 과 Dridex 뱅킹 트로잔 탐지룰을 이용한 공격 탐지. 

탐지룰 존재유무

- Yara 룰 (hxxps://www.sentinelone.com/blog/yara-hunting-for-code-reuse-doppelpaymer-ransomware-dridex-families)

RULE CRIME_WIN32_DOPPELPAYMER_RANSOMWARE_1 

{

    META:

        DESCRIPTION = "DETECTS DOPPELPAYMER PAYLOAD NOV 11 SIGNED"

        AUTHOR = "@VK_INTEL"

        REFERENCE = "HTTPS://TWITTER.COM/VK_INTEL/STATUS/1193937831766429696"

        DATE = "2019-11-11"

        HASH1 = "46254A390027A1708F6951F8AF3DA13D033DEE9A71A4EE75F257087218676DD5"

    STRINGS:

        $S1 = "SETUP RUN" WIDE

        $HASH_FUNCTION = { 5? 5? 8B FA 8B ?? 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 81 ?? ?? ?? ?? ?? 7? ??}

    CONDITION:

        ( UINT16(0) == 0X5A4D AND

            FILESIZE < 2500KB AND

            ( ALL OF THEM )

        )

}

- 벤더사 탐지룰 적용 중 (hxxps://www.virustotal.com/gui/file/46254a390027a1708f6951f8af3da13d033dee9a71a4ee75f257087218676dd5/detection)

Symantec - ML.Attribute.HighConfidence

McAfee - Artemis!81F50E95BFBB

FireEyE - Gen:Trojan.Heur.FU.JzW@ammUQ@i

영향성

- 최근, 스피어피싱이나 워터링홀 기법, 신규취약점을 악용한 유포가 활발히 발생 중 이므로 각별히 주의 필요!

※ 최근 다수 발생 중인 신규 취약점 악용 공격 : 블루킵 및 vpn 악용 취약점 공격

Pulse Secure VPN : CVE-2019-11510, CVE-2019-11539

Fortinet Fortigate VPN : CVE-2018-13379

Bluekeep : CVE-2019-0708

참고자료

출처 : hxxps://gov.nu.ca/executive-and-intergovernmental-affairs/news/gn-network-impacted-ransomware

hxxps://gov.nu.ca/executive-and-intergovernmental-affairs/news/government-nunavut-ransomware-update

hxxps://nunatsiaq.com/stories/article/government-of-nunavut-returns-to-paper-records-and-phone-calls-following-ransomware-attack/

hxxps://www.sentinelone.com/blog/yara-hunting-for-code-reuse-doppelpaymer-ransomware-dridex-families/

hxxps://www.cert.ssi.gouv.fr/uploads/CERTFR-2019-CTI-006-EN.pdf

요약

- 전자메일을 통해 전송된 zip문서에서 Revenge RAT 및 WSHRAT를 배포하는 다단계 vbs 다운로더 발견

- zip문서에 포함된 MHT 파일에서 시작하여 디렉토리서버(hxxp : //newdocreviewonline.3utilities [.] com /)와 통신함.

- 이 서버는 Review.php 와 Microsoft.hta 파일이 존재하며, hta 파일을 검토한 결과 URL 인코딩문자로 된 JavaScript 파일로 확인됨.

- 문자를 디코딩하면 내부에 VBScript코드가 포함된 html 파일이 표시되는데, 

         AppData/Local에 저장되는 A6p.vbs 스크립트를 생성한 다음 Microsoft2.b라는 스크립트인 stage2를 다운로드 하고 실행하는데 사용함. 

- stage2는 아래 경로에서 다운로드됨

        hxxps : //scisolinc[.]com/wp-includes/Text/microsoft.vbs

- Stage2 난독화 파일

■ Revenge RAT

- stage2를 디코딩하면 스크립트가 확인되고, 그 안에 Revenge RAT 실행 파일인 Base64로 인코딩 된 PE파일을 볼 수 있음.

- 지속성 유지를 위해 AppData/Local/Temp 경로에서 Appdata/Roaming으로 Microsoft.vbs를 복사 한 후,

          "C : \ User \ % USER % \ Appdata로 설정된"microsoft "라는 실행 키를 저장 함으로써, 컴퓨터 시작 시 vbs를 실행할 수 있음.

- 스크립트는 난독 처리된 PE파일을 HKCU : \ Software \ Microsoft \ microsoft에 문자열로 저장 후 이전에 저장된 키를 메모리로 읽고 

        파일을 최종 실행하기전에 PE파일을 난독 처리함.

- 이를 통해 Revenge RAT는 메모리에서 실행되고 파일을 시스템에 드롭 하지 않음.

■ WSHRAT

- stage2에 포함된 다른 문자열에서 WSHRAT 스크립트 확인

- 디코딩된 Base64문자열을 Appdata/Roaming의 GXxdZDvzyH.vbs 파일에 저장하기 전에 Base64를 디코딩 한 다음 

        wscript /b로 실행함 (/b 플래그는 배치 모드를 지정하므로 오류나 입력프롬프트가 발생하지 않음)

- GXxdZDvzyH.vbs에 포함된 base64 문자열을 난독처리하면 WSHRAT가 확인됨.

- WSHRAT는 컴퓨터이름 및 바이러스 백신 공급자와 같은 컴퓨터 정보를 훔칠 수 있음.

- 또한 Chrome, IE 및 Firefox와 같은 널리 사용되는 웹브라우저에서 비밀번호를 도용할 수 있음.

- 실행키로 설치하는 것 외에도 합법적인 바로가기로 보이지만 실제로는 지정된 파일을 실행하기 전에 Malware를 실행하는 lnk 파일을 만들 수 있음.

- WSHRAT의 기능

① 파이어폭스, 크롬, 인터넷 익스플로러, 에지, 오페라, 아웃룩, 선더버드 크리덴셜 탈취

② 파일의 다운로드, 업로드, 실행

③ 시스템 내에서 파일 검색 및 찾기

④ 원격 스크립트 및 명령 실행

⑤ 사용자 계정 제어(UAC) 비활성화

⑥ 백신 제품 비활성화

⑦ 프로세스 열람 및 종료

⑧ PC 종료 및 재시작

※ Revenge RAT : 원격 쉘을 열 수 있는 것으로 알려진 DevPoint 해킹포럼에서 2016년 공개된 RAT로 공격자는 시스템파일, 프로세스, 레지스트리 및 서비스를 관리하고 키 입력을 기록하여 피해자의 암호 등을 탈취할 수 있음.

※ WSHRAT : 후디니 웜의 변종으로 봇을 구성하는 기능과 RAT 기능을 가지고 있는 멀웨어. (Windows Script Host)라는 툴과 관련된것으로 보이며, MHT파일과 href링크가 포함된 악성 이메일을 통해 전파됨.

- 샘플 정보 

RevengeRAT  

Hash: 9ada62e4b06f7e3a61d819b8a74f29f589b645a7a32fd6c4e3f4404672b20f24 

C2: 193.56.28.134:5478, 185.84.181.102:5478 

WSHRAT

Hash: d86081a0795a893ef8dc251954ec88b10033166f09c1e65fc1f5368b2fd6f809 

샘플에서 추출한 악성 IP : 194.5.98.46

C2: britianica.uk.com:4132 (185.165.153.14)

Registry Location: HKEY_LOCAL_MACHINE:Software\Microsoft\Windows\CurrentVersion\Run\GXxdZDvzyH 

Loader

Hash (microsoft.vbs): c229c614c9bd2b347fd24ad12e3c157c686eb86bc0a02df1c7080cf40b659e10 

Hash (GXxdZDvzyH.vbs): ced8be6a20b38f5f4d5af0f031bd69863a60be53b9d6434deea943bf668ac8d8

치료방법

- 레지스트리에 상주하기 때문에 레지스트리에서 직접 삭제 필요

① 멀웨어 실행 중지 : % APPDATA %에 저장된 두 파일 (microsoft.vbs 및 GXxdZDvzyH.vbs) 삭제

② (HKEY_LOCAL_MACHINE : Software \ Microsoft \ Windows \ CurrentVersion \ Run)를 찾아 "microsoft", "GXxdZDvzyH"값 삭제

③ (HKCU : Software \ Microsoft \)로 이동하여 "microsoft"값 (Base64로 인코딩 된 PE 파일로 구성되어야 함)을 찾은 다음 해당 값 삭제

④ 컴퓨터 재부팅 수행

참고자료

출처 : hxxps://www.binarydefense.com/revenge-is-a-dish-best-served-obfuscated/?utm_content=105361112&utm_medium=social&utm_source=twitter&hss_channel=tw-2715666338

hxxps://www.bleepingcomputer.com/news/security/attackers-target-govt-and-financial-orgs-with-orcus-revenge-rats/

요약

- 최초 보도에 따르면 Ryuk 랜섬웨어에 감염 되었던것으로 알려졌으나, 감염 랜섬노트 분석 결과 DoppelPaymer 랜섬웨어 감염인 것으로 밝혀짐

- 랜섬노트에 따르면 565 Bitcoin (약 58억) 을 요구 (1 bitcoin = 10,229,000원)

- 감염 화면

참고 : hxxps://www.bleepingcomputer.com/news/security/mexicos-pemex-oil-suffers-ransomware-attack-49-million-demanded/

- BitPaymer 랜섬웨어 노트와 유사하나, 아래와 같이 DoppelPaymer 랜섬노트의 특징인 DATA 를 확인 할 수 있음

      참고 : hxxps://twitter.com/VK_Intel/status/1194344782786527233

 - Vitali Kremez 연구원 DoppelPayer 감염 샘플 분석 

hxxps://twitter.com/VK_Intel/status/1194344782786527233

-      Vitali Kremez 연구원의 예상 감염 시나리오 :

Emotet 감염 → Dridex 멀웨어 설치→ DoppelPayer 공격자의 해당 시스템에 대한 네트워크 접근 허용 → Cobalt Strike 와 PowerShell Empire 사용해 랜섬웨어 전파

- 랜섬웨어 샘플 

46254a390027a1708f6951f8af3da13d033dee9a71a4ee75f257087218676dd5

탐지룰 존재유무

- Yara Rule :

hxxps://github.com/k-vitali/Malware-Misc-RE/blob/master/2019-11-11-crime_doppelpaymer_ransomware_1.vk.yar

import "pe"

rule crime_win32_doppelpaymer_ransomware_1 {

   meta:

      description = "Detects DoppelPaymer payload Nov 11 Signed"

      author = "@VK_Intel"

      reference = "https://twitter.com/VK_Intel/status/1193937831766429696"

      date = "2019-11-11"

      hash1 = "46254a390027a1708f6951f8af3da13d033dee9a71a4ee75f257087218676dd5"

   strings:

       $s1 = "Setup run" fullword wide

       $hash_function = { ?? ?? 8b fa 8b ?? 8b cf e8 ?? ?? ?? ?? 85 c0 75 ?? 81 ?? }

   condition:

      ( uint16(0) == 0x5a4d and

         filesize < 2500KB and

         ( all of them )

      )

}

영향성

- 공격자의 Tor 사이트에 다음과 같은 메시지가 추가 됨 

"Also, we have gathered all your private sensitive data. So if you decide not to pay, we would share it. It may harm your business reputation."

(회사 평판에 악영향을 미칠 수 있는 민감한 정보를 가지고 있으니 돈을 지불하지 않으면, 배포하겠다.)

참고자료

출처 : hxxps://www.bleepingcomputer.com/news/security/mexicos-pemex-oil-suffers-ransomware-attack-49-million-demanded/

hxxps://twitter.com/VK_Intel/status/1194344782786527233

hxxps://twitter.com/malwrhunterteam/status/1194262241283063814

요약

- TA505 그룹이 사용할 것으로 추정되는 2개의 의심 도메인의 IP가 2019/11/3 동일 날짜에 등록 됨. 

microsoft-live-us.com → 185.176.221.45

sync-share.com → 45.142.215.17

서브도메인

dl1.sync-share.com

dl2.sync-share.com

dl3.sync-share.com

영향성

악성 IP 및 URL 차단 권고

참고자료

출처 : hxxps://twitter.com/kyleehmke/status/1191315815351668737

요약

- 리포트 원문 : https://www.us-cert.gov/ncas/analysis-reports/ar19-304a

- 리포트에 실린 악성 IP (총 22개) 

112.175.92.57

113.114.117.122

117.239.241.2

119.18.230.253

128.200.115.228

137.139.135.151

14.140.116.172

181.39.135.126

186.169.2.237

195.158.234.60

197.211.212.59

21.252.107.198

210.137.6.37

218.255.24.226

221.138.17.152

26.165.218.44

47.206.4.145

70.224.36.194

81.94.192.10

81.94.192.147

84.49.242.125

97.90.44.200

영향성

악성 IP에 대한 차단 권고

참고자료

출처 :  hxxp://www.dt.co.kr/contents.html?article_no=2019110202109919807008&ref=naver 

    hxxps://www.us-cert.gov/ncas/analysis-reports/ar19-304a