해외 보안 트렌드

요약

-   CVE-2019-0708 취약점 Metaexploit의 모듈 코드를 공격에 활용. 시스템 침투 후 모네로 코인 마이너를 설치함.

-   IoC 

Hash : 498106fe7fa5ece30dd8d7457cabdba6

(hxxps://www.virustotal.com/gui/file/8a87a1261603af4d976faa57e49ebdd8fd8317e9dd13bd36ff2599d1031f53ce/details

Network : 109.176.117.11 port 8000 (TCP) 

   5.100.251.106 port 52057 (TCP)   

- 공격자 IP Top 3 : 

193.27.73.223 (네덜란드)

217.23.5.20 (네덜란드)

157.245.82.38 (미국)

관련 CVE정보

-  CVE-2019-0708

탐지룰 존재유무

- TippingPoint 35285: RDP: Microsoft Remote Desktop Services Remote Code Execution Vulnerability

- McAfee  RDP: Microsoft Remote Desktop MS_T120 Channel Bind Attempt

- Symantec  31527 (OS Attack: Microsoft Windows Desktop Services RCE CVE-2019-0708)

                 31529 (OS Attack: Microsoft Windows Desktop Services RCE CVE-2019-0708 2)

- Cisco  4개rule (content-replace.rules <1:50186~50189> 

* 1:50186 <-> ENABLED <-> CONTENT-REPLACE Microsoft Windows require RDP client channel list prior to encryption (content-replace.rules)

* 1:50189 <-> ENABLED <-> CONTENT-REPLACE Microsoft Windows require RDP client channel list prior to encryption (content-replace.rules)

-

참고자료

출처 : hxxps://doublepulsar.com/bluekeep-exploitation-activity-seen-in-the-wild-bd6ee6e599a6

   hxxps://www.kryptoslogic.com/blog/2019/11/bluekeep-cve-2019-0708-exploitation-spotted-in-the-wild/?source=post_page-----bd6ee6e599a6----------------------

    hxxps://twitter.com/GossiTheDog/status/1191783623411806208

요약

- 취약점 : rConfig 유틸리티에 패치 되지 않은 두 가지 중요한 원격 코드 실행 취약점이 존재

  인증되지 않은 원격 공격자가 대상 서버 및 연결된 네트워크 장치를 손상시킬 수 있음

* rConfig: 

네이티브 PHP로 작성된 무료 오픈 소스 네트워크 장치 구성 관리 유틸리티로 네트웍 엔지니어가 네트웍 장치의 구성 스냅 샷을 만들 수 있음.

스위치, 라우터, 방화벽,로드 밸런서, WAN 옵티 마이저 등 700백만 개 이상의 네트워크 장치를 관리하는 데 사용되고 있음.

-     익스플로잇 시도 예

GET /install/lib/ajaxHandlers/ajaxServerSettingsChk.php?rootUname=%3Becho%20-n%20HellorConfig%7Cmd5sum%20%23

공격대상 서버에 악성 OS명령을 실행하도록 조작된 GET 매개 변수를 사용하여 취약한 파일에 엑세스 함.

- 영향받는 버전 : rConfig 모든 버전

                            현재 rConfig 사에서는 3.9.2 이후 추가적인 업데이트가 진행되지 않는 것으로 확인 됨

관련 CVE정보

- ajaxServerSettingsChk.php의 인증되지 않은 RCE 

  CVE-2019-16662

  CVSS v.3.1 Base Score : 9.8

(* 설치 완료 시 의무적으로 취약 디렉토리를 지우게 되어 있어 해당 취약점에 영향을 받는 경우는 적을 것으로 추정)

- search.crud.php의 인증 된 RCE 

  CVE-2019-16663

  CVSS v3.1 Base Score : 8.8

영향성

패치 업데이트 전 사용 중지 권고

참고자료

출처 : hxxps://thehackernews.com/2019/11/rConfig-network-vulnerability.html

hxxps://www.sudokaikan.com/2019/11/cve-2019-16662-cve-2019-16663.html

hxxps://github.com/rconfig/rconfig/blob/master/www/install/lib/ajaxHandlers/ajaxServerSettingsChk.php

hxxps://github.com/rconfig/rconfig/blob/master/www/lib/crud/search.crud.php

hxxps://isc.sans.edu/diary/rss/25484

요약

- 취약점 : 대다수의 유닉스 운영체제의 주요 명령어로 사용되는 Sudo(Superuser do) 유틸리티의 취약점이 존재

             “sudoers configuration” 파일에 root 권한 접근 제한이 설정되어 있더라도, 악의 적인 사용자 혹은 프로그램은 

              목표 유닉스 시스템에 root 권한으로 임의의 명령어를 실행 할 수 있음

- 선행조건 : 사용자가 임의의 id로 명령어를 실행할 수 있는 Sudo 권한을 가지고 있어야 함.

     sudoers 엔트리의 Runas specification에 ALL 이라고 선언되어 있는 경우.

Ex.) myhost alice = (ALL) /usr/bin/id 

     myhost alice = /user/bin/id                

          →  영향 받지 않음 (유저 alice는 오직 root로 id 명령을 실행할 수 있으며, 다른 유저로 지정 후 명령어를 실행은 불가능함)

- 공격 시나리오 : 

① /etc/sudoers 파일 내 보안 정책 설정이 아래와 같이 설정

Myhost bob = (ALL, !root) /usr/bin/vi            

(유저 bob은 root를 제외한 모든 유저의 이름으로 vi 프로그램을 실행 할 수 있음)

② 공격자는 아래의 명령어를 이용 root 권한으로 vi 프로그램을 실행 할 수 있음

Sudo –u#-1 id –u

         또는

Sudo –u#4294967295 id -u

- 영향받는 버전 : 오늘 발표된 Sudo 1.8.28을 제외한 모든 버전.

- 대응 방안 :  Sudo 1.8.28 버전으로 패치

관련 CVE정보

- CVE-2019-14287

- CVSS 3.0 Base Score : 7.8 (Red Hat 기준)

참고자료

출처 : https://www.sudo.ws/alerts/minus_1_uid.html

        https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html

        https://access.redhat.com/security/cve/cve-2019-14287

요약

- 최근 발표된 VPN 취약점이 APT 공격에 활용되고 있다며 미국 국가안보국에서 주의 권고문 발행

- VPN 취약점 

Pulse Secure VPN

CVE-2019-11510 : 비인가 원격 공격자가 임의의 파일 읽기 가능 

CVE-2019-11539, : 인가 공격자가 명령어 삽입 및 실행 가능

Fortinet Fortigate VPN

CVE-2018-13379 : 비인가 공격자가 시스템 파일 다운로드 가능

관련 CVE정보

- CVE-2019-11510 

  CVSS 3.0 Base Score : 8.6 

- CVE-2019-11539

  CVSS 3.0 Base Score : 8 

- CVE-2018-13379 

  CVSS 3.0 Base Score : 7.5

탐지룰 존재유무

- CVE-2019-11510 

IBM : HTTP_PulseSecure_DotDot

Trendmicro: 36089: HTTP: Pulse Secure Pulse Connect Secure Directory Traversal Vulnerability

Symantec : Web Attack: Pulse Secure SSL VPN File Disclosure CVE-2019-11510

- CVE-2019-11539

IBM : HTTP_Pulse_Secure_Options_Cmd_Injection

Trendmicro : 36095: HTTP: Pulse Secure Pulse Connect Secure options Command Injection Vulnerability

- CVE-2018-13379 

Symantec : Web Attack: Fortinet FortiOS Directory Traversal CVE-2018-13379

Trendmicro : 36087: HTTP: Fortinet FortiOS lang Directory Traversal Vulnerability

참고자료

출처 : https://media.defense.gov/2019/Oct/07/2002191601/-1/-1/0/CSA-MITIGATING-RECENT-VPN-VULNERABILITIES.PDF

요약

- 취약점 : string.c의 string_vformat()에 단순한 코딩로 힙 기반 버퍼 오버 플로우 취약점 발생. 

비인가 원격 공격자는 매우 긴 Extended HELO(EHLO) 스트링을 사용해, 메시지를 수신하는 Exim 프로세스를 작동 중지 시킬 수 있음. 또한, 해당 호스트 내 임의의 코드를 실행할 수 있음. 

- 영향성 : 공격 방법이 매우 단순하여 해당 취약점을 악용될 소지가 매우 높음.

- 영향 받는 제품 : Exim 서버 4.92 – 4.92.2 버전 

- 대응 방법 : Exim 서버 4.92.3 버전으로 업그레이드 (패치 이외의 임시 대응 방안 현재 없음)

관련 CVE정보

- CVE-2019-16928

- CVSS 3.0 Base Score: 9.8

- PoC: https://git.exim.org/exim.git/patch/478effbfd9c3cc5a627fc671d4bf94d13670d65f

참고자료

출처 : https://www.tenable.com/blog/cve-2019-16928-critical-buffer-overflow-flaw-in-exim-is-remotely-exploitable

https://threatpost.com/critical-exim-flaw-opens-servers-to-remote-code-execution/148773/

https://www.exim.org/static/doc/security/CVE-2019-16928.txt

https://bugs.exim.org/show_bug.cgi?id=2449

2019.09.24 기준 총 374개

100.34.98.47

100.42.161.20

103.83.81.148

103.97.95.218

104.131.11.150

104.131.58.132

104.136.151.73

104.236.185.25

104.236.246.93

104.24.118.227

104.24.119.227

104.247.221.104

104.27.132.137

104.28.10.35

104.31.76.148

105.224.170.204

107.11.23.236

107.159.94.183

108.179.216.46

109.104.79.48

109.169.86.13

113.161.174.36

113.52.135.33

114.79.134.129

115.71.233.127

117.197.124.36

119.59.124.163

119.92.51.40

122.165.134.72

122.174.172.246

123.168.4.66

124.121.192.163

125.99.106.226

125.99.61.162

128.199.78.227

128.92.54.20

133.130.73.156

133.242.208.183

136.243.177.26

138.197.140.163

138.201.140.110

138.68.106.4

138.68.139.199

139.155.98.82

139.162.151.141

139.59.19.157

139.59.242.76

140.207.113.106

142.44.162.209

143.0.245.169

143.95.101.72

144.139.247.220

144.76.117.247

149.167.86.174

149.202.153.251

149.202.153.252

149.62.173.247

151.80.142.33

152.168.220.188

152.168.82.167

152.169.236.172

152.46.8.148

153.122.38.158

154.120.228.126

158.69.130.55

159.203.204.126

159.65.241.220

159.65.25.128

159.65.76.245

159.69.211.211

162.213.21.254

162.241.130.39

162.243.125.212

165.227.213.173

169.239.182.217

170.247.122.37

173.178.94.138

173.212.203.26

173.212.231.135

173.242.103.80

173.248.147.186

173.249.42.35

175.100.138.82

176.31.200.130

176.58.93.123

177.224.87.110

177.246.193.139

178.249.187.150

178.249.187.151

178.254.6.27

178.32.255.133

178.62.37.188

178.78.64.80

178.79.161.166

178.79.163.131

179.12.170.88

179.32.19.219

179.62.18.56

181.113.229.139

181.143.194.138

181.143.208.106

181.143.53.227

181.16.4.180

181.164.8.25

181.170.212.29

181.188.149.134

181.230.126.152

181.29.214.233

181.36.42.205

181.39.134.122

181.39.66.26

181.48.174.242

181.81.143.108

182.176.106.43

182.176.132.213

182.76.6.2

183.82.97.25

183.87.87.73

184.59.116.243

185.129.92.210

185.129.93.140

185.187.198.4

185.86.148.222

185.94.252.13

186.1.6.67

186.137.133.132

186.139.160.193

186.146.1.36

186.149.243.238

186.150.97.128

186.159.186.156

186.176.165.231

186.3.188.74

186.4.172.5

186.4.194.153

186.64.69.115

186.75.241.230

186.83.133.253

186.93.145.178

187.144.189.58

187.144.227.2

187.147.50.167

187.149.84.80

187.155.233.46

187.160.2.73

187.188.166.192

187.207.12.6

187.207.188.248

187.220.233.135

187.242.204.142

188.166.253.46

189.129.231.76

189.129.4.186

189.166.68.89

189.180.51.94

189.187.141.15

189.189.214.1

189.209.217.49

189.245.216.217

190.1.37.125

190.10.194.42

190.104.253.234

190.104.64.197

190.106.97.230

190.113.233.4

190.117.206.153

190.13.146.47

190.145.67.134

190.146.214.85

190.146.81.138

190.146.86.180

190.15.198.47

190.16.177.117

190.171.105.158

190.18.146.70

190.180.96.117

190.186.203.55

190.189.16.174

190.19.42.131

190.200.64.180

190.201.164.223

190.221.50.210

190.226.44.20

190.230.60.129

190.38.14.52

190.53.135.159

190.55.39.215

190.55.86.138

190.79.251.99

190.8.246.18

190.9.44.28

190.92.103.7

190.97.10.198

192.155.90.90

192.163.199.254

192.163.221.191

192.241.175.184

192.241.250.202

196.6.112.70

197.248.5.23

197.248.67.226

197.91.152.93

198.199.185.25

198.199.88.162

198.46.150.196

198.50.170.27

198.58.114.91

200.188.143.154

200.21.90.6

200.32.61.210

200.57.102.71

200.58.171.51

200.6.168.130

200.80.198.34

200.82.147.93

200.85.46.122

201.113.23.175

201.163.74.202

201.184.65.229

201.212.57.109

201.219.183.243

201.250.11.236

203.130.0.67

203.150.19.63

203.25.159.3

206.189.98.125

207.180.208.175

210.2.86.72

210.2.86.94

211.229.116.97

211.63.71.72

212.71.234.16

212.71.237.140

213.120.104.180

213.123.212.188

216.14.176.17

216.154.222.52

216.70.88.55

216.98.148.157

217.113.27.158

217.160.182.191

217.165.2.133

217.199.160.224

217.199.175.216

219.94.254.93

221.120.97.51

222.214.218.192

23.254.203.51

23.92.22.225

3.254.203.51

31.12.67.62

31.172.240.91

31.210.76.98

31.31.78.203

37.120.175.15

37.157.194.134

37.208.39.59

37.59.1.74

41.185.29.128

41.220.119.246

43.229.62.186

45.118.216.70

45.123.3.54

45.33.1.161

45.33.35.103

45.33.49.124

45.55.82.2

45.56.216.160

46.105.131.69

46.105.131.87

46.163.144.228

46.21.105.59

46.228.205.245

46.249.204.99

46.28.111.142

46.29.183.211

46.32.229.152

46.41.151.103

47.41.213.2

49.212.135.76

5.189.148.98

5.196.35.138

5.196.74.210

5.67.96.120

5.77.13.70

5.9.128.163

50.28.51.143

50.79.146.13

51.15.8.192

51.255.50.164

59.152.93.46

60.205.208.213

62.210.142.58

62.75.143.100

62.75.150.240

62.75.160.178

62.75.171.248

62.75.187.192

63.142.253.122

64.13.225.150

65.49.60.163

65.87.40.115

66.209.69.165

66.228.32.31

66.228.45.129

67.79.6.38

68.183.49.130

69.163.33.82

69.164.216.124

69.198.17.20

69.43.168.232

70.184.97.144

70.28.3.120

70.45.30.28

71.11.157.249

71.244.60.230

71.244.60.231

71.56.132.47

72.47.248.48

75.127.14.170

77.122.183.203

77.245.101.134

77.55.211.77

77.68.30.48

77.82.85.35

78.109.34.178

78.188.105.159

78.24.219.147

79.127.57.42

79.143.182.254

80.0.106.83

80.11.163.139

80.12.84.86

80.85.87.122

81.136.248.12

81.169.140.14

82.78.228.57

83.110.75.153

83.169.33.157

83.29.180.97

85.104.59.244

85.187.198.4

86.42.166.147

86.98.25.30

87.106.136.232

87.106.139.101

87.106.77.40

87.230.19.21

88.156.97.210

88.250.223.190

88.99.3.166

89.188.124.145

90.69.208.50

91.109.13.64

91.205.215.10

91.205.215.57

91.205.215.66

91.83.93.103

91.83.93.124

91.92.191.134

92.222.125.16

92.222.216.44

92.48.118.27

92.51.129.249

93.78.205.196

94.177.253.126

94.205.247.10

94.33.52.72

95.128.43.213

95.178.241.254

98.129.229.204

98.144.133.221 

98.6.40.86

99.243.127.236

요약

- 최근 출간된 에드워드 스노든의 자서전, “Permanent Record”를 Word 문서로 첨부했다며, 사용자들이 파일을 다운로드하도록 유도

 (현재까지 영어, 독일어, 프랑스어, 이탈리아어 버전이 발견됨).

      *자서전은 현재 베스트 셀러이며, 출간일 미국 정부는 기밀 누설 및 승인없이 책을 출판한 점을 들어 에드워드 스노든을 고소한 상태.

 - Emotet C2 IP 총 374개 (2019.09.24일 기준) * Emotet C2 IP 리스트 포스트 참고

탐지룰 존재유무

- IBM : HTTP_Emotet_Trojan_CnC

- AhnLab-V3 : Trojan/Win32.Emotet.R248033

- FireEye : Generic.mg.9f31cd80fd32a04e 

- McAfee : Emotet-FKU!9F31CD80FD32

- Symantec : Trojan.Emotet

- TrendMicro : TSPY_EMOTET.THABOCAH

참고자료

출처 : https://paste.cryptolaemus.com/emotet/2019/09/16/emotet-malware-IoCs_09-16-19.html

https://paste.cryptolaemus.com/emotet/2019/09/17/emotet-malware-IoCs_09-17-19.html

https://paste.cryptolaemus.com/emotet/2019/09/18/emotet-malware-IoCs_09-18-19.html

https://paste.cryptolaemus.com/emotet/2019/09/19/emotet-malware-IoCs_09-19-19.html

https://paste.cryptolaemus.com/emotet/2019/09/20/emotet-malware-IoCs_09-20-19.html

https://blog.malwarebytes.com/botnets/2019/09/emotet-malspam-campaign-uses-snowdens-new-book-as-lure/

요약

*WS-Discovery(Web Service Dynamic Discovery) 프로토콜 : 로컬 네트워크에서 서비스를 찾기 위해 멀티 캐스트 검색 프로토콜을 정의하는 기술 사양으로

 동일한 네트워크상의 장치 간에 통신을 가능케 하며, 모든 장치가 하나의 목적지로 ping을 전송하여 자신에 대한 세부정보를 제공할 수 있음.

  WS-Discovery는 내부 네트워크에서만 사용하기위한 목적이었으나, 인터넷에 노출된 최대 80만개의 장치가 WS-Discovery 명령을 수신할 수 있는 것으로

  추정 됨.  (→ 이는 일종의 롤 호출 요청인 ""Probes""를 전송하여 공격대상에서 데이터를 생성하고 지시할 수 있음)

*Probes: LAN에 연결된 장치를 연동하고, 설정하는데 사용 됨. Ex) 윈도우 기기가 네트워크에 연결된 프린터를 자동으로 찾고, 설정을 하는데 사용되고 있음.

- Akamai DDoS 대응팀 프롤렉식(Prolexic) 연구원들에 의해 게임 관련 산업 고객 한 명에게 초당 35Gigabit의 공격이 8월 말 탐지되었다고 공개.

  (Akamai가 경험한 DDoS 공격 중 4번째로 큰 공격임. 가장 큰 공격 크기 : 1Terabit/s)

- 공격자는 특수하게 조작된 악성 프로토콜 요청을 CCTV 카메라나 DVR과 같은 취약한 전송 장치에 전송하여 WS-Discovery를 조작할 수 있음.

- 5000개의 IP가 공격에 사용됨.

- 공격 특징

① High-Volume 공격이 가능하며 실제 바이트 크기의 15,300%에 달하는 DDoS 증폭 공격이 가능함.

    29바이트의 악성페이로드를 보내, WS-Discovery장비에 XML 에러 Response를 트리거 시킬 수 있음.

    (18바이트 페이로드로도 공격 가능. 18바이트 페이로드는 기본 Probe의 절반에 미치는 못하는 크기이며(43%), 

     허용되는 최소 probe 보다도 작은 크기임)

② WS-Discovery 기술이 다양한 장비에서 사용되고 있어 악용 시, 피해가 규모가 클 것으로 예상

    2008년부터 생산된 모든 HP 프린터, Vista 후속 버전의 모든 Windows 운영체제, IoT 장비를 포함 약 63만개의 장비들이 

    WS-Discovery 기술을 사용 중.

※현재 온라인에 노출된 WS-Discovery 관련 장비 수 : 671,633 한국 : 51,601>

 ③ UDP 프로토콜을 이용하므로 공격자는 IP주소를 스푸핑할 수 있어, 목표 대상에 Response를 보내도록 해 DDoS 공격 실시.

 ④ 기존에 사용되지 않았던 비교적 새로운 기술인 WS-Discovery 프로토콜을 이용.

- 과거 미라이 봇넷의 IoT 장비 공격 때처럼, 노출된 WS-Discovery 장비들이 공격에 사용될 시 큰 피해가 우려됨으로 관련 취약점에 대한 대비가 필요함.

- 관련 포트(3702)에 대한 스캔이 8월 중순부터 증가함 

 - 대응 방안 :  방화벽에서 UDP source port 3702를 사전차단하여 예방할 수 있으나, WS-Discovery를 사용하는 장치에 대해

                   ACL을 적용하는 것이 서비스 측면에서 효과적임.

영향성

방화벽에서 3702 포트에 대한 접근 제한이 없을 시, 공격에 취약할 수 있음

참고자료

출처 : https://www.wired.com/story/ddos-attack-ws-discovery

https://www.csoonline.com/article/3439442/misconfigured-ws-discovery-in-devices-enable-massive-ddos-amplification.html

https://zero.bs/new-ddos-attack-vector-via-ws-discoverysoapoverudp-port-3702.html

https://threatpost.com/massive-gaming-ddos-attack-widespread-technology/148443/