Security Newsletters, 2018 Feb 28th, Memcached를 통한 Amplification 공격 外

Posted on 2018-02-28 - 2018-02-28 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Exploits/Vulnerabilities

Summaries

SAML 프로토콜 구현 제품들에서 다른 사용자로 로그인 할 수 있는 취약점이 발견되었다. 이번에 발견된 취약점은 로그인 요청에 대한 인증 응답^{(authenticated response)}을 가로채, 그 내용을 변경할 수 있는 취약점이다. 다시 말하자면, 공격자가 특정 사용자로 로그인 할 수 있는 것이다. 공격은 공격자가 사용자이름과 비밀번호가 확인된^(verified) 이후에 응답을 조작해서 이루어진다. 사용자의 브라우저에 로그인을 위해 반환되는 메시지를 공격자가 조작하게 되면, 검증 서명값^{(validating signature)}도 바뀌게 된다. 그러나 이 서명값들이 제대로 검증되지 않으면서 다른 사용자로 로그인하는 취약점이 발생하게 된다. 연구자들은 이 취약점이 설정에 따라 다른 결과를 내기 때문에, 언제나 취약한 것은 아니라고 밝혔다.
Memcached의 취약점을 사용한 DDoS 공격이 진행중이다. Memcached는 무료 오픈소스 분산 메모리 캐싱 시스템이다. 클라이언트들은 memcached 서버와 TCP 또는 UDP 11211 포트로 통신을 하게 된다. 클라우드플레어^(Cloudflare) 및 Arbor Networks와 중국 보안기업인 Qihoo 360에 따르면, memcached가 DDoS amplification 공격에 사용되고 있다. 이 공격은 ^Memcrashed라 명명되었다. 공격자들은 UDP가 활성화 되어 있으면서, 보안설정이 되지 않은 memcached 서버를 이용하고 있다. 여타 다른 amplification 방식과 유사하게, 공격자는 대상 서버의 11211포트에 피해자 IP로 스푸핑된 IP주소를 사용하여 요청을 전송한다. 서버로 전송되는 이 요청은 몇 바이트밖에 안되지만, 응답으로 보내지는 양은 공격에 이를 수 있는 많은 양이 전송되게 된다.

Detailed News List

SAML
- _{[DarkReading]}
  SAML Flaw Lets Hackers Assume Users’ Identities
- _{[SecurityWeek]}
  Widespread Vulnerability Found in Single-Sign-On Products
- _[ZDNet]
  SAML protocol bug put single sign-on accounts at risk
Memcached
- _{[DarkReading]}
  Memcached Servers Being Exploited in Huge DDoS Attacks
- _{[SecurityWeek]}
  Memcached Abused for DDoS Amplification Attacks
- _{[ArborNetworks]}
  memcached Reflection/Amplification Description and DDoS Attack Mitigation Recommendations

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

NanoCore라는 RAT^{(Remote Access Trojan, 원격제어트로이)} 악성코드 제작자가 33개월의 징역형을 선고받았다. 지난 금요일, 27세의 Taylor Huddleston이 악성코드 제작 및 판매를 통해 컴퓨터 침해를 도움 혐의로 유죄를 선고받았다. 그가 작성한 프로그램은 피해자로부터 민감 데이터를 훔치고, 피해자를 감시하거나, 기타 다른 불법 침입햄위를 수행하는데 사용되었다. (27일에서 이어짐)

Detailed News List

NanoCore RAT
- _{[TheHackerNews]}
  Hacker Who Never Hacked Anyone Gets 33-Month Prison Sentence

Mobile/Cloud

Summaries

이스라엘의 보안기업 Cellebrite에서 가장 최신의 iOS 버젼을 사용하는 iPhone 까지도 잠금을 해제할 수 있다고 광고를 하면서, Cellecrite에서 모든 버젼의 iOS를 해킹할 수 있는 방법을 찾은 것이 아닌가 하는 기사들이 나오고있다. 아직까지 Cellebrite에서 공식적으로 발표한 것은 없지만, 포브스^(Forbes)는 지난 몇달간 Cellebrite가 iOS 11에 접근할 수 있게 해주는 Advanced Unlocking and Extraction Services라는 새로운 기법을 개발했다고 보도했다. 이 새로운 기법으로 iOS 5부터 iOS 11까지 애플의 어떤 기기던지 보안 장치를 깰 수 있다는 것이다.

Detailed News List

iPhone unlock
- _{[GrahamCluley]}
  Phone-cracking firm advertises that it can unlock any iPhone
- _{[NakedSecurity]}
  Can the FBI really unlock ANY iPhone in existence?
- _[HackRead]
  Cellebrite’ Hacking Tool Unlocks Any iOS Devices Including iPhone X
- _[ThreatPost]
  Apple Tackles Cellebrite Unlock Claims, Sort Of
- _{[SecurityAffairs]}
  Israeli mobile forensics firm Cellebrite can unlock every iPhone device on the market
- _{[TheHackerNews]}
  Phone-Cracking Firm Found a Way to Unlock Any iPhone Model

Security Newsletters, 2018 Feb 27th, HIBP 8000만개 레코드 업데이트 外

Posted on 2018-02-27 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

지난 일요일, 평창 동계 올림픽과 관련된 컴퓨터에 대한 해킹이 러시아 스파이에 의한 것이었으며, 북한의 소행으로 보이도록 꾸미려 했다는 워싱턴 포스트의 리포트가 공개되었다. 이 기사에서 러시아의 GRU 군사 첩보기관이 2월 초, 올림픽 조직위와 관련된 약 300여대의 컴퓨터를 장악했다고 보도했다. 그리고 러시아에서 대한민국의 컴퓨터 라우터들을 해킹했고, 네트워크를 마비시키고 데이터를 수집하기 위한 악성코드를 삽입했다고 밝혔다. (27일에서 이어짐)

Detailed News list

Winter Olympic
- _{[InfoSecurityMagazine]}
  US Spies: Russia Hacked Pyeongchang 2018
- _{[EHackingNews]}
  Russia hacks Winter Olympics, shifts blame on North Korea
- _[CyberScoop]
  Winter Olympics hack shows how advanced groups can fake attribution
- _[Talos]
  Who Wasn’t Responsible for Olympic Destroyer?
- _[Cisco]
  Who Wasn’t Responsible for Olympic Destroyer?
- _[CSOOnline]
  Russia hacked Olympic computers and tried to frame North Korea
- _{[SecurityAffairs]}
  Pyeongchang – Russia’s GRU military intelligence agency hacked Olympics Computers

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

NanoCore라는 RAT^{(Remote Access Trojan, 원격제어트로이)} 악성코드 제작자가 33개월의 징역형을 선고받았다. 지난 금요일, 27세의 Taylor Huddleston이 악성코드 제작 및 판매를 통해 컴퓨터 침해를 도움 혐의로 유죄를 선고받았다. 그가 작성한 프로그램은 피해자로부터 민감 데이터를 훔치고, 피해자를 감시하거나, 기타 다른 불법 침입햄위를 수행하는데 사용되었다.

Detailed News List

NanoCore RAT
- _{[TheRegister]}
  RAT king thrown in the slammer for peddling NanoCore PC nasty
- _[HackRead]
  Developer of NanoCore RAT that targeted Canada, US & Steam jailed
- _{[GrahamCluley]}
  NanoCore’s author didn’t hack anyone, but he was imprisoned anyway
- _{[BankInfoSecurity]}
  ‘NanoCore RAT’ Developer Gets 33-Month Prison Sentence
- _{[SecurityWeek]}
  NanoCore RAT Creator Sentenced to Prison

Data Breaches/Info Leakages

Summaries

사이버 공격으로 유출된 정보를 다루는 Have I Been Pwned에 대량의 정보가 업데이트 되었다. 업데이트된 정보는 2,844개 사이트, 8000만개의 레코드다. 대단히 많은 양(8천만개)의 레코드 이지만, Have I Been Pwned에서 규모로 따지면 15번째다. 각 레코드는 이메일 주소, 평문 비밀번호를 포함하고 있다고 밝혔다.

Detailed News List

Have I Been Pwned
- _[CSOOnline]
  2,844 new data breaches added to Have I Been Pwned
- _[CSOOnline]
  2,844 new data breaches with 80M records added to Have I Been Pwned
- _{[HaveIBeenPwned]}
  2,844 Separate Data Breaches (unverified) – 80,115,532 breached accounts

Security Newsletters, 2018 Feb 26th, WP, 올림픽 해킹은 러시아 소행 外

Posted on 2018-02-26 - 2018-02-26 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

지난 일요일, 평창 동계 올림픽과 관련된 컴퓨터에 대한 해킹이 러시아 스파이에 의한 것이었으며, 북한의 소행으로 보이도록 꾸미려 했다는 워싱턴 포스트의 리포트가 공개되었다. 이 기사에서 러시아의 GRU 군사 첩보기관이 2월 초, 올림픽 조직위와 관련된 약 300여대의 컴퓨터를 장악했다고 보도했다. 그리고 러시아에서 대한민국의 컴퓨터 라우터들을 해킹했고, 네트워크를 마비시키고 데이터를 수집하기 위한 악성코드를 삽입했다고 밝혔다.

Detailed News list

Winter Olympic
- _{[SecurityWeek]}
  Russia Hacked Olympics Computers, Turned Blame on North Korea: Report
- _[CSOOnline]
  Russia hacked Olympic computers and routers but tried to frame North Korea
- _[HackRead]
  Russia hacked Winter Olympics & framed N.Korea in false-flag attack: US

Exploits/Vulnerabilities

Summaries

트렌드마이크로^{(Trend Micro)}의 리눅스기반 이메일 암호화 게이트웨이 제품에서 다수의 취약점이 발견되었다. Core Security의 연구자들에 의해서 트렌드마이크로의 리눅스기반 이메일 암호화 게이트웨이 제품에서 다수의 취약점이 발견되었다. 이 취약점들 중 일부는 Critical 및 High 등급의 취약점이다. 이 취약점들은 CVE-2018-6219 부터 CVE-2018-6230 번호가 부여되었다. 가장 심각한 취약점은 로컬이나 원격의 공격자가 루트권한으로 임의의 명령을 실행할 수 있는 취약점이다.

Detailed News List

Trend Micro Email Encryption Gateway
- _{[SecurityAffairs]}
  Dozen vulnerabilities discovered in Trend Micro Linux-based Email Encryption Gateway

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

체코 대통령 Milos Zeman이 소셜네트워크 해킹 및 사기 혐의를 받고 있는 러시아 해커 Yevgeni Nikulin이 미국이 아닌 러시아로 송환되기를 바라고 있다는 기사가 공개되었다. Yevgeni Nikulin은 소셜네트워크에 대한 사이버 공격 혐의로 미국으로부터 기소되어 있고, 러시아 당국으로부터는 사기혐의로 기소되어 있는 상태다. 그는 지난 2016년 10월 프라하에서 FBI와의 국제 합동 작전으로 체포되었다.

Detailed News List

Russian Hacker, Yevgeni Nikulin
- _{[SecurityAffairs]}
  Czech President wants Russian hacker Yevgeni Nikulin extradited to Russia instead of US
- _{[SecurityWeek]}
  Czech President Wants Hacker ‘Extradited to Russia’ Not US

Deep Web/DarkNet/Onion/Underground Market

Summaries

악성코드 탐지를 우회하기 위해서 적법한 코드사인용 인증서가 판매되고 있다. 보안연구가들이 코드사인용 인증서가 해커들에 의해 사용되어 보안장비를 우회하고 감염시키는 일이 더 쉬워지고 있음을 확인했다. 이들이 찾아낸바에 따르면, 해커들이 발급기관으로부터 적법한 인증서를 획득하여 악성코드를 서명하는데 사용하고 있다. 지금까지 대부분의 경우, 발급되었던 인증서가 탈취당해 사용되던 것과 비교된다. 이 가짜 인증서는 사용자로부터 탈취한 것이 아니라 실제 정보를 사용해 발급받은 것이다. (23일에서 이어짐)

Detailed News List

Certificates
- _{[SecurityWeek]}
  Counterfeit Code-Signing certificates even more popular, but still too expensive
- _{[EHackingNews]}
  Code signing Certificates created on demand for Cybercriminals

Security Newsletters, 2018 Feb 24th, Proxy Server 설치하는 OMG 봇넷 外

Posted on 2018-02-24 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

LATimes 웹사이트에서 크립토재킹^{(Cryptojacking)} 공격이 확인되었다. Los Angeles Times의 웹페이지에 방문자 CPU를 사용해 모네로^(Monero) 암호화폐를 채굴하는 스크립트가 숨겨져 있는것이 확인되었다. LATimes의 웹사이트에 몰래 삽입되었던 이 크립토재킹 채굴스크립트는 코인하이브^(Coinhive) 것이었다. (23일에서 이어짐)

Detailed News list

LATimes
- _[HackRead]
  LA Times website hacked to mine Monero cryptocurrency

Malwares

Summaries

IoT 기기를 감염시켜 프록시 서버로 사용하는 새로운 미라이^(Mirai) 봇넷의 변종 OMG 봇넷이 확인되었다. 포티넷^(Fortinet)의 연구가들이 OMG 봇넷을 찾아냈다. 감염시킨 IoT 장비에 프록시 서버^{(Proxy Server)}를 설치하는 최초의 변종 미라이 봇넷이다. OMG라 명명된 이유는 설정 테이블 내에 존재하는 OOMGA라는 문자열을 따서 만들어졌다.

Detailed News List

OMG Botnet
- _{[DarkReading]}
  ‘OMG’: New Mirai Variant Converts IoT Devices into Proxy Servers
- _{[SecurityAffairs]}
  OMG botnet, the first Mirai variant that sets up proxy servers on vulnerable devices

Vulnerability Patches/Software Updates

Summaries

OpenBSD가 멜트다운^(Meltdown) 취약점에 대한 패치를 공개했다. OpenBSD가 멜트다운 취약점을 수정한 버젼11코드를 릴리즈했다. 업데이트에서는 커널^(kernel)과 유저메모리 페이지^{(user memory pages)}를 분리하도록 구혔했다.
드루팔^(Drupal)에서 취약점이 다수 발견되어 업데이트가 릴리즈 되었다. 수요일에 드루팔7, 8 패치가 릴리즈되었다. 수정된 취약점 중 하나는 불완전한 크로스사이트 스크립트 방지 매커니즘과 관련된 취약점이다. (23일에서 이어짐)

Detailed News List

OpenBSD
- _{[SecurityAffairs]}
  Meltdown patch for OpenBSD is available … let’s wait for feedbacks
- _{[TheRegister]}
  OpenBSD releases Meltdown patch
Drupal
- _[ThreatPost]
  Drupal Patches Critical Bug That Leaves Platform Open to XSS Attack
- _[ZDNet]
  Drupal patches critical CMS vulnerabilities
- _{[SecurityAffairs]}
  Drupal addressed several vulnerabilities in Drupal 8 and 7

Deep Web/DarkNet/Onion/Underground Market

Summaries

악성코드 탐지를 우회하기 위해서 적법한 코드사인용 인증서가 판매되고 있다. 보안연구가들이 코드사인용 인증서가 해커들에 의해 사용되어 보안장비를 우회하고 감염시키는 일이 더 쉬워지고 있음을 확인했다. 이들이 찾아낸바에 따르면, 해커들이 발급기관으로부터 적법한 인증서를 획득하여 악성코드를 서명하는데 사용하고 있다. 지금까지 대부분의 경우, 발급되었던 인증서가 탈취당해 사용되던 것과 비교된다. 이 가짜 인증서는 사용자로부터 탈취한 것이 아니라 실제 정보를 사용해 발급받은 것이다. (23일에서 이어짐)

Detailed News List

Code-Signing Certificates
- _{[InformationSecurityBuzz]}
  Hackers Sell Code-Signing Certs To Evade Malware Detection
- _{[SecurityWeek]}
  Use of Fake Code Signing Certificates in Malware Surges
- _{[HelpNetSecurity]}
  Counterfeit digital certificates for sale on underground forums