DevHackDebug logo

[태그:] Amplification attack

Security Newsletters, 2018 Mar 9th, Memcached 증폭공격 킬 스위치 外

Posted on by aDHDmin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 북한의 사이버 스파이 그룹이 터키 금융 기관들을 대상으로 사이버 공격을 진행중이라는 리포트가 나왔다. 히든코브라(Hidden Corba)라고도 불리는 북한과 관련된 것으로 추정되는 해킹그룹이 터키의 금융 기관으로 눈을 돌린 것으로 보인다. McAfee는 목요일 리포트를 통해 이와같이 밝혔다. 맥아피가 발견한 악성코드는 Bankshot이라 명명되었으며 2017년에 발견되었고, 장악한 침해 시스템에서의 추후 공격을 위한 영속성 확보를 위해 설계되었다.
  • 평창 동계 올림픽에 대한 사이버 공격의 배후가 북한이 아니었으며, 북한으로 보이도록 의도적으로 위장한 공격이었다는 리포트가 이어졌다. 2018 동계 올림픽 인프라에 장애를 가져왔던 악성코드에 대한 면밀한 조사결과, 그 배후가 북한으로 보이도록 만들기 위한 의도가 있었는 리포트가 공개되었다. 평창동계올림픽 첫날 Olympic Destroyer라는 악성코드에 의해 매인 웹사이트가 다운되고 행사장 주변 WiFi 네트워크가 중단되며, 서버의 데이터가 지워지는 사태가 발생했었다. 그리고 이어지는 몇주간 여러 공격들이 Lazarus Group이라고도 알려진 북한 배후의 해킹그룹의 소행이라는 분석이 계속되었다. 그러나 이번에 카스퍼스키랩 엔지니어들은 Lazarus Group이 코드를 작성하지 않았다고 주장한다.

Detailed News list

 

Exploits/Vulnerabilities

Summaries

  • Memcached 취약점을 이용한 DDoS 증폭 공격에 관련된 기사가 이어지는 가운데, 이 공격을 중단시킬 수 있는 킬스위치(Killswitch)가 발견되었다는 기사가 공개되었다. Memcached의 취약점을 이용한 DDoS 공격이 나날이 신기록을 갱신하는 가운데, 누군가 증폭공격(amplification attack)의 개념증명(PoC, Proof-of-Concept)코드를 공개해 상황이 더 악화되는 것으로 보였다. GitHub은 최초 공격대상으로 1.35Tbps의 DDoS를 겪었으며, 알려지지 않은 미국의 회사는 1.7Tbps라는 사상최고치의 DDoS 공격을 당했다. 그러나 이번에는 Coreno Network Security에서 Kill Switch를 발견했으며, 이 DDoS 공격을 예방할 수 있다고 밝혔다. 연구자들에 따르면, 이번에 확인된 킬 스위치는 악성 페이로드를 포함한 취약한 서버의 캐시를 무효화해서, DDoS 공격을 제어하기 위한 명령을 공격자의 서버로 되돌려보낸다. Corero의 연구자들은 이미 공격 서버에 대해 테스트를 진행하고 100% 효과적임을 확인했다고 밝혔다.

Detailed News List

 

Vulnerability Patches/Software Updates

Summaries

  • Cisco에서 Cisco 제품 소프트웨어의 하드코딩된 비밀번호를 포함해 치명적인 취약점들을 수정했다. 최근 시스코에서 릴리즈한 보안 업데이트에 두가지 치명적인 취약점에 대한 권고문이 포함되었다. 첫번째는 하드코딩된 비밀번호로, CVE-2018-0141이다. 로컬의 공격자가 대상 장치를 완전하게 제어할 수 있는 취약점이다. 두번째 취약점은 CVE-2018-0147로, 자바 deserialization 취약점이다. Cisco Access Control System(ACS)에 영향을 미치며, 인증받지않은(unauthenticated) 원격의 공격자가 취약한 장비에서 임의의 명령을 root 권한으로 실행시킬 수 있다.

Detailed News List

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 독일 경찰이 다크웹 마켓 Hansa를 수사하는 과정에서 어떻게 관리자 권한을 획득할 수 있었는지에 대해서 자세한 내용을 공개했다. Hansa 다크웹 마켓에 대한 체포는 독일 경찰에 의해 국영방송으로 생중계 되었다. 이는 수사관들이 사이트를 운영하고 있었기에 가능했다. 그리고 지난 목요일 어떻게 이런일이 가능했는지에 대해 공개했다. 2016년 비트디펜더(Bitdefender)는 독일경찰에게 Hansa가 네덜란드에서 호스팅되고 있음을 귀띔해줬다. 이 소식을 들은 독일은, 여러 단계로 나누어 Hansa의 명성을 무너뜨리고, 모든 공급업자를 확인하며, 그들의 BitCoin을 압수할 계획을 세웠다. 2016년 10월, 경찰은 Hansa의 private 서버의 복사본을 만들어 그들 자체 네트워크내에 재구성했다. 그리고 관리자 페이지와 독일국적의 사이트 운영자 두명의 채팅로그를 확보했다.

Detailed News List

 

Crypto Currencies/Crypto Mining

Summaries

  • 새로운 채굴 악성코드가 발견되었다. 이 악성코드는 단 몇시간만에 50만대 이상의 컴퓨터를 감염시키는 확산 속도를 보여줬다. Dofoil 또는 Smoke Loader라 명명된 이 악성코드는 감염된 윈도우즈 컴퓨터에서 일렉트로니움 코인을 채굴하는 암호화폐 채굴기를 드랍한다. 3월 6일 윈도우즈 디펜더에서 갑작스레 8만대의 Dofoil 변종이 탐지되어 Microsoft Defender research department에 경고가 발령되었다. 이후 12시간동안 40만대 이상의 감염이 기록되었다. 연구팀에서는 러시아, 터키, 우크라이나에 걸쳐 진행된 이 확산이 암호화폐 채굴 페이로드를 운반하며, 탐지 회피를 위해 적법한 윈도우즈 바이너리로 위장한 것을 확인했다.

Detailed News List