Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Amplification attack

Security Newsletters, 2018 Mar 9th, Memcached 증폭공격 킬 스위치 外

Posted on 2018-03-09 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 북한의 사이버 스파이 그룹이 터키 금융 기관들을 대상으로 사이버 공격을 진행중이라는 리포트가 나왔다. 히든코브라(Hidden Corba)라고도 불리는 북한과 관련된 것으로 추정되는 해킹그룹이 터키의 금융 기관으로 눈을 돌린 것으로 보인다. McAfee는 목요일 리포트를 통해 이와같이 밝혔다. 맥아피가 발견한 악성코드는 Bankshot이라 명명되었으며 2017년에 발견되었고, 장악한 침해 시스템에서의 추후 공격을 위한 영속성 확보를 위해 설계되었다.
  • 평창 동계 올림픽에 대한 사이버 공격의 배후가 북한이 아니었으며, 북한으로 보이도록 의도적으로 위장한 공격이었다는 리포트가 이어졌다. 2018 동계 올림픽 인프라에 장애를 가져왔던 악성코드에 대한 면밀한 조사결과, 그 배후가 북한으로 보이도록 만들기 위한 의도가 있었는 리포트가 공개되었다. 평창동계올림픽 첫날 Olympic Destroyer라는 악성코드에 의해 매인 웹사이트가 다운되고 행사장 주변 WiFi 네트워크가 중단되며, 서버의 데이터가 지워지는 사태가 발생했었다. 그리고 이어지는 몇주간 여러 공격들이 Lazarus Group이라고도 알려진 북한 배후의 해킹그룹의 소행이라는 분석이 계속되었다. 그러나 이번에 카스퍼스키랩 엔지니어들은 Lazarus Group이 코드를 작성하지 않았다고 주장한다.

Detailed News list

  • NK Targeting Turkish Financial Orgs
    • [DarkReading]
      North Korea Threat Group Targeting Turkish Financial Orgs
    • [InfoSecurityMagazine]
      Hidden Cobra Coils and Strikes at Turkish Banks
    • [McAfee]
      Hidden Cobra Targets Turkish Financial Sector With New Bankshot Implant
  • False Flag
    • [DarkReading]
      Olympic Destroyer’s ‘False Flag’ Changes the Game
    • [TheRegister]
      Analysis suggests North Korea not behind Olympic Destroyer malware attack
    • [SecurityWeek]
      Sophisticated False Flags Planted in Olympic Destroyer Malware
    • [ThreatPost]
      Olympic Destroyer: A False Flag Confusion Bomb
    • [Securelist]
      OlympicDestroyer is here to trick the industry

 

Exploits/Vulnerabilities

Summaries

  • Memcached 취약점을 이용한 DDoS 증폭 공격에 관련된 기사가 이어지는 가운데, 이 공격을 중단시킬 수 있는 킬스위치(Killswitch)가 발견되었다는 기사가 공개되었다. Memcached의 취약점을 이용한 DDoS 공격이 나날이 신기록을 갱신하는 가운데, 누군가 증폭공격(amplification attack)의 개념증명(PoC, Proof-of-Concept)코드를 공개해 상황이 더 악화되는 것으로 보였다. GitHub은 최초 공격대상으로 1.35Tbps의 DDoS를 겪었으며, 알려지지 않은 미국의 회사는 1.7Tbps라는 사상최고치의 DDoS 공격을 당했다. 그러나 이번에는 Coreno Network Security에서 Kill Switch를 발견했으며, 이 DDoS 공격을 예방할 수 있다고 밝혔다. 연구자들에 따르면, 이번에 확인된 킬 스위치는 악성 페이로드를 포함한 취약한 서버의 캐시를 무효화해서, DDoS 공격을 제어하기 위한 명령을 공격자의 서버로 되돌려보낸다. Corero의 연구자들은 이미 공격 서버에 대해 테스트를 진행하고 100% 효과적임을 확인했다고 밝혔다.

Detailed News List

  • Killswitch for Memcached DDoS Attack
    • [InformationSecurityBuzz]
      On Discovery Of Memcached DDoS Attack Kill Switch
    • [InfoSecResources]
      Memcrashed – the dangerous trend behind the biggest-ever DDoS attack
    • [HackRead]
      Kill Switch Can Mitigate Massive DDoS Attacks Via Memcached Servers
    • [SecurityAffairs]
      Corero Network discovered a Kill Switch for Memcached DDoS attacks
    • [SecurityAffairs]
      Two PoC exploits for Memcached DDoS attacks have been released online
    • [WeLiveSecurity]
      New DDoS attack method breaks record again, adds extortion
    • [BankInfoSecurity]
      Memcached DDoS Attacks: 95,000 Servers Vulnerable to Abuse
    • [ZDNet]
      Memcached DDoS: This ‘kill switch’ can stop attacks dead in their tracks
    • [InfoSecurityMagazine]
      Memcached Flaw Kill Switch Could Foil DDoS-ers
    • [TheHackerNews]
      ‘Kill Switch’ to Mitigate Memcached DDoS Attacks — Flush ‘Em All

 

Vulnerability Patches/Software Updates

Summaries

  • Cisco에서 Cisco 제품 소프트웨어의 하드코딩된 비밀번호를 포함해 치명적인 취약점들을 수정했다. 최근 시스코에서 릴리즈한 보안 업데이트에 두가지 치명적인 취약점에 대한 권고문이 포함되었다. 첫번째는 하드코딩된 비밀번호로, CVE-2018-0141이다. 로컬의 공격자가 대상 장치를 완전하게 제어할 수 있는 취약점이다. 두번째 취약점은 CVE-2018-0147로, 자바 deserialization 취약점이다. Cisco Access Control System(ACS)에 영향을 미치며, 인증받지않은(unauthenticated) 원격의 공격자가 취약한 장비에서 임의의 명령을 root 권한으로 실행시킬 수 있다.

Detailed News List

  • Cisco
    • [TheHackerNews]
      Hard-Coded Password in Cisco Software Lets Attackers Take Over Linux Servers
    • [SecurityAffairs]
      Hardcoded password and Java deserialization flaws found in Cisco products
    • [ZDNet]
      Cisco: Update now to fix critical hardcoded password bug, remote code execution flaw
    • [HelpNetSecurity]
      Cisco fixes critical flaw in its Secure Access Control System
    • [TheRegister]
      Sigh. Cisco security kit has Java deserialisation bug and a default password SNAFU

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 독일 경찰이 다크웹 마켓 Hansa를 수사하는 과정에서 어떻게 관리자 권한을 획득할 수 있었는지에 대해서 자세한 내용을 공개했다. Hansa 다크웹 마켓에 대한 체포는 독일 경찰에 의해 국영방송으로 생중계 되었다. 이는 수사관들이 사이트를 운영하고 있었기에 가능했다. 그리고 지난 목요일 어떻게 이런일이 가능했는지에 대해 공개했다. 2016년 비트디펜더(Bitdefender)는 독일경찰에게 Hansa가 네덜란드에서 호스팅되고 있음을 귀띔해줬다. 이 소식을 들은 독일은, 여러 단계로 나누어 Hansa의 명성을 무너뜨리고, 모든 공급업자를 확인하며, 그들의 BitCoin을 압수할 계획을 세웠다. 2016년 10월, 경찰은 Hansa의 private 서버의 복사본을 만들어 그들 자체 네트워크내에 재구성했다. 그리고 관리자 페이지와 독일국적의 사이트 운영자 두명의 채팅로그를 확보했다.

Detailed News List

  • Dutch police and Hansa
    • [TheRegister]
      Dutch police detail how they became the admins for Hansa dark web market

 

Crypto Currencies/Crypto Mining

Summaries

  • 새로운 채굴 악성코드가 발견되었다. 이 악성코드는 단 몇시간만에 50만대 이상의 컴퓨터를 감염시키는 확산 속도를 보여줬다. Dofoil 또는 Smoke Loader라 명명된 이 악성코드는 감염된 윈도우즈 컴퓨터에서 일렉트로니움 코인을 채굴하는 암호화폐 채굴기를 드랍한다. 3월 6일 윈도우즈 디펜더에서 갑작스레 8만대의 Dofoil 변종이 탐지되어 Microsoft Defender research department에 경고가 발령되었다. 이후 12시간동안 40만대 이상의 감염이 기록되었다. 연구팀에서는 러시아, 터키, 우크라이나에 걸쳐 진행된 이 확산이 암호화폐 채굴 페이로드를 운반하며, 탐지 회피를 위해 적법한 윈도우즈 바이너리로 위장한 것을 확인했다.

Detailed News List

  • Mining Malware
    • [InfoSecurityMagazine]
      Massive Coin-Mining Attempt Targets Nearly Half a Million PCs
    • [TheHackerNews]
      New Cryptocurrency Mining Malware Infected Over 500,000 PCs in Just Few Hours

 

Posted in Security, Security NewsTagged Amplification attack, Bankshot, Crypto Currency, Cryptocurrency Mining, CVE-2018-0141, CVE-2018-0147, Cyber Espionage, Dark Web, DDoS, Distributed Denial of Service, Dofoil, False Flag, Lazarus Group, Olympic Destroyer, Patches, Smoke Loader, VulnerabilityLeave a comment

Security Newsletters, 2018 Mar 8th, EXIM MTA 원격코드실행 취약점 外

Posted on 2018-03-08 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 몇년 전 Shadow Brokers라는 해커그룹에 의해 NSA로 부터 유출된 파일에서 타국의 해커들을 추적하기 위해 사용된 도구가 확인되었다. 이번에 발견된 이 도구들은 미국의 NSA(National Security Agency)에 의해 개발되었으며, 그들이 해킹한 기기에서 타국의 해커들의 존재를 탐지하기 위한 목적으로 사용된 것으로 보인다. 작년에 유출된 이 파일들 중 “Territorial Dispute”라 명명된 일련의 모듈이 있다. CrySyS Lab의 연구자들이 이 파일들에 대한 조사를 진행했고, Territorial Dispute 툴이 다른 해커들이 존재하는지를 탐지하기 위한 목적을 가지고 설계되었다는 결론을 내렸다. CrySyS에 따르면, 이 툴은 비교적 간단하다. 목표 기기에서 이미 알려져있는 APT공격들과 관련된 특정 파일이나 윈도우즈 레지스트리, 기타 침해지표(IOCs, Indicators of Compromise)들을 검색한다. 연구자들은 이 툴들의 목표가 우방들과의 충돌을 피하고, NSA의 악성코드가 탐지되는 일을 피하기 위한 것으로 보고있다.

Detailed News list

  • NSA
    • [SecurityWeek]
      NSA Used Simple Tools to Detect Other State Actors on Hacked Devices
    • [TheHackerNews]
      Leaked NSA Dump Also Contains Tools Agency Used to Track Other Hackers

 

Exploits/Vulnerabilities

Summaries

  • 오픈소스 메일서버인 Exim에서 원격 코드실행이 가능한 버퍼오버플로우 취약점이 발견되었다. 약 40만대의 서버가 취약한 상태인 것으로 추정된다. 4.90.1 이전의 모든 버젼의 Exim MTA(Message transfer agent)가 공격에 취약하다. Devcore Security Consulting의 Meh Chang이 2월 2일 이 버그에 관해 Exim에 알렸고, 5일 후 패치가 릴리즈 되었다. 그러나 Chang에 따르면 아직 약 40만대의 서버가 취약한 버젼의 Exim을 운영중인 것으로 추정된다.
  • Memcached의 취약점을 사용한 DDoS 공격이 진행중이다. Memcached는 무료 오픈소스 분산 메모리 캐싱 시스템이다. 클라이언트들은 memcached 서버와 TCP 또는 UDP 11211 포트로 통신을 하게 된다. 클라우드플레어(Cloudflare) 및 Arbor Networks와 중국 보안기업인 Qihoo 360에 따르면, memcached가 DDoS amplification 공격에 사용되고 있다. 이 공격은 Memcrashed라 명명되었다. 공격자들은 UDP가 활성화 되어 있으면서, 보안설정이 되지 않은 memcached 서버를 이용하고 있다. 여타 다른 amplification 방식과 유사하게, 공격자는 대상 서버의 11211포트에 피해자 IP로 스푸핑된 IP주소를 사용하여 요청을 전송한다. 서버로 전송되는 이 요청은 몇 바이트밖에 안되지만, 응답으로 보내지는 양은 공격에 이를 수 있는 많은 양이 전송되게 된다. (2월 28일에서 이어짐)

Detailed News List

  • Exim
    • [NakedSecurity]
      Patch now! Half a million Exim mail servers need an urgent update
    • [TheRegister]
      Buffer overflow in Unix mailer Exim imperils 400,000 email servers
    • [GrahamCluley]
      400,000 servers at risk if open-source Exim remote attack bug is left unpatched
    • [ZDNet]
      Open-source Exim remote attack bug: 400,000 servers still vulnerable, patch now
    • [HelpNetSecurity]
      Exim vulnerability opens 400,000 servers to remote code execution
    • [SecurityAffairs]
      RCE flaw in Exim MTA affects half of the email servers online
  • Memcached
    • [HackRead]
      Memcached DDoS Attack PoC Code & 17,000 IP addresses Posted Online
    • [SecurityWeek]
      Memcached DDoS Attack ‘Kill Switch’ Found
    • [TheHackerNews]
      Memcached DDoS Exploit Code and List of 17,000 Vulnerable Servers Released
    • [DarkReading]
      Memcached DDoS Attack: Kill Switch, New Details Disclosed

 

Vulnerability Patches/Software Updates

Summaries

  • 구글이 크롬 패치를 릴리즈하면서 45개의 취약점을 수정했다. 이 취약점들 중 27개는 외부 연구자들에 의해 발견된 것들이다. 수정된 버그들 중 중요한 것들로 두가지의 High risk등급의 Flash use after free 버그가 있다. CVE-2018-6058, CVE-2018-6059 둘 다 JieZeng이라는 Tencent Zhanlu Lab 연구자에 의해 제보된 취약점이다.

Detailed News List

  • Google Chrome
    • [ZDNet]
      Chrome 65 rolls out: You’re getting a stronger redirect blocker, 45 security fixes
    • [SecurityWeek]
      Chrome 65 Patches 45 Vulnerabilities
    • [HackersOnlineClub]
      Google Chrome 65 Released For Mac, Windows And Linux OS With New Security Features
    • [US-CERT]
      Google Releases Security Update for Chrome

 

Posted in Security, Security NewsTagged Amplification attack, Cyber Espionage, Data Breach, DDoS, Distributed Denial of Service, Indicator of Compromise, Information Leakage, IOC, Patches, Territorial Dispute, VulnerabilityLeave a comment

Security Newsletters, 2018 Mar 2nd, Github 1.35Tbps 사상최대 DDoS 外

Posted on 2018-03-02 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 독일 정부의 IT 네트워크에 대한 사이버 공격이 현재 진행중이라고 밝혔다. 미디어에서 말하는 러시아 해커 배후설에 대한 확인은 없었다. 이 내용을 처음 보도한 독일의 DPA 뉴스기관은 이름을 밝히지 않은 소식통을 인용하며 러시아의 사이버 스파이 그룹인 “Snake”라고 보도했다.

Detailed News list

  • German Government Network
    • [SecurityWeek]
      Cyberattack ‘Ongoing’ Against German Government Network
    • [NYTimes]
      Germany Says Hackers Infiltrated Main Government Network
    • [EHackingNews]
      Russian Hacking Group Targets The German Government’s Internal Communications Network
    • [ZDNet]
      Russians suspected of new German attack may ‘have been inside system for a year’
    • [HelpNetSecurity]
      Hackers breached German government’s secure computer networks
    • [TripWire]
      Germany Blames Russian Black-Hat Hackers for Breach of Federal Agencies
    • [InfoSecurityMagazine]
      Secret German Government Network Attacked
    • [SecurityAffairs]
      DPA Report: Russia-linked APT28 group hacked Germany’s government network
    • [TheRegister]
      German government confirms hackers blitzkrieged its servers to steal data

 

Exploits/Vulnerabilities

Summaries

  • Memcached의 취약점을 사용한 DDoS 공격이 진행중이다. Memcached는 무료 오픈소스 분산 메모리 캐싱 시스템이다. 클라이언트들은 memcached 서버와 TCP 또는 UDP 11211 포트로 통신을 하게 된다. 클라우드플레어(Cloudflare) 및 Arbor Networks와 중국 보안기업인 Qihoo 360에 따르면, memcached가 DDoS amplification 공격에 사용되고 있다. 이 공격은 Memcrashed라 명명되었다. 공격자들은 UDP가 활성화 되어 있으면서, 보안설정이 되지 않은 memcached 서버를 이용하고 있다. 여타 다른 amplification 방식과 유사하게, 공격자는 대상 서버의 11211포트에 피해자 IP로 스푸핑된 IP주소를 사용하여 요청을 전송한다. 서버로 전송되는 이 요청은 몇 바이트밖에 안되지만, 응답으로 보내지는 양은 공격에 이를 수 있는 많은 양이 전송되게 된다. (2월 28일에서 이어짐)

Detailed News List

  • Memcached
    • [ZDNet]
      ​Memcached DDoS: The biggest, baddest denial of service attacker yet
    • [Imperva]
      Inside a New DDoS Amplification Attack Vector via Memcached Servers
    • [HackRead]
      Hackers can compromise Memcached Servers for DDoS attacks

 

Vulnerability Patches/Software Updates

Summaries

  • DHCP에서 원격 공격이 가능한 취약점이 수정되었다. 인터넷시스템컨소시움(ISC, Internet System Consortium)에서 구글 연구가가 발견한 DHCP(Dynamic Host Configuration Protocol) 소프트웨어의 두가지 원격 취약점에 대한 패치를 릴리즈했다. CVE-2018-5732 취약점은 high 등급을 받았으며, 일부 상황에서는 이 취약점을 공격시 원격 코드 실행까지 가능하다. 두번째 취약점은 CVE-2018-5733으로, medium 등급을 받았다. 이 취약점은 공격시 DHCP 대몬(dhcpd)의 가용한 메모리를 고갈시켜 클라이언트에 대한 서비스거부(DoS, Denial-of-Service) 상태를 유발할 수 있다.

Detailed News List

  • DHCP
    • [SecurityWeek]
      Remotely Exploitable Flaws Patched in DHCP

 

Data Breaches/Info Leakages

Summaries

  • 2017년 데이터 침해 사고에서 240만명의 Equifax 고객이 추가로 영향을 받았음이 드러났다. 최초 Equifax는 미국 전체 인구의 40%이상인 1억 4300만명의 데이터를 도둑맞았다고 밝혔었다. 그러나 2018년 2월 11일, 5개월의 조사결과 작년에 밝혔던 침해 내용에 더해 이메일 주소, 면허증 정보, 면허증 발급일, 세금신고번호 등이 추가로 유출된 것으로 드러났다. 이제 이 정보를 훔쳤던 해커들은 미국인 1억 4540만명의 개인신상 및 민감정보를 가지고 있는 것이다. 추가로, 240만명의 데이터에는 실명 및 운전면허 정보도 포함된다.
  • 미 해병대 예비군에 대한 정보 유출이 있었다. 약 2만 1천여명의 개인정보가 유출되었다. 보도에 따르면, 지난 2월 26일 국방부의 Defense Travel System(DTS)가 이메일 리스트로 암호화되지 않은 이메일을 발송하면서 일어났다. 이메일에는 개인의 은행 계좌번호, 사회보장번호(SSN)등과 같은 민감한 정보가 담겨있는 첨부파일이 포함되었다.
  • 인증기관(CA)인 DigiCert가 수요일에 리셀러 Trustico가 개인키를 유출함에 따라 23,000개 이상의 대량의 HTTPS 인증서에 대한 폐기조치(Revocation)를 발표했다. 개인키가 유출됨에 따라, DigiCert가 강제로 영향을 받은 인증서들을 폐기하게 되었다. 이 일은 지난 2월 27일에 영국에 위치한 Trustico의 CEO가 DigiCert에게 자신들이 판매한 23,000개 인증서의 개인키를 이메일로 보내면서 일어났다. 산업 보안 표준에 따라, 메일에 포함되었던 인증서들에 대한 강제 취소조치가 일어나게 됐다. DigiCert는 이메일로 전송된 23,000개의 개인키와 관련된 인증서들을 취소할 예정이다.

Detailed News List

  • Equifax
    • [HackRead]
      Equifax reveals additional 2.4 million users impacted from 2017 breach
    • [NakedSecurity]
      Equifax finds ANOTHER 2.4 million Americans hit by breach
    • [TheRegister]
      Equifax peeks under couch, finds 2.4 million more folk hit by breach
    • [ZDNet]
      Equifax says millions more Americans affected by hack than first thought
    • [DarkReading]
      Equifax Finds 2.4 Million Additional US Victims of its Data Breach
  • Marine Forces
    • [TripWire]
      Data Breach at US Marine Forces Reserve Impacts Over 21,000 Soldiers, Civilians
    • [InfoSecurityMagazine]
      US Marines Confirm 21,000 Details Exposed in Data Breach
    • [HackRead]
      Personal Data of 21,426 US Marine Force Reserve Personnel Leaked
  • Certificates
    • [TheRegister]
      HTTPS cert flingers Trustico, SSL Direct go TITSUP after website security blunder blabbed
    • [ZDNet]
      Trustico compromises own customers’ HTTPS private keys in spat with partner
    • [SecurityWeek]
      23,000 Digital Certificates Revoked in DigiCert-Trustico Spat
    • [BankInfoSecurity]
      Leak of 23,000 Private Keys Triggers Security Scramble
    • [InfoSecurityMagazine]
      SSL Snafu Ends in 23,000 Revoked Certs

 

Service Outage/Malfunction

Summaries

  • GitHub에 대한 1.35Tbps의 대규모의 분산서비스거부(DDoS, Distributed Denial of Service) 공격이 있었다. GitHub이 28일 수요일에 일련의 대규모 DDoS 공격을 당했다. 첫번째 공격에서 Github의 웹사이트는 초당 1.35 테라바이트의의 공격을 받았고, 두번째 공격에서는 Github의 네트워크 모니터링 시스템에서 400Gbps를 기록했다. 공격은 8분간 지속되었고, 지금까지 확인된 DDoS 공격 중 가장 큰 규모의 공격이다. 프랑스의 통신회사 OVH와 Dyn DNS도 1Tbps의 DDoS 공격을 겪은 바 있다. 이 공격들은 IoT 장치를 감염시키는 Mirai에 의한 것이었다. 그러나 이번의 DDoS 공격은 Memcached 서버의 취약점으로 인한 것일 수 있다.

Detailed News List

  • Github
    • [HackRead]
      Github hit by 1.35 Tbps DDoS attack; the largest ever
    • [DarkReading]
      GitHub Among Victims of Massive DDoS Attack Wave
    • [CyberScoop]
      GitHub hit with record 1.35-Tbps denial of service attack, more attacks expected
    • [ZDNet]
      GitHub hit with the largest DDoS attack ever seen

 

Posted in Security, Security NewsTagged Amplification attack, APT28, Certificate, CVE-2018-5732, CVE-2018-5733, Cyber Espionage, Data Breach, DDoS, Information Leakage, Outage, PatchesLeave a comment

Security Newsletters, 2018 Mar 1st, ionCube 악성코드 사이트 감염 外

Posted on 2018-03-01 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares

Summaries

  • ionCube 악성코드에 의해 WordPress 및 Joomla, CodeIgniter 기반의 웹사이트들이 감염되고 있다. SiteLock의 연구가들이 수백개의 웹사이트가 ionCube인코딩 파일로 위장한 악성코드에 감염된 것을 확인했다. ionCube는 PHP 소프트웨어 보호를 위해 사용되는 인코딩 기법이다. 정상적으로 ionCube로 인코딩 된 파일인 것처럼 위장하고 있지만, 악성 코드를 포함하고 있다. 거기에 덧붙여 Joomla 및 CodeIgniter로 작성된 웹사이트들 또한 영향을 받은것으로 확인되었다. 지금까지 분석된 내용에 따르면, 이 악성 파일의 마지막에 eval 코드를 포함하고 있어 원격에서 코드를 실행할 수 있게 만들어져 있다.

Detailed News List

  • ionCube
    • [SecurityAffairs]
      Hundreds of sites based on WordPress, Joomla and CodeIgniter infected by ionCube Malware
    • [SecurityWeek]
      Fake ionCube Malware Hits Hundreds of Sites
    • [ThreatPost]
      WordPress Users Warned of Malware Masquerading as ionCube Files

 

Exploits/Vulnerabilities

Summaries

  • Memcached의 취약점을 사용한 DDoS 공격이 진행중이다. Memcached는 무료 오픈소스 분산 메모리 캐싱 시스템이다. 클라이언트들은 memcached 서버와 TCP 또는 UDP 11211 포트로 통신을 하게 된다. 클라우드플레어(Cloudflare) 및 Arbor Networks와 중국 보안기업인 Qihoo 360에 따르면, memcached가 DDoS amplification 공격에 사용되고 있다. 이 공격은 Memcrashed라 명명되었다. 공격자들은 UDP가 활성화 되어 있으면서, 보안설정이 되지 않은 memcached 서버를 이용하고 있다. 여타 다른 amplification 방식과 유사하게, 공격자는 대상 서버의 11211포트에 피해자 IP로 스푸핑된 IP주소를 사용하여 요청을 전송한다. 서버로 전송되는 이 요청은 몇 바이트밖에 안되지만, 응답으로 보내지는 양은 공격에 이를 수 있는 많은 양이 전송되게 된다. (2월 28일에서 이어짐)
  • SAML 프로토콜 구현 제품들에서 다른 사용자로 로그인 할 수 있는 취약점이 발견되었다. 이번에 발견된 취약점은 로그인 요청에 대한 인증 응답(authenticated response)을 가로채, 그 내용을 변경할 수 있는 취약점이다. 다시 말하자면, 공격자가 특정 사용자로 로그인 할 수 있는 것이다. 공격은 공격자가 사용자이름과 비밀번호가 확인된(verified) 이후에 응답을 조작해서 이루어진다. 사용자의 브라우저에 로그인을 위해 반환되는 메시지를 공격자가 조작하게 되면, 검증 서명값(validating signature)도 바뀌게 된다. 그러나 이 서명값들이 제대로 검증되지 않으면서 다른 사용자로 로그인하는 취약점이 발생하게 된다. 연구자들은 이 취약점이 설정에 따라 다른 결과를 내기 때문에, 언제나 취약한 것은 아니라고 밝혔다. (2월 28일에서 이어짐)

Detailed News List

  • Memcached
    • [ThreatPost]
      Misconfigured Memcached Servers Abused to Amplify DDoS Attacks
    • [SecurityAffairs]
      Experts warn Memcached DDoS attacks could be soon a dangerous threat
    • [HelpNetSecurity]
      Surge in memcached-based reflected DDoS attacks is due to misconfigured servers
    • [TheHackerNews]
      Memcached Servers Abused for Massive Amplification DDoS Attacks
    • [TheRegister]
      Popular cache utility exploited for massive reflected DoS attacks
  • SAML
    • [NakedSecurity]
      Single Sign-On authentication – the bug that lets you logon as someone else
    • [TheRegister]
      XM-Hell strikes single-sign-on systems: Bugs allow miscreants to masquerade as others

 

Data Breaches/Info Leakages

Summaries

  • 잘못 설정된 AWS Bucket에서 또다시 대량의 자료 유출이 발생했다. UpGuard에서 Amazon Web Services(AWS) S3 bucket의 잘못된 설정으로 인한 막대한 양의 데이터 유출을 탐지했다. 이 데이터베이스는 Birst라는 기업에 속한 데이터베이스였다. 노출된 데이터베이스는 50기가의 데이터를 담고 있었다.

Detailed News List

  • AWS Bucket
    • [HackRead]
      Unprotected AWS Bucket Exposes 50.4 GB of Financial Giant’s Data

 

Posted in Security, Security NewsTagged Amplification attack, Information Leakage, ionCube, Malware, SAML, VulnerabilityLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Exploit PoC for CVE-2023-20887 VMWare Aria Operations for Networks
  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外

Categories

  • Diet (7)
  • Exploit (1)
  • Flaw (2)
  • Hacking (1)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2023년 6월 (1)
  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.