Security Newsletters, 2017 Dec 28th, PS4 커널 익스플로잇 공개 外

Posted on 2017-12-28 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Exploits/Vulnerabilities

Summaries

플레이스테이션^{(PlayStation)}4 펌웨어 버젼 4.05의 커널 익스플로잇^{(kernel exploit)}이 공개되었다. 플레이스테이션4용 탈옥^(Jailbreak) 프로그램이 조만간 공개될 것으로 보인다. SpecterDev가 마침내 완전히 동작하는 PlayStation 4 firmware 4.05의 커널 익스플로잇을 공개했다. Team FailOverflow가 정보를 공개한 뒤 거의 두달 만이다. GitHub에 공개되어 있다.
안드로이드 앱의 서명정보 검사를 우회할 수 있는 취약점인 야누스^(Janus)에 대해 기사가 공개된 바 있다. 트렌드 마이크로에서 해당 취약점에 대한 분석기사가 나왔다. (12월 9일에서 이어짐)
- 이번주 구글이 공격자가 대상 앱의 서명 검증 인증서에 영향을 미치지 않으면서도 앱에 악의적인 코드를 주입할 수 있는 취약점을 수정했다. 이 방법은 공격자가 신뢰하는 제작사에서 만든 것처럼 보이는 서명된 어플리케이션을 사용해 장비의 악성코드방지 기능을 우회하고 권한을 상승시킬 수 있는 취약점이다. 이 취약점은 야누스^(Janus)라고 이름이 붙었으며, GuardSqure의 CTO인 Eric Lafortune에 의해 발견되었다. 이 취약점은 7월에 ^{CVE-2017-13156} 번호가 부여되었다. 구글은 이 취약점을 12월자 안드로이드 보안 패치의 일부로 수정했다.

Detailed News List

PS4 Kernel Exploit
- _{[TheHackerNews]}
  Kernel Exploit for Sony PS4 Firmware 4.05 Released, Jailbreak Coming Soon
- _[GitHub]
  PS4 4.05 Kernel Exploit
Janus Android App Signature Bypass
- _[TrendMicro]
  Janus Android App Signature Bypass Allows Attackers to Modify Legitimate Apps

Vulnerability Patches/Software Updates

Summaries

모질라^(Mozilla)에서 썬더버드^{(Thunderbird)} 메일 클라이언트의 보안 업데이트를 공개했다. 패치는 12월 릴리즈의 일부로, 두개의 높음^(high) 등급의 버그와, 중간^(moderate) 단계 버그 하나, 그리고 낮음^(low) 등급의 버그 두개를 수정해 총 다섯개의 버그를 수정했다. 가장 심각한 취약점은 버퍼오버플로우 버그로 ^{CVE-2017-7845}다. 이 버그는 윈도우즈 운영체제에서 실행되는 썬더버드에 영향을 미친다. (27일에서 이어짐)

Detailed News List

Mozilla
- _{[SecurityAffairs]}
  Mozilla patches five issues in Thunderbird, including a critical flaw

Cyber Intelligence/Open Source Intelligence

Summaries

FBI에서 사용하는 신체측정^(biometric)정보 데이터베이스 소프트웨어에 러시아에서 만들어진 코드가 존재한다는 기사가 공개되었다. BuzzFeed에 따르면, Morpho라는 프랑스 회사가 신체 측정^(biometric) 소프트웨어를 FBI에 판매하면서, 러시아 기업인 Papillon AO라는 러시아 회사가 개발한 소프트웨어를 코드에 사용했다는 것을 알리지 않았음이 확인되었다.
GOSINT 라는 오픈소스 위협 첩보 수집 및 처리 프레임워크가 공개되었다. GOSINT는 침해지표^{(IOCs, indicators of compromise)}의 수집^(collecting), 처리^(processing), 출력^(exporting)등을 할 수 있는 프로젝트다.

Detailed News List

Russian code in FBI’s
- _[HackRead]
  Software used in FBI’s biometric database contains Russian code: Report
GOSINT
- _{[HackersOnlineClub]}
  GOSINT – Open Source Threat Intelligence Gathering and Processing Framework

Privacy

Summaries

12월 22일 NSA의 내부고발자인 에드워드 스노든과 팀의 합작품인 새로운 안드로이드 앱인 헤븐^(Haven)이 발표되었다. 이 앱은 언론인 등 온라인 감시 및 해킹에 특히 민감한 사람들을 위한 앱이다. Haven은 노트북과 스마트폰을 작은 보안 시스템으로 만들어준다. 헤븐은 스마트폰 내장 센서를 사용해 환경^{(environment)}의 갑작스런 변화를 추적하는 용도로 만들어졌다. 노트북을 호텔 금고에 놓고 스마트폰을 그 위에 놓으면, 누군가 허락없이 노트북을 열려 했을때 Haven 앱이 불빛의 변화를 탐지하고, 노트북이 움직였을 때는 내장된 카메라로 공격자의 스크린샷을 촬영하는 식이다. (24일에서 이어짐)

Detailed News List

Snowden App Haven
- _{[EHackingNews]}
  Edward Snowden launches Spy App

Data Breaches/Info Leakages

Summaries

캐나다의 학자금 대출 정보 침해사건^{(Student Load Privacy Breach)}에 대해, 1,750만 달러의 합의금이 제시되었다. 제시된 합의문에서 캐나다는 침해사고로 영향을 받은 학자금 대출자에게 $60를 지불할 예정이다.
2015년 11월, RootsWeb이라는 이름으로도 알려진 Ancestry가 데이터 침해 사고를 당했다. 이 데이터 침해 사고는 2017년까지 탐지되지 않았다가, 30만개의 이메일 주소 및 평문 비밀번호^{(plain text passwords)}가 담긴 파일이 발견되면서 알려졌다. 침해당한 정보는 이메일 주소와 비밀번호다. (24일에서 이어짐)
닛산 캐나다 파이낸스^{(Nissan Canada Finance)}가 목요일에 113만명의 데이터 침해에 대해 고지했다. 이 침해사고는 2017년 12월 11일에 발생했으며, 신원이 확인되지 않은 제3자가 사용자들의 이름, 주소, 차량 모델, 차량번호, 신용점수, 대출량, 월 지불금액 정보에 접근했다. 고객들은 목요일에 이 침해사고에 대하여 이메일을 받았으며, 닛산 캐나다 파이낸스는 침해사고에 대한 추가정보를 공개했다. (23일에서 이어짐)

Detailed News List

Canada Student Load Privacy Breach
- _[TripWire]
  Canada Proposes $17.5M Settlement for Student Loan Privacy Breach
Ancestry
- _[ThreatPost]
  Leaky RootsWeb Server Exposes Some Ancestry.com User Data
- _[HackRead]
  Ancestry.com’ RootsWeb breach: 300,000 plaintext accounts leaked
Nissan Canada Finance
- _{[DarkReading]}
  Nissan Canada Finance Alerts 1.13 Million Customers of Data Breach

Internet of Things

Summaries

미라이^(Mirai) 봇넷 변종인 사토리^(Satori)가 화웨이 라우터를 공격 대상으로 삼아 퍼지는 중이다. 사토리는 악명높은 미라이 봇넷의 업데이트 된 변종으로, 화웨이 HG532 장치의 포트 37215를 노린다. 이러한 공격이 미국, 이탈리아, 독일, 이집트 등 전세계에서 관찰되었다. 공격은 화웨이 라우터의 제로데이 취약점인 ^{CVE-2017-17215}를 공격한다. (23일에서 이어짐)

Detailed News List

Satori targets Huawei Router 0-Day
- _{[DarkReading]}
  Hacker Targeted Huawei Router 0-Day in Attempt to Create New Mirai Botnet

Crypto Currencies/Crypto Mining

Summaries

이스라엘 은행이 디지털화폐를 고려하고 있다는 기사가 나왔다. 로이터^(Reuters)가 언급한 은행 내부 정보에 따르면, 이스라엘 은행이 디지털 화폐를 지불 속도를 향상시키고^{(to speed up payments)} 현금을 줄이는데^{(reduce cash across the economy)} 활용하는 방안을 고려중이다. 아직 결정이 내려진 것은 아니지만, 이스라엘 정부가 디지털 화폐에 대한 규제를 통과시키려는 준비와 2019년 예산안에 포함시키려는 준비를 하고 있다.
유명 암호화폐 거래소인 이더델타^(EtherDelta)가 DNS 공격에 대한 가능성을 공개하며 운영을 잠시 중단했다. 지난주 EtherDelta는 서비스를 잠시 중단했는데, 회사의 DNS 서버에 누군가 일시적인 접근 권한을 얻은 것으로 추정하면서다. 12월 20일에 EtherDelta는 서버가 공격자들에 의해 침해당했음을 공지했다.(27일에서 이어짐)

Detailed News List

Israeli Bank
- _[ZDNet]
  Israeli bank considering digital currency: Report
EtherDelta
- _{[SecurityAffairs]}
  The popular cryptocurrency exchange EtherDelta suffered a DNS attack

Technologies/Technical Documents/Statistics/Reports

Summaries

가장 최악의 비밀번호에 대한 통계 자료가 계속적으로 발표되고 있다. 올해 유출된 개인정보들에서, 가장 빈번하게 등장한 최악의 비밀번호는 부동의 “123456”이다.

Detailed News List

Worst Password of 2017
- _{[SecurityAffairs]}
  For the second year in a row, “123456” was the top password found in data dumps in 2017
- _{[GrahamCluley]}
  The worst passwords of the year revealed
- _{[WeLiveSecurity]}
  The worst passwords of the year revealed

Security Newsletters, 2017 Dec 12th, 머니테이커 그룹 미 은행 절도 外

Posted on 2017-12-12 - 2017-12-12 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

머니테이커^(MoneyTaker) 해킹그룹이 미 은행들로부터 수백만 달러를 훔친 것으로 드러났다. Group-IB에 따르면, 이 해킹그룹이 라틴 아메리카의 은행들을 다음 공격 대상으로 노리고 있다. 러시아어를 사용하는 해킹그룹인 MoneyTaker가 미국내 20개 이상의 은행들에서 2016년 5월 부터 수백만 달러를 훔쳤으며, 라틴 아메키라의 금융 기관들에 대한 공격태세를 취하고 있다고 모스크바 기반의 Group-IB가 경고했다. 이들에 따르면, MoneyTaker라 불리는 이 해킹그룹의 작업방식^{(modus operandi)}은 공격대상 은행의 네트워크로 침입해 들어가 ATM 인출 사기^{(fraudulent ATM withdrawals)}를 위해 카드 처리 시스템^{(card processing systems)}을 조작한다. 이 해킹그룹의 피해기관에는 캘리포니아, 일리노이, 플로리다를 포함한 10개 주의 은행들이다. 이 은행들은 이 공격들로 평균 50만 달러의 피해를 입었다.
OilRig 해킹 그룹이 TwoFace 웹쉘^(WebShell)을 테스트하고 있다. 팔로알토네트웍스^{(PaloAltoNetworks)}의 보고서에 따르면, 팔로알토네트웍스의 Unit42에서 OilRig 그룹의 이러한 테스트 활동을 처음 탐지한 것은 2017년 4월이다. 2017년 11월 15일에 Unit42는 OilRig 개발자가 TwoFace 웹쉘을 테스트하는 것을 탐지했다. 이 테스트 활동은 2017년 11월 15일 8:51 AM (UTC)에 시작되어 9:07 AM (UTC)에 끝났다. 약 16분의 테스트에서, 개발자는 22종의 TwoFace 로더^(loader) 스크립트를 만들어냈다. TwoFace의 구성은 두 부분으로 나뉘어 있는데, 그 첫번째인 로더^(loader) 스크립트는 요청 데이터에서 복호화키를 입력받아, 내장된 웹쉘을 복호화하고 웹서버에 복호화된 웹쉘을 저장한다.

Detailed News list

MoneyTaker Group
- _{[DarkReading]}
  Russian-Speaking ‘MoneyTaker’ Group Helps Itself to Millions from US Banks
- _{[SecurityWeek]}
  ‘MoneyTaker’ Hackers Stole Millions from Banks: Report
- _{[TheRegister]}
  New Ruski hacker clan exposed: They’re called MoneyTaker, and they’re gonna take your money
- _{[TheHackerNews]}
  Newly Uncovered ‘MoneyTaker’ Hacker Group Stole Millions from U.S. & Russian Banks
- _{[HelpNetSecurity]}
  MoneyTaker’s stealthy hacking spree spread from US to Russia
- _{[SecurityAffairs]}
  MoneyTaker group: Group-IB uncovered a cyber gang attacking banks in the USA and Russia
OilRig
- _{[PaloAltoNetworks]}
  OilRig Performs Tests on the TwoFace Webshell

Malwares

Summaries

Necurs 봇넷_(botnet)이 다시 상위 10위 목록안에 들었다. 체크포인트_{(Check Point)}의 최근 리포트에 따르면, Necurs 봇넷이 미국의 추수감사절^{(Thanksgiving holiday)} 이후로 사이버범죄자들이 새로운 랜섬웨어를 배포하는데 사용하면서 그 세력이 증가했다. 추수감사절을 지나면서, 해커들이 세계에서 가장 큰 스팸 봇넷으로 추정되는 Necurs를 새로운 Scarab 랜섬웨어를 배포하는데 사용하는 것이 확인되었다. Necurs 봇넷은 이 휴일 아침에만 1,200만 건의 이메일을 보내면서 Scarab 랜섬웨어의 대량 살포를 시작했다.
폴란드의 은행을 노리는 안드로이드 악성코드가 또 구글 플레이^{(Google Play)}에서 발견되었다. 이 악성코드들은 구글 플레이에 “Crypto Monitor”와 같은 암호화폐 가격을 추척해주는 앱이나, “StorySaver”라는 인스타그램 내용을 다운로드 해주는 정상적인 앱으로 위장하여 등록되었다. 이 악성 앱들은 가짜 알림^{(fake notifications)}을 화면에 표시할 수 있고, 정상 은행 어플리케이션에로 온 것으로 보이는 로그인 폼을 보여줄 수 있다. 악성 앱들은 이 폼에 입력된 인증정보를 수집하고, SMS기반의 2팩터 인증^{(2-factor authentication)}을 우회하기 위해 문자메시지도 가로챈다.

Detailed News List

Necurs Botnet’s Returned
- _{[InfoSecurityMagazine]}
  Necurs Botnet Returns to Top 10 Malware List
Banking Malware on Google Play
- _{[WeLiveSecurity]}
  Banking malware on Google Play targets Polish banks

Exploits/Vulnerabilities

Summaries

두개의 출입문 잠금장치^{(keyless entry product)}에서 취약점이 발견되었다. 델 시큐어웍스^{(Dell Secureworks)}의 보안연구가들이 두가지 출입문 잠금장치 제품이 공격자에 의해 잠금 또는 잠금 해제 될 수 있고, 영향을 받는 장치에 인증되지 않은^{(unauthenticated)} 요청을 보내 RFID 뱃지^(badges)를 만들어낼 수 있는 취약점이 있다고 경고했다. 영향을 받는 제품은 EN-1DBC, EN2DBC에 사용되는 AMAG Technology의 Symmetry IP-based access door controllers다. 보안연구가들은 만약 이 장치가 기본 설정으로 설치되어 있는 경우, 공격자가 시리얼 통신으로 컨트롤러에 인증되지^{(unauthenticated)} 않은 요청을 보내 시스템을 공격할 수 있다.
유명 프로그래밍 언어들에 존재하는 취약점이 공개되었다. 지난 주 IOActive의 Fernando Arnaboldi가 블랙햇 유럽^{(Black Hat Europe)} 2017 보안 컨퍼런스에서 유명 프로그래밍 언어 인터프리터^{(interpreter)}에 대한 흥미로운 연구 결과를 발표했다. Arnaboldi는 유명한 프로그래밍 언어들^{(JavaScript, Perl, PHP, Python, Ruby)}을 퍼징^(Fuzzing) 방식을 통해 분석했다. 이 연구의 배경이 되는 아이디어는 안전하게 개발된 어플리케이션들이 공격자가 프로그래밍 언어 기저에 존재하는^(underlying) 확인되지 않은^{(unidentified)} 취약점을 건드리는 공격에 의해 영향받을 수 있을지 모른다는 것이었다. Arnaboldi는 침각한 취약점들을 퍼징을 통해 분석한 모든 프로그래밍 언어들에서 찾아냈는데, 그 취약점들은 다음과 같다. 파이썬^(Python)은 문서화되지 않은 메서드를 가지고 있고, 운영체제 명령을 실행하는데 사용되는 환경변수들이 있다. 펄^(Perl)은 eval과 같은 코드를 실행시킬 수 있는 typemaps를 가지고 있다. NodeJS는 파일 내용을 노출시킬 수 있는 에러메시지를 출력한다. JRuby는 원격코드실행^{(remote code execution)}용으로 설계되지 않은 함수에서 원격 코드를 로드 및 실행한다. PHP 상수^(constants) 의 이름은 원격 코드 실행에 이용될 수 있다. (11일에서 이어짐)
HP 노트북의 키보드 드라이버에서 키로거^(Keylogger)로 쓰일 수 있는 컴포넌트가 발견되었다. HP의 수백개의 노트북 모델이 공격자가 키로거 컴포넌트로 악용할 수 있는 디버깅 코드를 포함하고 있는 것으로 드러났다. 이 코드는 ZwClose라는 보안연구가에 의해 온라인 상에 공개되었다. HP에서는 영향을 받는 모델과 보안 패치를 공개했다. 영향을 받는 노트북은 475개 모델이다. HP는 Synaptics Touchpad 드라이버의 일부인 SynTP.sys 파일에 존재하는 디버깅 코드를 제거하기 위한 보안 업데이트를 릴리즈 했다. (10일에서 이어짐)
이번주 구글이 공격자가 대상 앱의 서명 검증 인증서^{(signature verification certificates)}에 영향을 미치지 않으면서도 앱에 악의적인 코드를 주입할 수 있는 취약점을 수정했다. 이 방법은 공격자가 신뢰하는 제작사에서 만든 것처럼 보이는 서명된 어플리케이션을 사용해 장비의 악성코드방지 기능을 우회하고 권한을 상승시킬 수 있는 취약점이다. 이 취약점은 야누스^(Janus)라고 이름이 붙었으며, GuardSqure의 CTO인 Eric Lafortune에 의해 발견되었다. 이 취약점은 7월에 ^{CVE-2017-13156} 번호가 부여되었다. 구글은 이 취약점을 12월자 안드로이드 보안 패치의 일부로 수정했다. (9일에서 이어짐)
30개 이상의 유명 이메일 클라이언트에 영향을 미치는 Email 스푸핑 취약점이 발견되었다. 다른 사람이 보낸 메일인 것처럼 위장할 수 있는 취약점이 발견되었다. MailSploit이라는 이름이 붙은 이 취약점은 Apple Mail^{(macOS, iOS, watchOS)}, Mozilla Thunderbird, Microsoft email clients, Yahoo Mail, ProtonMail 및 기타 메일클라이언트들에 영향을 미친다. 이 클라이언트들에 DKIM이나 DMARC와 같은 스푸핑 방지 메커니즘이 구현되어 있지만, MailSploit은 이메일 클라이언트와 웹 인터페이스가 From 헤더를 파싱하는 것을 이용한다. (6일에서 이어짐)

Detailed News List

Vulnerability in Entry Locks
- _[ThreatPost]
  Vulnerability Found in Two Keyless Entry Locks
Flaws in programming languages
- _[ZDNet]
  These five programming languages have flaws that expose apps to attack
- _{[TheRegister]}
  Language bugs infest downstream software, fuzzer finds
HP Notebook Keylogger
- _{[NakedSecurity]}
  HP leaves accidental keylogger in laptop keyboard driver
- _[ThreatPost]
  Leftover Debugger Doubles as a Keylogger on Hundreds of HP Laptop Models
- _{[GrahamCluley]}
  HP’s second laptop keylogger in less than a year
- _{[HelpNetSecurity]}
  Keylogger found in Synaptics driver on HP laptops
- _[ZDNet]
  Keylogger uncovered on hundreds of HP PCs
- _{[SecurityWeek]}
  Dormant Keylogger Functionality Found in HP Laptops
- _{[TheRegister]}
  Leftover Synaptics debugger puts a keylogger on laptops
Android Janus vulnerability
- _{[InfoSecurityMagazine]}
  Janus Vulnerability Allows Android App Takeover
- _{[SecurityWeek]}
  Vulnerability Allows Modification of Signed Android Apps
- _{[HelpNetSecurity]}
  Android vulnerability allows attackers to modify apps without affecting their signatures
MailSploit
- _{[NakedSecurity]}
  Mailsploit: using emails to attack mail software

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

독일 첩보기관 BfV가 중국의 LinkedIn 스파이 행위^(espionage)에 대해 경고했다. 독일의 첩보기관에 따르면, 중국이 링크드인^(LinkedIn)에서 최소 만명의 사람들을 대상으로 스파이 행위를 벌이고 있다. 중국은 가짜 LinkedIn 계정을 만들어 독일 공무원 및 정치인들의 정보를 모으고 있다고 독일 첩보기관인 BfV가 말했다. 중국 첩보기관이 링크드인을 사용해 최소 만명의 독일인들을 노리고 있으며, 이들을 정보원^(informants)으로 사용하려 할 수 있다고 주장했다. 그리고 이들은 이러한 목적으로 사용된 일부 가짜 프로필들을 공개했다.
러시아의 사이버보안 기업인 카스퍼스키랩^{(Kaspersky Lab)}이 스캔들로 힘든 시기를 보낸 끝에 결국 워싱턴DC^{(Washington DC)}의 사무실 문을 닫는다. D.C.의 사무실은 카스퍼스키와 미 정부와의 관계를 구축하는 일과 카스퍼스키의 소프트웨어를 연방정부와의 계약에 제공하는 일에 특화되어 있었다. 그러나 공공 업무가 어려울 것으로 판단됨에 따라, 카스퍼스키는 나머지 비정부^{(non-governmental)} 사업을 위해 내년에 시카고^(Chicago)와 로스엔젤레스^{(Los Angeles)}에 사무실을 열 계획이다.

Detailed News List

fake Chinese LinkedIn profiles
- _[CSOOnline]
  Espionage: Germany unmasks fake Chinese LinkedIn profiles
- _[BBC]
  German Spy Agency Warns Of Chinese LinkedIn Espionage
Kaspersky is closing Washington DC office
- _{[EHackingNews]}
  Kaspersky Lab is closing its Washington DC office

Data Breaches/Info Leakages

Summaries

마이크로소프트^(Microsoft)가 실수로 Dynamic 365의 TLS 인증서^{(certificate)} 및 개인키^{(Private key)}를 sandbox 환경에서 약 100여일간 MiTM 공격에 노출시킨 것이 확인되었다. 소프트웨어 개발자인 Matthias Gliwka는 클라우드 버젼의 Microsoft ERP 시스템을 사용하는 과정에서 문제점을 발견했다. 마이크로소프트는 ERP 제품을 작년부터 제공하기 시작했다. SaaS 솔루션은 Azure에서 호스팅되며, 제어판^{(Life Cycle Services)}을 통해 접근할 수 있다. Gliwka에 따르면 TLS 인증서가 Dynamics 365 샌드박스 환경^{(sandbox environments)}에 노출되어 있었다. Gliwka는 8월 17일에 이 문제를 제보했고, 마이크로소프트는 이 문제를 12월 5일에 해결했다.

Detailed News List

Dynamics 365 sandbox leaked TLS certificates
- _{[SecurityAffairs]}
  Microsoft accidentally exposed Dynamics 365 TLS certificates exposing sandbox environments to MiTM attacks
- _{[SecurityWeek]}
  Microsoft Says ERP Product Private Key Leak Posed Little Risk
- _{[TheRegister]}
  Dynamics 365 sandbox leaked TLS certificates

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

호주 퍼스^(Perth)의 공항이 베트남 해커에 의해 해킹당해 보안 데이터가 도난당했다. 31세의 베트남 해커 Le Duc Hoang Hai가 Perth 공항의 컴퓨터 시스템에 침입해, 건물과 보안 인프라에 관련된 고도의 민감정보를 훔쳤다. 이 사건은 2016년 3월에 Hai가 공항 시스템에 접근할 수 있는 제3 하청업체^{(third-party contractor)}의 로그인 인증정보^{(Login credentials)}를 취득하며 일어났다. West Australian 리포트에 따르면, Hai는 건물 구조 및 공항 건물의 물리 보안 상세정보가 포함된 대량의 데이터를 훔쳤다. 그러나 이 해커는 공항의 레이더 시스템에는 접근할 수 없었고 항공기 운영도 영향을 받지 않았다. 호주 및 베트남 당국은 합동 수사를 진행하여 해커를 체포했다. Hai는 은행, 온라인 군사 뉴스, 금융 영역을 포함하는 베트남의 주요 사회기반시설^{(critical cyber infrastructure)} 또한 공격대상으로 삼은 것으로 드러났다. Hai는 Perth 공항의 네트워크에 대한 해킹과 데이터 절도로 4년의 징역형에 처해졌다.

Detailed News List

Perth Airport got Hacked
- _[HackRead]
  Vietnamese man hacked Australian airport computers; stole security data
- _{[SecurityAffairs]}
  Vietnamese hacker stole security details and building plans from an Australian airport
- _[TripWire]
  Criminal Stole “a Significant Amount of Data” in Airport Hacking Attack
- _{[EHackingNews]}
  Security breach encountered in Perth international airport

Deep Web/DarkNet/Onion/Underground Market

Summaries

다크웹에서 14억개의 평문 인증정보^{(credentials)}를 담고있는 파일이 발견되었다. 최근 다크웹을 모니터링하는 4iQ에서 41기가바이트의 거대한 파일을 발견했다. 이 파일은 14억개의 로그인 인증정보를 담고 있는데, 그 내용은 이메일과 비밀번호가 평문^(cleartext)으로 기록되어있다. 연구자들은 이 파일이 지금까지 다크 웹에서 발견된 것들 중 가장 큰 종합 데이터베이스라 보고있다. 4iQ의 블로그 포스트에서 밝힌 바에 따르면, 이 덤프는 이전의 252개의 침해사고를 하나로 모은 것으로 보인다. 이 파일은 다크웹에서 2017년 12월 5일에 발견되었고, 총 데이터 량은 1,400,553,869개의 사용자이름, 이메일, 평문 비밀번호다.
안드로이드 랜섬웨어 킷^{(Android Ransomware Kits)}이 다크넷에서 붐이 일고 있다. 이번해에 지금까지 5,000개 이상의 안드로이드 랜섬웨어 킷이 존재하는 것이 확인되었으며, 평균 가격은 $200이다. 대다수의 랜섬웨어 키트는 여전히 윈도우즈 시스템을 대상으로 하고있다. 그러나 새로나온 리포트에 따르면, 안드로이드 랜섬웨어 키트가 비싼 값에 거래되고 있으며, 그 판매량과 가격이 증가할 것으로 예상된다. 안드로이드 랜섬웨어 키트는 윈도우즈 랜섬웨어 키트가 평균 $10라는 가격에 판매되는 것에 비해 평균 $200라는 20배 높은 가격으로 판매되고 있다고 카본블랙^{(Carbon Black)}이 발표했다. 이 랜섬웨어 키트의 가격은 $250에서 $850선이다. (8일에서 이어짐)

Detailed News List

1,400,000,000 Clear Text Credentials File
- _{[TheRegister]}
  Archive of 1.4 BEEELION credentials in clear text found in dark web archive
- _{[SecurityWeek]}
  Database of 1.4 Billion Credentials Found on Dark Web
Android Ransomware Kit
- _{[SecurityAffairs]}
  Dark Web – The median price range for Android ransomware kits hits $200

Crypto Currencies/Crypto Mining

Summaries

매장내^(In-store) 와이파이인터넷 업체^(Provider)가 스타벅스 웹사이트를 이용해 모네로^(Monero) 암호화폐 코인을 채굴하려 했다는 주장이 나왔다. 12월 2일에 트위터 사용자 Noah Dinkin은 거대 커피체인인 스타벅스의 아르헨티나 리워드 사이트가 모네로^(Monero) 암호화폐를 채굴하기 위한 코인하이브^(CoinHive) 스크립트를 사용하는 것을 공개했다. Dinkin은 이 사건의 배후에 있는 범인이 스타벅스의 매장내 WiFi 제공업체일 수 있다고 말했다. 그러나, 지난 몇 달 동안 사이버 범죄자들은 웹사이트들을 해킹해 몰래 코인하이브의 스크립트들을 삽입해왔다. 며칠 전에는 보안연구가들이 5,000개 이상의 사이트들이 코인하이브 코드를 삽입하는 해킹을 당했다는 사실을 밝혀내기도 했다.
2017년 5월, 불가리아 당국은 국제 배송과 관련하여 세관의 세금 부과를 피하려 한 혐의로 23명을 체포했다. 이 체포는 PRATKA/VIRUS라 알려진, 세관의 컴퓨터 네트워크에 악성코드를 심은 사건에 대한 수사로 이어졌고 부동산 및 차량에 대한 수색이 이루어졌고 컴퓨터와 스마트폰이 압수되고 금융 기록에 대한 조사가 이루어졌다. 남동 유럽 법 집행 센터^{(Southeast European Law Enforcement Center, SELEC)}의 리포트에 따르면, 일반적인 이러한 증거물에 더해, 불가리아 당국이 213,519 비트코인을 수사과정에서 맞딱뜨린 것으로 알려졌다. 당시 이 비트코인의 가격은 1코인에 2,354달러 였고, 전체 5억 달러 규모다.

Detailed News List

Monero Coins Generator on Starbucks Website
- _[HackRead]
  In-Store WiFi Provider Used Starbucks Website to Generate Monero Coins
Bulgaria’s seized Bitcon
- _{[GrahamCluley]}
  Is Bulgaria sitting on $3.5 BILLION worth of Bitcoin seized from criminals?

Technologies/Technical Documents/Statistics/Reports

Summaries

미 국립 표준 기술 연구소^{(NIST, National Institute of Standard and Technology)}가 NIST 사이버보안 프레임워크^{(Cybersecurity Framework)}의 두 번째 초안^(Draft)을 공개했다. 12월 5일 NIST는 주요 사회 기반시설 사이버보안^{(Critical Infrastructure Cybersecurity)}에 대한 내용이 개선된 사이버보안 프레임워크 버젼 1.1의 두 번째 초안을 발표했다. 그리고 두 번째 수정 작업은 사이버 보안 프레임워크를 명확하게 하고, 정제하고, 향상시키는 것과, 프레임워크 자체의 가치를 증폭시키고, 이 프레임워크의 적용이 쉽게 만드는 것을 목표로 한다고 밝혔다. 새로운 수정판은 2017년 1월에 있었던 공개 검토 절차와 2017년 5월의 워크샵 까지 접수된 의견을 포함해 반영된 내용이라 밝혔다. NIST 사이버보안 프레임워크는 2014년에 처음 발행되었고, 특히 주요 산업기반시설 분야^{(critical infrastructure sector)}의 기관들의 사이버보안 리스크 관리를 돕는 것을 목적으로 한다. (11일에서 이어짐)

Detailed News List

NIST Cybersecurity Framework
- _[CyberScoop]
  NIST’s Proposed Revisions to CybersecurityFramework Refine Risk-Management, Self-Assessment
- _{[HealthITSecurity]}
  Revised NIST Infrastructure CybersecurityFramework Released

Security Newsletters, 2017 Dec 10th, HP 노트북 키로거 外

Posted on 2017-12-10 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Exploits/Vulnerabilities

Summaries

HP 노트북의 키보드 드라이버에서 키로거^(Keylogger)로 쓰일 수 있는 컴포넌트가 발견되었다. HP의 수백개의 노트북 모델이 공격자가 키로거 컴포넌트로 악용할 수 있는 디버깅 코드를 포함하고 있는 것으로 드러났다. 이 코드는 ZwClose라는 보안연구가에 의해 온라인 상에 공개되었다. HP에서는 영향을 받는 모델과 보안 패치를 공개했다. 영향을 받는 노트북은 475개 모델이다. HP는 Synaptics Touchpad 드라이버의 일부인 SynTP.sys 파일에 존재하는 디버깅 코드를 제거하기 위한 보안 업데이트를 릴리즈 했다.
이번주 구글이 공격자가 대상 앱의 서명 검증 인증서^{(signature verification certificates)}에 영향을 미치지 않으면서도 앱에 악의적인 코드를 주입할 수 있는 취약점을 수정했다. 이 방법은 공격자가 신뢰하는 제작사에서 만든 것처럼 보이는 서명된 어플리케이션을 사용해 장비의 악성코드방지 기능을 우회하고 권한을 상승시킬 수 있는 취약점이다. 이 취약점은 야누스^(Janus)라고 이름이 붙었으며, GuardSqure의 CTO인 Eric Lafortune에 의해 발견되었다. 이 취약점은 7월에 ^{CVE-2017-13156} 번호가 부여되었다. 구글은 이 취약점을 12월자 안드로이드 보안 패치의 일부로 수정했다. (9일에서 이어짐)

Detailed News List

Pre-installed Keylogger in HP laptops
- _[HP]
  HPSBHF03564 rev 1 – Synaptics Touchpad Driver Potential, Local Loss of Confidentiality
- _{[SecurityAffairs]}
  Expert discovered a Keylogger component in HP notebook keyboard driver
- _[HackRead]
  Researcher finds pre-installed keylogger in hundreds of HP laptops
- _{[TheHackerNews]}
  Pre-Installed Keylogger Found On Over 460 HP Laptop Models
Android Janus vulnerability
- _{[SecurityAffairs]}
  Android Janus vulnerability allows attackers to inject Malware into legitimate apps avoiding detection
- _{[TheHackerNews]}
  Android Flaw Lets Hackers Inject Malware Into Apps Without Altering Signatures

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

유로폴^(Europol)이 국제 작전을 통해 2만개 이상의 위조 제품을 판매하던 웹사이트 도메인을 압수했다. 이 도메인 이름들은 위조 제품을 불법적으로 판매하던 웹사이트들로, 고급 제품, 전자 제품, 스포츠 의류, 의약품 등이 포함되었다. 이 사이트들은 소셜 네트워크 및 전자상거래 플랫폼에서의 온라인 해적행위 와도 관련되어 있다. 인터폴은 유로폴의 지적 재산 범죄 협조 연합과 함께 작전을 감독했다. 미국의 국가 지적 재산권 협력 센터^{(NIPRCC, National Intellectual Property Rights Coordination Center)}와 법무부^{(Department of Justice, DOJ)}, 연방수사국^{(Federal Bureau of Investigation, FBI)}, 유럽 27개 정부^{(authorities)}도 이 작전에 참여했다. 이 작전은 수년전 처음 진행되었다. 이 작전의 2017년 버젼은 지금까지 중 가장 성공적인 작전으로, 위조 제품 판매로 20,520개의 도메인을 압수했다. 이전 작전에서는 7,776개의 웹사이트를 압수하는 결과를 냈었다.
러시아에서 6번째로 큰 도시인 사라마^(Sarama) 출신의 Sergei Materov라는 42세의 해커가 Krasnodar의 Prikubansky 지역 법원에서 악성 컴퓨터 프로그램의 제작 및 배포로 유죄를 선고받았다. 지역 뉴스에 따르면, 그가 제작한 악성코드는 보안 제품을 무력화^{(neutralizing)}하고, 감염된 컴퓨터에서 정보를 파괴하거나, 차단, 변경, 훔칠 수 있다. 그는 돈을 벌기 위해 쿠반^(Kuban)에 와서, 집에서 소프트웨어 개발자 프리랜서로 일하기 시작했다. 그리고 그는 인터넷에 광고를 게제하기도 했다. 이름이 알려지지 않은 누군가가 그의 광고를 보고 6800 루블을 지불하며 두개의 악성코드 프로그램을 만들어달라 요청했다. Materov는 FSB 수사관에게 체포되었으며, 이후 1년 3개월의 징역형을 선고받았다.

Detailed News List

Europol Shuts Down 20,000 Websites
- _{[DarkWebNews]}
  Europol Shuts Down Over 20,000 Websites Selling Counterfeits
Samara City
- _{[EHackingNews]}
  Hacker from Samara city sentenced for Creating and Selling Malware

Vulnerability Patches/Software Updates

Summaries

애플이 홈킷^(HomeKit) 장비에 영향을 미치는 취약점을 패치했다. 애플에 따르면, 스마트자물쇠^(SmartLock)나 차고문 제어장치^{(Garage door openers)}와 같은 홈킷^(HomeKit) 장치들의 허가되지 않은 원격 제어를 허용할 수 있는, 홈핏 프레임워크의 미공개 취약점이 수정되었다. 이 취약점은 최초 9to5Mac이 목요일에 보도했다. 발표자료에 따르면, 이 취약점은 HomeKit 사용자의 iCloud 계정과 연결되어 있는, 최신 iOS 11.2를 사용하는 iPhone이나 iPad가 필요하다. (9일에서 이어짐)
치명적인 취약점이 마이크로소프트^(Microsoft)의 악성코드 보호 엔진^{(MPE, Malware Protection Engine)}에서 발견되어 마이크로소프트가 목요일에 이에 대한 패치를 공개했다. 이 취약점은 공격자가 공격대상 컴퓨터를 완전히 장악할 수 있게 한다. 윈도우즈10용 윈도우즈 디펜더^{(Windows Defender)}를 포함한 다양한 마이크로소프트의 보안 제품들이 영향을 받는다. 마이크로소프트 악성코드 보호 엔진은 마이크로소프트의 모든 제품의들의 안티바이러스 및 안티스파이웨어 프로그램에 핵심 기능을 제공한다. 마이크로소프트에 따르면, 아직까지 이 취약점이 실제 공격에 사용되고 있다는 흔적은 발견되지 않았다. (8일에서 이어짐)

Detailed News List

Apple Patches HomeKit
- _{[HackersOnlineClub]}
  iOS Zero-Day Vulnerability in HomeKit Application Allowed Remotely Access
Microsoft Patches Malware Protection Engine
- _{[HackersOnlineClub]}
  Microsoft Patches Malware Protection Engine Remote Code Execution Vulnerability

Internet of Things

Summaries

Linux.ProxyM 악성코드를 사용한 새로운 사물인터넷^{(IoT, Internet of Things)} 봇넷^(botnet)이 웹사이트 해킹에 사용되고 있다. Docter Web의 보안전문가들이 새로운 IoT 봇넷이 Linux.ProxyM 악성코드를 사용해 웹사이트를 해킹하는 캠페인에 사용되고 있는 것을 발견했다. Linux.ProxyM은 7월에 처음 분석되었는데, 이 악성코드는 SOCKS 프록시^(Proxy)서버를 감염된 장비에 만들어 악성 트래픽의 근원지를 숨기며 릴레이하기 위한 프록시 네트워크를 구성하는데 사용되었다. 악성코드가 처음 탐지된 것은 2017년 2월이며, 5월에 최고치를 찍었다. Dr.Web에 따르면, 이 Linux.ProxyM 악성코드에 감염된 장비의 수가 7월에 10,000 단위를 넘어섰다. 이 악성코드는 x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000, SPARC을 포함하는 다양한 아키텍쳐의 장비들을 공격 대상으로 삼는다.

Detailed News List

Linux IoT Botnet
- _{[SecurityAffairs]}
  Linux.ProxyM IoT Botnet now used to launch hacking attacks against websites
- _{[SecurityWeek]}
  IoT Botnet Used in Website Hacking Attacks

Social Engineering/Phishing/Con/Scam

Summaries

로그인 정보를 훔치기 위한, 넷플릭스^(Netflix)에서 보낸 것 처럼 위장한 피싱사기 작전이 벌어지고 있다. 넷플릭스에는 전세계에서 사용하는 1억 이상의 사용자가 존재한다. 최근 HackRead에서는 지불방식 갱신 알림메일로 위장해, 넷플릭스의 사용자 개인정보 및 금융정보를 노리는 피싱 사기가 벌어지는 것을 탐지했다. 이메일은 실제 메일인 것처럼 꾸며놓았으나, 메일 내용에서 문법에 일부 문제가 있다.

Detailed News List

Netflix Phishing Scam
- _[HackRead]
  Update payment method: Netflix phishing scam steals login credentials

Crypto Currencies/Crypto Mining

Summaries

비트코인 가격이 계속적으로 치솟음에 따라, 점점 더 많은 사이버 범죄자들이 유명 암호화폐를 거리해는 사람들을 대상으로 눈길을 돌리고 있다. 가장 최근의 비트코인 사용자 그룹을 특정한 악성코드 배포 방식이 Fortinet 연구가들에 의해 밝혀졌다. 이메일을 통해, Gunthy가 개발한 새로운 비트코인 거래 봇인 Gunbot을 무료로 사용해 보라는 홍보내용이 전달된다. 이 이메일은 VB 스크립트를 첨부하고 있는데, 이 스크립트는 실행되면 JPEG 이미지처럼 보이는 파일을 다운로드 한다. 이 파일은 실제로는 PE 바이너리로, 최종적으로는 수많은 실행파일들을 내려받아 시스템에 설치한다. 이 파일들 중 하나는 악성코드가 시스템이 리부팅 되어도 실행될 수 있게 하며, 다른 하나는 Orcus RAT 서버가 설치된다. (9일에서 이어짐)
가장 큰 암호화폐 채굴 시장인 나이스해시^(NiceHash)가 해킹사실을 인정했다. 나이스캐시는 다른사람의 컴퓨팅 파워를 구매하거나, 유사 비트코인들^(altcoins)을 채굴하고 비트코인으로 지불받을 수 있는 암호화폐 채굴 시장이다. 나이스해시^(NiceHash)는 해킹으로 전체 비트코인 지갑을 잃게 되었다고 발표했다. 나이스해시는 수요일 정오에 성명을 발표했는데 NiceHash 웹 사이트에 보안 침해가 있었으며, 지불 시스템이 완전히 침해당해 나이스해시의 비트코인 지갑을 도둑맞았다고 발표했다. 나이스해시가 정확한 금액을 밝히지는 않았지만, 추정되는 금액은 약 6천만 달러에 달할 것으로 보인다. (8일에서 이어짐)

Detailed News List

Orcus RAT
- _{[SecurityAffairs]}
  The authors of the Orcus RAT target Bitcoin investors
NiceHash
- _{[EHackingNews]}
  Larceny of $70 million from the largest crypto-mining marketplace