Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 포함하거나 함께 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Cyber Espionage/Cyber Operation/Cyber Intelligence
Summaries
- 카스퍼스키랩, 가정용 컴퓨터에서 NSA 파일을 수집 후 삭제. 러시아 요원이 미국 정부의 데이터를 훔치는데 카스퍼스키랩이 도움을 줬다는 의혹이 계속되는 가운데 Moscow에 위치한 카스퍼스키랩이 2014년 9월에 가정용 컴퓨터에서 NSA 해킹툴의 소스코드가 포함된 파일을 자사의 소프트웨어로 수집했다고 인정했다. 하지만 카스퍼스키랩은 CEO인 유진 카스퍼스키의 지시에 따라서 해당 파일을 삭제했고 어느 누구와도 공유하지 않았다고 내부 조사 리포트에서 밝혔다. 그 내용에 따르면, 해당 파일은 NSA 도급업자의 가정용 컴퓨터에서 카스퍼스키랩의 AV네트워크에 분석을 위해 자동으로 업로드 되었고, 업로드 된 7zip 압축파일은 NSA의 해킹팀인 Equation Group이 사용한 해킹 툴이 포함된 파일이었다. AV소프트웨어가 동작하면서 악성코드에 감염된 혹은 악성코드를 포함한 새로운 파일을 탐지했을 때 파일이 분석용 네트워크로 업로드 되는 기능은 AV의 일반적인 기능이며, 이번 경우에는 압축파일에 악성코드와 소스코드가 함께 포함되어 있었다. 카스퍼스키랩은 파일을 삭제한 이유에 대해서, 첫번째로 자사 백신 기능을 강화하는데 소스코드까지는 필요없으며 두번째로는 기밀자료를 다루는 것에 대한 우려 때문이라고 밝혔다. 이러한 우려는 카스퍼스키랩의 분석가들은 카스퍼스키랩의 AV소프트웨어가 이렇게 우연히 수집하게되는 기밀자료는 삭제한다는 정책으로 자리잡았다고 대변인은 설명했다.
- 화요일에 탐지되어 몇시간 안에 빠르게 퍼져나갔던 Bad Rabbit 랜섬웨어 공격이 거의 끝난 것으로 보인다. 그러나 주로 러시아의 시스템을 공격대상으로 삼아 아주 빠르게 진행되었던 Bad Rabbit 랜섬웨어의 시작점에 대해서는 미스터리한 부분이 남아있다. 랜섬웨어를 깊이 파헤친 분석가들은 아직도 랜섬웨어를 퍼트리기 위한 워터링홀(watering-hole) 공격이 어떻게 이루어졌는지, 웜처럼 확산되는 감염이 돈을 위한 것인지 대혼란을 위한 것인지에 대해서도 답을 내지 못하고 있다. 여러 연구가들은 Bad Rabbit 랜섬웨어가 이전의 NotPetya, Petya와 몇몇 공통 코드를 공유하고 있으나 이것이 동일한 그룹이 배후에 있다는 의미로 보긴 어렵다고 결론을 내렸다.
Detailed News list
- Kaspersky Lab
- [DarkReading] 카스퍼스키 랩, NSA 파일을 가정용 컴퓨터로부터 수집했으나 삭제했다
Kaspersky Lab Collected, Then Deleted NSA File from a Home Computer
- [DarkReading] 카스퍼스키 랩, NSA 파일을 가정용 컴퓨터로부터 수집했으나 삭제했다
- Bad Rabbit
- [DarkReading] Bad Rabbit은 무너졌으나 의문이 남았다
Bad Rabbit Dies Down But Questions Remain
- [DarkReading] Bad Rabbit은 무너졌으나 의문이 남았다
Deep Web/DarkNet/Onion
Summaries
- 다크웹에서의 랜섬웨어 판매가 2,502%의 급격한 성장을 보였다. 미국 사이버 보안 기업인 카본블랙(Carbon Black)에 따르면, 2016년에 비해서 올해 다크웹에서의 랜섬웨어 판매가 2,502%로 증가했다. 리포트에서는 랜섬웨어를 판매하는 6,300개 이상의 다크넷 마켓이 존재하며 45,000개 이상의 제품을 제공하고 있다고 밝혔다. DIY 악성코드 킷은 $0.5에서부터 $3,000까지 다양하고, 평균 가격은 $10.5라고 한다. 반면 맞춤제작 키트(Custom kits)는 $3,000 이상의 가격을 요구한다. 판매액은 2016년 $249,287에서 올해 $6,237,248로 2,500%의 성장을 보였다.
- 다크넷의 유명 마켓 중 하나인 TradeRoute가 오프라인으로 전환되고 사용자들이 마켓 시스템에 남겨놓은 암호화폐가 도둑맞은 것으로 추정된다. Phishkingz라는 닉네임의 유명한 피싱사기꾼이 TradeRoute의 관리자 페이지에 접근이 가능했고, TradeRoute 사이트가 오프라인으로 전환되기 이전에 Phishikingz가 사용하는 것으로 알려진 비트코인 지갑주소에 수천비트코인(1,760BTC)이 상당히 짧은 시간 내에 이체되었다. 그리고 TradeRoute가 운영되는 기간동안 같은 지갑 주소로 80,623 BTC가 이체되었다. 달러로 환산시 약 4억 5천만 달러로, 한화 약 5000억원이다. 실제로 밝혀진다면 역사상 가장 큰 금액의 사기로 기록될 것이다.
Detailed News List
- Ransomware Sales
- [DarkWebNews] 랜섬웨어 판매 2,502%의 성장
Ransomware Sales on Dark Web Boost by 2502% - [CarbonBlack] 카본블랙 리포트
CarbonBlack Report
- [DarkWebNews] 랜섬웨어 판매 2,502%의 성장
- TradeRoute
- [DarkWebNews] 다크넷 마켓 TradeRoute가 출구사기에 당하다
Darknet Market TradeRoute Exit Scammed
- [DarkWebNews] 다크넷 마켓 TradeRoute가 출구사기에 당하다
Security Breach/Info Leakage
Summaries
- MotherBoard는 Equifax 데이터 유출 사고가 발생하기 몇 달 앞서 이미 보안연구자에 의해 침해가능성이 Equifax에게 알려졌으나, 그에 대한 조치는 데이터 유출 사고가 일어난 후에나 이루어 졌다고 밝혔다. 다수의 해킹 그룹이 Equifax를 침해했을 가능성은 물론, 보안 경고에 대하여 Equifax가 심각하게 생각하고 주의를 기울였는가 여부에 대한 의문이 생기게 하는 부분이다. 2016년 늦게 보안연구자가 인터넷에 노출되어있는 Equifax의 웹사이트 서버들을 점검했고, 그 결과 몇시간의 스캐닝만에 모든 미국인의 사회보장번호(social security numbers), 이름, 생일, 거주지주소 등이 포함된 개인정보 데이터에 접근할 수 있게하는 서버가 있음을 발견했다고 한다. Equifax의 직원용으로 제작된 것처럼 보이는 포털 사이트였으나, 누구나 접근할 수 있게 인터넷에 노출되어 있었고 인증받지 않은 사람도 Equifax의 고객정보를 검색해서 찾아볼 수 있는 상태였다. 진단 과정에서 다수 서버를 장악할 수 있었으며, SQL Injection과 같은 다른 취약점 다수도 확인할 수 있었다. 많은 서버가 오래된 버젼의 소프트웨어로 운영되었다고 한다.
Detailed News List
- Equifax
- [MotherBoard] Equifax, 이미 사고위험에 대하여 경고를 들었었다
Equifax Was Warned
- [MotherBoard] Equifax, 이미 사고위험에 대하여 경고를 들었었다
Crypto Currency
Summaries
- –
Detailed News List
- –
Malware/Exploit/Vulnerability
Summaries
- DUHK 공격에 대해 기사가 계속되고 있다. 이 공격으로 VPN이나 웹 세션에 사용된 암호화 키를 복구해 낼 수 있다. 이 취약점에 영향을 받는 제품으로는 ANSI X9.31 RNG(Random Number Generator)에 기반한 Fortinet, Cisco, TechGuard 등의 제조사들의 장비가 영향을 받는다. 2016년에 FIPS 승인된 의사난수 생성 알고리즘(PseudoRandom Number Generation Algorithm) 목록에서 제거되기 전에는, ANSI X9.31 RNG는 지난 약 30년간 다양한 암호 표준에 포함되었다. 문제는 의사난수 생성기의 시드(Seed)값이 고정되면 같은 난수값이 생성된다는 것인데, 몇몇제품에서는 이 시드값을 하드코딩 해 놓았기 때문에 펌웨어를 리버스엔지니어링해서 찾아낼 수 있다는 점이다. 연구가가 취약점을 검증한 일부 제품들은 BeCrypt Ltd., Cisco Systems Inc, Deltacrypt Technologies Inc, Fortinet Inc, MRV Communications, Neoscale Systems Inc, Neopost Technologies, Renesas Technology America, TechGuard Security, Tendyron Corporation, ViaSat Inc, Vocera Communications Inc. 등이 있다.
- 제거하려 하면 랜섬웨어로 돌변하는 악성코드가 나타났다. SfyLabs의 보안연구가들이 LokiBot이라 명명한 안드로이드 뱅킹 악성코드를 탐지했으며, 사용자가 이것을 감염된 장치에서 제거하려고 하면 랜섬웨어로 바뀌게 된다. 이 악성코드는 올해 6월부터 뉴스에 오르내렸으나, 악성코드의 제작자가 계속적으로 기능을 추가하여 이제는 다양한 뱅킹 어플리케이션이나 아웃룩Skype, WhatApp과 같은 유명 어플리케이션으로부터 개인 및 금융정보를 훔치는 제대로된 악성으로 발전했다. LokiBot은 정상 앱에서 발생한 것처럼 알림 메시지를 위장하거나, 장치에서 정보를 읽고 유출할 수 있으며, 연락처 정보를 사용해 자신을 재확산 하기도 한다. 그리고 사용자 브라우저 기록을 C&C서버로 보내고, 제거하려 하면 파일을 암호화하고 랜섬웨어로 변해 장치를 잠근 후 70에서 100달러의 비트코인을 요구한다.
- Tyrant 랜섬웨어가 유명 VPN 어플리케이션으로 위장해 이란에서 퍼지고 있다. 이란의 CERTCC(Iran Computer Emergency Response Team Coordination Center)에서 보안 경고를 발표했다. Psiphon VPN 어플리케이션으로 위장한 이 Tyrant 랜섬웨어는 감염된 사람들에게 금전을 요구하고 있으며, 24시간안에 약 $15의 돈을 지불해야 한다. Tyrant 랜섬웨어는 이란을 특정하여 배포되었다. 위협 메시지가 이란어(Farsi)로만 작성되어 있고, 지역의 지불 시스템인 exchanging.ir과 webmoney724.ir만을 사용한다. 그러나 테스트 버젼이나 시험버젼으로 보이는 이 Tyrant 랜섬웨어 자체의 수준이 낮기 때문에, 쉽게 처리할 수 있을 것이라는 분석가들의 평도 이어지고 있다.
- Sage 랜섬웨어가 사용자 인터페이스와 쉬운 지불 방식으로 차별화를 하고 있다. 사이버 범죄자들이 랜섬웨어로 계속 수익을 벌어들이면서 이 시장도 포화 상태로 접어들고 있는 것이다. 그래서 Sage 랜섬웨어는 새로운 버젼 2.2를 통해 포화상태의 랜섬웨어 환경에서 돋보이려고 하고 있다. 밝은 색상의 사용자 인터페이스를 쓰고, 상호작용하는 위협 메시지를 사용한다. 그리고 비트코인 주소가 담긴 QR코드를 제공해, 피해자가 몸값을 쉽게 지불할 수 있도록 하고 있다. 다른 랜섬웨어들의 단조로운 사용자 인터페이스가 아닌, 다채롭고 접근하기 쉬운 사용자 인터페이스를 제공하며. 피해자의 상황 설명과 데이터를 복구하기 위한 지침을 제공하는 것이다.
Detailed News List
- DUHK Attack
- [theHackerNews] DUHK 공격, 해커가 VPN과 웹 세션에서 사용하는 암호화 키를 복구해낼 수 있게 한다.
DUHK Attack Lets Hackers Recover Encryption Key Used in VPNs & Web Sessions
- [theHackerNews] DUHK 공격, 해커가 VPN과 웹 세션에서 사용하는 암호화 키를 복구해낼 수 있게 한다.
- LokiBot
- [HackRead] 제거하려 하면 랜섬웨어로 변하는 LokiBot 악성코드
This malware turns itself into ransomware if you try to remove it
- [HackRead] 제거하려 하면 랜섬웨어로 변하는 LokiBot 악성코드
- Tyrant
- [BleepingComputer] Tyrant 랜섬웨어, 유명 VPN 어플리케이션으로 위장해 이란에서 유포
Tyrant Ransomware Spreads in Iran Disguised as Popular VPN App
- [BleepingComputer] Tyrant 랜섬웨어, 유명 VPN 어플리케이션으로 위장해 이란에서 유포
- Sage
- [PhishMe] Sage 랜섬웨어, 매력적인 사용자 인터페이스와 쉬운 지불 방식으로 차별화
Sage Ransomware Distinguishes Itself with Engaging User Interface and Easy Payment Process
- [PhishMe] Sage 랜섬웨어, 매력적인 사용자 인터페이스와 쉬운 지불 방식으로 차별화
Legislation/Politics/Policy/Regulation/Law Enforcement
Summaries
- Google Play의 취약점 현상금 제도가 운영된다. 스파이웨어, 뱅킹봇, 애드웨어 등의 악성 어플리케이션으로 많은 문제를 겪고 있던 구글 플레이스토어가 등록되어있는 어플리케이션들에 대하여 현상금 제도를 운영한다. 구글 플레이스토어는 HackerOne과 협업하며, 플레이스토어에 올라와있는 유명 앱에서 버그를 찾으면 1,000 달러까지 보너스를 제공한다. HackerOne의 구글 플레이스토어 보안 보상 프로그램 페이지에서는 어떤 어플리케이션이 이에 해당하는지 설명하고 있다. 이 목록에는 유명한 어플리케이션인 Alibaba, Dropbox, Snapchat, Tinder 등이 있으며 더 많은 대상 어플리케이션이 추가될 예정이다.
Detailed News List
- Google Play Bug Bounty
- [NakedSecurity] 구글 플레이스토어의 앱을 해킹하면, 보상금 받는다
Google wants you to hack Play Store apps, and it’s paying
- [NakedSecurity] 구글 플레이스토어의 앱을 해킹하면, 보상금 받는다
Internet of Things
Summaries
- –
Detailed News List
- –
Industrial/Infrastructure/Physical System/HVAC
Summaries
- NIST(National Institute of Standards and Technology)의 산업제어시스템(Industrial Control System) 보안에 대한 문서가 공개되었다. 이 Special Publication 800-82 (Rev2) 문서에서는 산업제어시스템(ICS)를 어떻게 안전하게 만드는가에 대한 가이드를 제공한다. 여기에는 SCADA(Supervisory Control and Data Acquisition) 시스템과 DCS(Distributed Control Systems) 및 기타 PLC(Programmable Logic Controllers)와 같은 제어시스템설정이 포함된다.
- SANS에서 산업제어시스템(ICS)의 안전한 아키텍쳐에 대한 백서를 공개했다. Secure Architecture for Industrial Control Systems 문서 에서는 기존 ICS의 독립적인 고립(Stand-alone isolated systems) 구조에서 상호접속(interconnected systems) 구조로의 변화에 대해 다룬다.
Detailed News List
- NIST
- [NIST] NIST의 산업제어시스템 보안 가이드
NIST Special Publication 800-82 Revision 2: Guide to Industrial Control Systems (ICS) Security (PDF)
- [NIST] NIST의 산업제어시스템 보안 가이드
- SANS
- [SANS] SANS의 산업제어시스템의 안전한 아키텍쳐
Secure Architecture for Industrial Control Systems (PDF)
- [SANS] SANS의 산업제어시스템의 안전한 아키텍쳐
Technology/Technical Document/Report
Summaries
- 복수의 AntiVirus 제품을 설치해 사용하는 사용자들의 약 40%가 첫 반년동안 악성코드 공격을 받는다고 MalwareBytes 리포트가 밝혔다. 거의 천만개의 엔드포인트를 스캔한 리포트(The Mapping AV Detection Failures)에서는 두개 이상의 전통적이거나 시그니처 기반의 안티바이러스 제품이 설치되어 있음에도 다수의 악성코드 공격이 발생하는 것이 발견되었다. 랜섬웨어나 봇넷, 트로이 같은 악성코드들은 전형적인 안티바이러스 제품들을 쉽게 우회할 수 있는 것으로 나타났다.
Detailed News List
- [DarkReading] 다수의 안티바이러스 소프트웨어를 설치해도 40% 사용자를 악성코드로부터 보호하는데 실패한다.
Doubling Up on AV Fails to Protect 40% of Users from Malware Attacks
Social Engineering
Summaries
- –
Detailed News List
- –