Security Newsletters, Nov 2nd, 2017

Posted on 2017-11-02 - 2017-11-02 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

카스퍼스키랩의 연구자들이 러시아 및 말레이시아, 아르메니아 금융 부문에 대해 진행중인 사이버 공격을 탐지했다. 이 공격은 새로운 공격으로, ‘Silence’라는 이름이 붙었다. 연구자들이 공격자를 특정하진 않았지만, 공격 방법이 이전의 Carbanak 은행 공격과 유사하다고 밝혔다.
북한이 영국에 의해 WannaCry 사건의 배후로 지목된데 이어, 북한은 이러한 영국의 명예훼손에 대해 비열한 짓이라고 반박하고 나섰다. 그리고 자신들은 의료에 대한 중요도 때문에 절대 NHS를 공격하지 않을 것이라 밝혔다.
iOS 및 안드로이드 사용자를 노린 페이스북 피싱 공격이 벌어지고 있다. 페이스북이나 유튜브 계정을 탈취하기 위한 페이스북 스팸이 퍼지고 있다. 핀란드의 F-Secure에 의해 탐지된 이 공격은 10월 15일 스웨덴 사용자를 노린 공격이 처음 탐지되었다. 그리고 10월 17일에 핀란드 사용자, 10월 19일에는 독일 사용자에게서 탐지 되었다. 이 공격에 의한 전체 클릭은 약 200,000건에 달했고, 약 80%의 대상자가 독일, 스웨덴, 핀란드 사용자를 대상으로 한다. 공격자들은 유튜브 동영상으로 보이는 가짜 단축주소를 피해자들에게 보내고 있다.
우크라이나를 공격했던 NotPetya 바이러스의 배후에 있는 해커들이 역시 BadRabbit이라는 악성코드를 제작한 것으로 보인다고 우크라이나의 대통령 행정부 부국장 Dmytro Shymkiv가 말했다. 그는 NotPetya와 BadRabbit이 같은 그룹에 의해 만들어졌다고 믿고 있으며, 그 이유는 코드 형식과 접근법 때문이라고 말했다.

Detailed News list

Silence
- ^{[DarkReading]} Carbanak을 흉내내는 Silence 트로이
  ‘Silence’ Trojan Mimics Carbanak to Spy, Steal from Banks
WannaCry
- ^[ExpressUK] 북한이 영국을 위협하다. 북한의 ‘비열한’ 영국에 대한 분노로 웨스트민스터는 공포
  North Korea threat to UK: Panic in Westminster as Kim turns ire on ‘despicable’ Britain
- ^[BBC] 북한이 영국의 WannaCry에 대한 비난을 사악하다 표현
  North Korea calls UK WannaCry accusations ‘wicked’
Facebook Phishing Campaign
- ^{[BleepingComputer]} iOS 및 안드로이드 사용자를 노리는 페이스북 피싱
  Facebook Phishing Campaign Targets Android and iOS Users
Bad Rabbit
- ^[Reuters] 우크라이나, NotPetya 배후의 해커들이 Bad Rabbit 악성코드와 동일한 것으로 보인다 밝혀
  Reuters Summit: Ukraine says NotPetya hackers likely behind BadRabbit malware

Malwares/Exploits/Vulnerabilities

Summaries

아이폰7, 갤럭시S8, 기타 장비들이 Pwn2Own 대회에서 해킹됐다. 대회를 주관한 트렌드마이크로의 Zero Day Initiaitve^(ZDI)에 따르면 모바일 Pwn2Own 대회에서, 애플의 아이폰7, 삼성의 갤럭시S8, 화웨이의 Mate9 Pro가 대회 첫날에 해킹되었다. 상금 $500,000를 놓고 진행한 이틀에 걸친 대회에서 첫날에만 $350,000의 상금을 얻어갔다. SecurityWeek 리포트에 따르면, 대회기간동안 공격받은 모든 취약점은 제조사에 공개되며, ZDI가 관련 정보를 발표하기 전 90일 동안 제조사를 위한 문제해결 기간이 주어진다.
오니 랜섬웨어^{(ONI Ransomware)}가 일본 회사들을 상대로 한 장기간 공격에 사용되고 있다. Cybereason이 분석한 컴퓨터에서 ONI라는 이름의 랜섬웨어가 발견되었다. 이 랜섬웨어는 이미 발견되어 분석된 적 있지만, 피해 대상들이 어떻게 감염되는지에 대해서는 알려지지 않았었다. 이번 분석에서 감염된 피해 컴퓨터가 RAT^{(Remote Access Trojan)}을 감염시키는 스피어 피싱 공격에 대상이 되었다는 사실이 드러났다. 악성 워드 문서파일을 포함한 ZIP파일이 첨부된 메일로 위장한 메일을 사용한다. 첨부된 문서를 열고 매크로를 활성화 할 때, VBScript가 실행되면서 Ammyy Admin RAT을 다운로드 및 설치하게 된다.

Detailed News List

Pwn2Own
- ^{[DarkReading]} 아이폰7, 삼성 갤럭시S8, 화웨이 Mate9 Pro 해킹당했다
  iPhone 7, Samsung Galaxy S8, Others Hacked in Pwn2Own
- ^{[SecurityWeek]} 삼성, 애플, 화웨이 스마트폰 Mobile Pwn2Own 대회에서 해킹됐다
  Samsung, Apple, Huawei Phones Hacked at Mobile Pwn2Own
ONI Ransomware
- ^{[BleepingComputer]} 오니 랜섬웨어가 장기간에 걸친 일본회사 상대 공격에 사용되다
  ONI Ransomware Used in Month-Long Attacks Against Japanese Companies

Crypto Currencies

Summaries

D-Link의 웹사이트에 채굴 스크립트가 숨겨져있어 해킹된 것이 아닌가 하는 의심을 받고있다. D-Link의 중동 사이트인 dlinkmea.com에서 자바스크립트 기반의 암호화폐 채굴 스크립트가 iframe으로 숨겨져 삽입되어 있는것이 Seekurity 보안팀에 의해 발견되었다. 해당 사실이 D-Link에 전달된 후, 중동 D-Link사이트는 삽입된 스크립트 한 줄을 제거하는 것이 아니라 USA 사이트로 리다이렉트 되는 조치가 취해져, 해킹에 대한 의혹을 사고있다.

Detailed News List

D-Link
- ^{[theHackerNews]} D-Link 중동 사이트 암호화폐 채굴 스크립트 심어져, 해킹의심
  D-Link MEA Site Caught Running Cryptocurrency Mining Script—Or Was It Hacked?

Patches/Updates

Summaries

마이크로소프트 윈도우즈10의 익스플로잇 가드가 엔드포인트 보안을 향상시킨다. 이미 폴더 엑세스 제한^{(Controlled folder access)}기능으로 몇 번 기사가 나왔던 Windows 10 Fall Creators Update에 관한 설명이다. 이번 업데이트에서 제공되는 Controlled Folder Access외에 대하여 설명한다.
애플이 와이파이에 대한 KRACK 공격에 대한 자사의 제품을 패치했다. ^{CVE-2017-13080}으로 관리되는 iOS 장치에 영향이 있는 KRACK 관련 취약점은 iOS 11.1에서 수정되었다. iOS 11.1은 이 외에도 19가지의 취약점에 대한 패치를 제공한다. 같은 KRACK 관련 취약점들이 tvOS 11.1과 watchOS 4.1에서 수정되었고, macOS High Sierra 10.13.1이 KRACK과 관련된 취약점에 대한 패치를 포함한다.
워드프레스^(WordPress)에 있던 심각한 SQL Injection 취약점이 패치되었다. 이번에 릴리즈된 4.8.3에서 SQL Injection 취약점이 패치되었는데, 워드프레스의 테마 및 플러그인에서 SQL Injection을 일으킬 수 있으며 웹사이트를 장악 할 수 있는 취약점이었다.
디즈니의 유명한 아이보호 시스템인 서클 위드 디즈니^{(Circle with Disney)}에 23가지의 취약점이 패치되었다. 취약점은 메모리 오염^{(Memory corruption)}부터 서비스거부^{(Denial of service)}, SSL 검증 취약점^{(SSL validation vunerabilities)}에 까지, 네트워크에 존재하는 모든 장치에 영향을 주는 취약점들 이었다. 서클 위드 디즈니는 작년에 소개된 장치로, 디즈니 인터랙티브^{(Disney interactive)}와 서클 미디어^{(Circle Media)}의 합작품이다. 집의 WiFi를 사용하며 부모가 네트워크에 존재하는 타블렛이나 TV, 노트북 등을 관리할 수 있게 해준다.
버라이즌^(Verison)의 갤럭시 장치들이 블루본^(BlueBorne) 취약점에 대한 패치를 받을 수 있게 되었다. 버라이즌 와이어리스^{(Verison Wireless)}가 갤럭시 S7, S7 Edge, Note 5, S6 Edge Plus용 블루본 취약점 보완을 위한 소프트웨어 업데이트를 배포하기 시작했다. 블루본 취약점은 안드로이드 장치가 특정 장비와 패어링 되어 있거나 발견가능^{(discoverable)} 상태에 있을때 블루투스를 통해 악성행위를 할 수 있는 취약점이다. 장치 사용자가 특별한 행위를 할 필요 없이 블루투스가 켜 있기만 하면 공격의 대상이 된다.

Detailed News List

Microsoft Windows 10 Fall Creators Update
- ^{[SecurityWeek]} 윈도우즈10의 엔드포인트 보안 향상
  Windows 10 Exploit Guard Boosts Endpoint Defenses
Apple Update
- ^{[SecurityWeek]} 애플 KRACK WiFi 취약점 패치
  Apple Patches Dangerous KRACK Wi-Fi Vulnerabilities
- ^[ThreatPost] 애플 iOS 11.1에서 KRACK 취약점 패치
  APPLE PATCHES KRACK VULNERABILITY IN IOS 11.1
WordPress
- ^{[SecurityWeek]} 워드프레스 심각한 SQL Injection 취약점 패치
  Serious SQL Injection Flaw Patched in WordPress
Circle with Disney
- ^[ThreatPost] 서클 위드 디즈니 취약점 패치
  POPULAR ‘CIRCLE WITH DISNEY’ PARENTAL CONTROL SYSTEM RIDDLED WITH 23 VULNERABILITIES
BlueBorne
- ^{[AndroidHeadlines]} 버라이즌 갤럭시, 블루본 패치 제공
  Some Verizon Galaxy Devices Now Getting BlueBorne Patch

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

힐튼 호텔의 데이터 침해 보상금이 $700,000에 이르렀다. 힐튼호텔이 2014년과 2015년에 있었던 신용카드 정보 침해에 대하여 각각 뉴욕에 $700,000 ~ $400,000, 버몬트에 $300,000를 내고 자사 데이터 보안 개선 하는데에 합의했다. 2015년에 힐튼에 의해 알려진 이 사건에서, 적어도 약 363,000건의 신용카드 정보에 공격자가 접근했다고 밝혔다. 첫 침입은 2015년 2월 10일에 발견되었고, 두번째 침입은 2015년 7월에 발견되었다.

Detailed News List

Hilton
- ^{[SecurityWeek]} 힐튼 데이터 유출에 대한 보상금 $700,000에 합의
  Hilton Reaches $700,000 Settlement Over Data Breaches

Privacy

Summaries

보안 메시지 어플리케이션의 데스크탑 버젼이 발표되었다. Open Whisper Systems에 의해 개발되어, 이미 안드로이드나 iOS에서 수백만의 사용자들이 사용하는 Signal 이라는 단대단^(end-to-end) 암호화 메시지 기능의 어플리케이션이 Windows, MacOS, Linux 버젼을 발표했다. 서버가 사용자들의 통신내역에 접근할 수 없고, 데이터가 서버에 저장되지 않아 모든 대화를 안전하게 사용할 수 있다. 첫 데스크탑 버젼은 크롬 어플리케이션 형태로 2015년 12월에 발표되었지만, 이번에는 단독실행^(Standalone) 버젼으로 윈도우즈7, 8, 8.1, 10, 맥OS 10.9 이상, APT를 지원하는 Ubuntu나 Debian과 같은 리눅스 버젼으로 발표되었다.
파이어폭스 58에서 온라인 트래킹^{(Online tracking)} 방지를 위해 캔버스 브라우저 핑거프린팅^{(Canvas browser fingerprinting)}을 기본적으로 차단한다. 쿠키를 사용하지 않고도 온라인에서 사용자 개인을 특정할 수 있는 방법 중 하나인 Canvas fingerprinting이 파이어폭스 58버젼에서는 기본적으로 차단될 예정이다. Canvas 엘리먼트를 사용해 온라인 트래킹하는 기법은 2014년 알려진 내용이지만, 2018년 공개되는 파이어폭스 58의 기본 기능으로 탑재한다는 것이다.

Detailed News List

Signal
- ^{[SecurityWeek]} Signal 데스크톱 메시지 앱 발표
  Standalone Signal Desktop Messaging App Released
Firefox & Canvas fingerprinting
- ^[ThreatPost] 파이어폭스 개인정보보호 강화, Canvas Fingerprinting 제한한다
  FIREFOX BOLSTERS PRIVACY, PULLS PLUG ON BROWSER CANVAS FINGERPRINTING

Security Breaches/Info Leakages

Summaries

Detailed News List

Technologies/Technical Documents/Reports

Summaries

Detailed News List

Deep Web/DarkNet/Onion

Summaries

Detailed News List

Industrial/Infrastructure/Physical System/HVAC

Summaries

Detailed News List

Internet of Things

Summaries

Detailed News List

Social Engineering

Summaries

Detailed News List

Security Newsletters, Nov 1st, 2017

Posted on 2017-11-01 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operation/Cyber Intelligence

Summaries

오피스365^(Office365)의 수신함을 분석한 결과, 수신함에 도착하는 메일의 약 10%가 스팸이나 피싱메일, 악성코드가 포함된 메일이었다. 사이렌^(Cyren)의 보안연구가들이 9월 초 부터 10월 초까지 약 한달 동안 오피스365의 메일함에 들어오는 메시지 1,070만건을 분석한 결과 9.3%의 악성 메일을 그대로 수신한 것으로 나타났다. 그리고 이 중에는 제로데이^(Zeroday)를 포함한 이메일도 1,438건이 있었지만, 또 다른 2,462건의 이메일은 이미 알려진 악성코드를 포함해 탐지가 되었어야 할 이메일 이었다.
북한이 WannaCry 사이버 공격의 배후설에 대해서 부인했다. 영국이 NHS장애 등 전세계 150개 국, 300,000대 이상의 컴퓨터를 감염시킨 WannaCry 공격의 배후로 북한을 지목한바 있다. 그러나 북한의 한 유럽연합 대변인은 이러한 비난에 대해 근거없는 추측이라며 부인했다. 이러한 영국의 의도에 대해 의문을 제기하게 만든다며, 관용의 한계를 넘어서는 행위라고 말했다.

Detailed News list

오피스365 이메일
- ^{[DarkReading]} 오피스365, 지난달에만 34,000건의 피싱메일 놓쳐
  Office 365 Missed 34,000 Phishing Emails Last Month
WannaCry
- ^{[SecurityWeek]} 북한, WannaCry 사이버 공격에 대해 부인
  North Korea Denies Involvement in WannaCry Cyberattack
- ^{[FinancialExpress]} 북한이 WannaCry 사이버공격 연관성 부인했다
  North Korea denies involvement in WannaCry cyber attack

Malware/Exploit/Vulnerability

Summaries

구글의 CAPTCHA를 85% 정확성으로 뚫는 unCAPTCHA가 나왔다. 메릴랜드 대학^{(the University of Maryland)}의 인공지능 기반의 자동화시스템이 구글의 음성기반 reCAPTCHA를 85% 정확도로 뚫었다. 읽기 힘들게 흐트러진 글자를 맞추는 것이 아닌, 옵션으로 제공하는 음성에 대한 공격이었다. 이 unCAPTCHA 엔진은 공개된 무료 온라인 음성-문자 변환엔진을 조합해 만들어졌다. 시험 결과로는 450개의 reCAPTCHA 문제를 85.15%의 정확도로 5.42초 만에 풀어냈다.
T-Mobile이 심^(SIM) 하이재킹에 대하여 경고했다. 지난 몇주간 T-Mobile이 몇백명의 고객에게 Motherboard에 기고되었던 자사 웹사이트의 취약점에 대해 연락을 취했다. 지난 10월 10일 패치된 이 취약점은, 해커가 T-Mobile 고객의 이메일 주소, 계정번호, 핸드폰의 IMSI에 접근할 수 있었다.
모든 Post 데이터를 훔치는 구글 크롬 확장기능에 대한 기사가 이어지고 있다. WhatsApp으로부터 발송된 메일인 것처럼 속여 배포되는 이 악성 확장기능은, 설치되면 크롬 브라우저에서 전송되는 모든 Post 데이터를 공격자의 서버로 전송하게 된다.
Windigo 공격이 아직도 진행중이다. Windigo는 OpenSSH 백도어 및 인증정보 탈취 악성코드로, 약 2년 반의 기간동안 전세계 25,000개 서버를 감염시킨 것으로 추정된다. 감염된 시스템들은 계정정보를 훔치거나, 악성 사이트로 트래픽을 리다이렉트 시키거나, 하루에 3,000만건이 넘는 스팸 메시지를 보내는데 악용되었다. 이 악성코드의 새로운 버젼이 2월달에 새로 발견되었고, 새로운 버젼에서는 탐지 회피 능력과 복구능력을 보완했다.
새로운 부트킷 랜섬웨어 MBR-Oni에 주목할 필요가 있다. 올해 초 ONI라는 새로운 랜섬웨어가 일본에서 탐지되었다. GlobeImposter 랜섬웨어의 일종으로, 감염되면 파일을 암호화하고 .oni 확장자를 붙이며 몸값을 요구한다. 최근 Cybereason의 연구원은 ONI가 사용된 정교한 공격에 대해 언급했는데, 전형적인 랜섬웨어와는 다르게 해킹의 목적과 효과를 숨기는데에만 사용되는 등 차이를 보였다. 그리고 Cybereason의 연구원은 새로운 부트킷 랜섬웨어를 찾아냈는데 그것이 MBR-ONI 다. MBR을 변경하고 디스크 파티션을 암호화한다.

Detailed News List

unCAPTCHA
- ^{[InfosecurityMagazine]} 구글의 CAPTCHA를 85% 정확성으로 뚫는 unCAPTCHA
  ‘unCAPTCHA’ Defeats Google CAPTCHA with 85% Accuracy
- ^[HackRead] 구글의 AI 시스템 reCAPTCHA를 뚫는 unCAPTCHA
  unCAPTCHA algorithm can Crack Google’s AI System reCAPTCHA
- ^[ThreatPost] 구글의 reCAPTCHA 뚫렸다
  GOOGLE’S RECAPTCHA CRACKED AGAIN
SIM Hijacking
- ^{[InfosecurityMagazine]} T-Mobile, SIM Hijacking 경고
  T-Mobile USA Calls Customers to Warn on SIM Hijacking
Catch-All Chrome extension
- ^[HackRead] 모든 Post 데이터를 훔치는 구글 크롬 확장
  Malicious Chrome Extension Steals ‘All Posted Data’ without Login Credentials
- ^[ThreatPost] 모든사이트의 Post 데이터를 훔치는 악성 크롬 확장기능
  MALICIOUS CHROME EXTENSION STEALS DATA POSTED TO ANY WEBSITE
Windigo
- ^{[SecurityWeek]} Windigo 백도어 공격 아직도 진행중
  Backdoor Attacks From Windigo Operation Still Active
MBR-Oni
- ^{[SecurityWeek]} 새로운 랜섬웨어 MBR-Oni
  Meet MBR-ONI, Bootkit Ransomware Used as a Targeted Wiper

Security Breach/Info Leakage

Summaries

지난해 대우조선해양의 데이터베이스에 대한 침해사고가 북한에 의한 소행이었다는 국방부의 보고를 경대수 의원이 공개했다. 작년 4월에 발생한 침해사고에서 대우조선해양을 해킹해 이지스함 설계도 등 주요데이터가 유출이 되었고, 이때 사용한 방법이 북한의 다른 공격과 유사한 점이 있다는 것이다. 유출된 자료는 1~3급 군사자료들로, 이지스함과 잠수함의 설계도 및 전투체계 등이 포함되었다.

Detailed News List

대우조선
- ^{[DarkReading]} 북한이 대우조선 해킹의 배후로 지목되다
  North Korea Faces Accusations of Hacking Into Warship Builder Daewoo
- ^[Reuters] 북한, 대우조선 해킹해 설계도 훔쳤다
  North Korea hacked Daewoo Shipbuilding, took warship blueprints: South Korea lawmaker

Crypto Currency

Summaries

다양한 암호화폐들의 지갑을 노리는 크립토셔플러^{(CryptoShuffler)} 트로이가 돈을 빨이들이고 있다. 여기에는 비트코인^(BitCoin), 이더리움^(Ethereum), Zcash, Dash, Monero 등 다른 유명 암호화폐들도 포함된다. 카스퍼스키랩^{(Kaspersky Lab)}에 의해 발견된 이 악성코드가 이미 $140,000에 달하는 비트코인 지갑을 훔친 것으로 보인다. 다른 암호화폐 지갑들에서 훔친 돈은 각각 몇 달러에서부터 수천달러까지 다양하다. CryptoShuffler의 동작방식은 단순하다. 사용자의 클립보드를 모니터하다가 사용자가 이체하기 위해 누군가의 지갑 주소를 복사하면 자신의 주소로 덮어씌우는 것. 결과적으로 사용자는 악성코드 제작자의 지갑으로 송금하게 되는 것이다.
CoinHive 채굴기가 안드로이드 앱, 워드프레스 사이트에서 발견되었다. 인브라우저^(in-browser) 자바스크립트 채굴기가 계속해서 발견되고 있다. 구글플레이에 등록되어있는 앱에서 탐지된 것에 더해, 해킹된 워드프레스 사이트에 대량으로 배포된 경우까지 확인되고 있다.

Detailed News List

CryptoShuffler
- ^{[InfosecurityMagazine]} 크립토셔플러 트로이가 다양한 암호화폐 지갑으로부터 돈을 빨아들이고 있다
  CryptoShuffler Trojan Sucks Cash from Wide Range of Crypto-Wallets
Coinhive miners
- ^{[BleepingComputer]} 코인하이브 채굴기가 안드로이드 앱과 워드프레스 사이트에서 발견
  Coinhive Miners Found in Android Apps, WordPress Sites

Patch/Update

Summaries

오라클의 Identity Manager의 아주 치명적인 취약점인 CVE-2017-10151이 패치되었다. 원격에서 권한이 없는 공격자가 시스템을 장악할 수 있게 만드는 치명적인 취약점에 대한 패치가 공개되었다. 취약점에 대한 자세한 내용은 없이 주의문만 공개되었다. 동일 네트워크 내에서 HTTP로 Oracle Identity Manager에 접근할 수 있는 기본계정이 존재하여 발생하는 문제로 영향을 받는 버젼은 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, 12.2.1.3.0 이다.

Detailed News List

Oracle Identity Manager
- ^{[theHackerNews]} 오라클 Identity Manager 취약점
  Highly Critical Flaw (CVSS Score 10) Lets Hackers Hijack Oracle Identity Manager
- ^[Oracle] CVE-2017-10151
  Oracle Security Alert Advisory – CVE-2017-10151

Technology/Technical Document/Report

Summaries

파이어폭스 58에서 온라인 트래킹^{(Online tracking)} 방지를 위해 캔버스 브라우저 핑거프린팅^{(Canvas browser fingerprinting)}을 기본적으로 차단한다. 쿠키를 사용하지 않고도 온라인에서 사용자 개인을 특정할 수 있는 방법 중 하나인 Canvas fingerprinting이 파이어폭스 58버젼에서는 기본적으로 차단될 예정이다. Canvas 엘리먼트를 사용해 온라인 트래킹하는 기법은 2014년 알려진 내용이지만, 2018년 공개되는 파이어폭스 58의 기본 기능으로 탑재한다는 것이다.
구글이 크롬의 PKP^{(Public Key Pinning)} 기능을 제거한다. 첫 단계는 HTTP 기반의 PKP에 대한 지원 제외가 될 것이다. 이는 크롬67에서 계획되어 있으며, 2018년 5월 말에 안정버젼 채널에 공개될 것이다. 후속단계로는 브라우저에 내장된 PKP^{(static pin)}의 지원 제외가 될 것이며, 정확한 날짜는 밝혀지지 않았다.
미국 사무직 1000명을 조사한 결과에 따르면, 약 1/3만 랜섬웨어가 무엇인지 알고 있다고 한다. Intermedia의 최근 리포트에서는 이러한 상황이 교육이 부재해서 발생하는 것이 아님을 보여줬다. 보안에 대한 교육이 있었으며 WannaCry를 예시로 들기까지 했다는 것이다. 그리고 고용주보다 고용인 스스로가 업무와 관련된 랜섬웨어에 직접 몸값을 종종 지불하는 것으로 나타났다.

Detailed News List

Canvas fingerprinting
- ^{[theHackerNews]} 파이어폭스58, 캔버스 핑거프린팅 기본으로 차단한다
  Firefox 58 to Block Canvas Browser Fingerprinting By Default to Stop Online Tracking
- ^{[SecurityWeek]} 파이어폭스, 캔버스 기반의 핑거프린팅을 제한한다
  Firefox to Block Canvas-based Browser Fingerprinting
PKP in Chrome
- ^{[SecurityWeek]} 구글, 크롬의 PKP 기능 제거한다
  Google to Remove Support for PKP in Chrome
Ransomware
- ^{[InfosecurityMagazine]} 미 사무직 1/3만 랜섬웨어에 대해서 알고있다
  Only a Third of US Office Workers Know What Ransomware Is

Deep Web/DarkNet/Onion

Summaries

코드사인을 위한 인증서가 다크마켓에서 $1,000이상 에 팔리고 있다. 사이버보안 제조사들이 CSRI(Cyber Security Research Institute)와 6개월에 걸쳐 진행한 프로젝트에서, 다크넷에서 제품 및 서비스를 구매하고 판매했다. 이 프로젝트에서 발견한 결과로는 코드 사이닝 인증서가 1,200달러 까지 거래가 가능했다는 것이었다. 이 가격은 위조여권이나 권총, 훔친 신용카드보다 비싼 가격이었다. 인증서는 그 가치를 잃기까지 반복적으로 반복해 판매할 수 있기 때문에 사이버범죄자들의 주요 수입처라는게 연구자들의 설명이다.

Detailed News List

Code signing certs
- ^{[InfosecurityMagazine]} 코드사이닝 인증서 1,000달러에 팔린다
  Code Signing Certs Traded for $1000+ on Darknet

Industrial/Infrastructure/Physical System/HVAC

Summaries

히스로 공항의 USB, 내부자에 의한 위협에 대해 생각해봐야 할 문제.

Detailed News List

Heathrow USB
- ^{[InfosecurityMagazine]} 히스로 공항 USB, 내부자에 의한 위협에 대해 생각해봐야 할 문제
  Heathrow Airport USB Alert Highlights Insider Threat
- ^{[NakedSecurity]} 런던 히스로 공항의 보안이 잃어버린 USB 하나에의해 탄로나다
  London Heathrow Airport’s security laid bare by one lost USB stick

Legislation/Politics/Policy/Regulation/Law Enforcement

Summaries

트럼프 행정부 새로운 사이버보안계획 만든다. 백악관 국토안보보좌관^{(White House Homeland Security Adviser)}인 톰 보셋^{(Tom Bossert)}이 트럼프 대통령이 지난 5월에 서명했던 행정명령^{(President’s Executive Order)}에 따른 새로운 사이버보안전략을 수립할 것이라고 발표했다.
유럽연합이 사이버 공격을 ‘전쟁행위^{(Act of war)}‘로 선언했다. 회원국이 작성한 문서^{(The framework on a joint EU diplomatic response to malicious cyber activities)}에 따르면, 외국으로 부터의 심각한 사이버 공격은 전쟁행위로 간주될 수 있다. 러시아나 북한과 같은 국가들의 도발에 대한 저지를 목적으로 하는 이 문서는, ‘심각한 상황^{(in the gravest circumstances)}‘에서 온라인 공격에 대응해 재래식 무기로 대응할 수 있다고 언급했다.
코모도가 인증서 사업을 사모기업에 매각한다. Francisco Partners가 코모도의 인증서 인증사업을 인수한다. 코모도는 전세계 150개국, 200,000고객에 걸쳐 9,100만개의 인증서를 발행한 세계 최대의 SSL 인증서 발행기업이다.

Detailed News List

Trump Cybersecurity Plan
- ^{[DarkReading]} 트럼프 행정부 새로운 사이버보안계획 만든다
  Trump Administration to Craft New Cybersecurity Plan
EU, ‘Act of War’
- ^{[InfosecurityMagazine]} 유럽연합, 심각한 사이버공격을 ‘전쟁행위’로 선언
  EU to Declare Cyber-Attacks “Act of War”
Comodo
- ^{[SecurityWeek]} 코모도 인증서 사업 매각
  Comodo Sells Certificate Business to Private Equity Firm

Privacy

Summaries

시동생을 소아성애자와 테러리스트로 몰아세운 범인이 징역 5년형을 선고받았다.

Detailed News List

Framing
- ^{[NakedSecurity]} 시동생을 소아성애 및 테러리스트로 만들어 5년형 선고
  Troll gets 5 years for framing brother-in-law as terrorist and paedophile
- ^{[IndependentUK]} 시동생을 테러리스트와 소아성애로 몰아세워 징역행
  Man jailed for trying to frame brother-in-law as terrorist and paedophile after marriage breakdown

Internet of Things

Summaries

Detailed News List

Social Engineering

Summaries

Detailed News List

Security Newsletters, 31, Oct, 2017

Posted on 2017-10-31 - 2017-10-31 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operation/Cyber Intelligence

Summaries

중동 및 북아프리카^{(MENA, Middle East and North Africa)}를 대상으로 하는 가자^(Gaza) 사이버범죄집단^(Cybergang)이 새로운 도구들을 확보해 활동을 확대할 것으로 보인다고 카스퍼스키랩^{(Kaspersky Lab)}이 전했다. 새로운 도구는 마이크로소프트 엑세스^{(Microsoft Access)}의 최근 취약점인 ^{CVE-2017-0199}를 공격하는 익스플로잇과 최소 하나의 안드로이드 스파이웨어, 악성코드를 대상에게 유포하기 위한 매우 지정학적으로 민감한 스피어피싱 문서가 이에 해당한다. 가자 사이버범죄집단은 지속적으로 정부기관, 정유 및 가스 기업, 대사관, 외교관, 언론기관을 지난 몇년간 공격해왔고 최근들어 이러한 공격을 확대해 가고 있는 것으로 보인다.
페이스북의 유튜브 링크로 위장한 클릭낚시^(Clickbait)와 가짜뉴스 경고. 페이스북에서 전달되는 링크에 대해서 특별히 더 조심할 필요가 있다. 스패머^(spammer)들이 공유된 링크 주소를 속일 수 있기 때문이다. 사용자에겐 정상적인 링크로 보이게 하면서 가짜 뉴스 웹사이트나 악성코드, 악성 컨텐츠로 리다이렉트 되도록 링크를 조작할 수 있다. 페이스북에서 Open Graph meta tags를 수집하면서 og:url값의 주소와 실제 공유하는 링크 주소 일치여부를 확인하지 않아 발생한다. 그러나 페이스북은 Linkshim이라는 URL검사 시스템에 의해 클릭한 URL에 대한 진단이 수행되므로 취약점에 해당하지 않는다고 이 문제를 취약점으로의 분류하기를 거절했다.

Detailed News list

Gaza Cybergang
- ^{[DarkReading]} 가자 사이버범죄집단, 새로운 도구로 작전을 확장한다
  Gaza Cybergang Acquires New Tools, Expands Operations
- ^{[SecurityWeek]} Hamas 관련된 가자 사이버범죄집단, 새로운 범죄도구와 대상 생겼다
  Hamas-Linked ‘Gaza Cybergang’ Has New Tools, Targets
Facebook Clickbait
- ^{[theHackerNews]} 페이스북의 유뷰브 링크로 위장한 가짜링크 주의
  Wait, Do You Really Think That’s A YouTube URL? Spoofing Links On Facebook

Malware/Exploit/Vulnerability

Summaries

Sage 랜섬웨어가 분석 방해 기능을 갖췄다. Fortinet의 보고서에 따르면, Sage 랜섬웨어가 권한상승 및 탐지우회를 위한 새로운 기능을 추가했다. 2017년 초 활발히 활동하다 최근 6개월 이상 별다른 활동을 보이지 않았던 Sage 랜섬웨어가 분석방해 기능과 권한상승 기능을 추가한 샘플이 발견되며 새로운 주목을 받았다. 악성 자바스크립트 첨부파일을 포함한 스팸메일로 배포되는 Sage 랜섬웨어가 Locky 랜섬웨어와 동일한 유포 인프라구조를 공유한다는 사실도 드러났다. 악성 매크로를 포함한 문서파일로도 유포되고 있으며 info 및 top 도메인을 활용한다.
정보를 유출하는 “Catch-All” 악성 크롬 확장기능이 퍼지고 있다. WhatsApp의 사진으로 위장한 피싱 메일이 악성 크롬 확장기능을 유포하고 있으며, 사진대신 드롭퍼^(dropper)를 다운로드하게 한다. 이 드롭퍼가 실행되면 가짜 Adobe PDF Reader Installer 화면을 보여주며 설치하게 한다. 이 인스톨러는 md0.exe, md1.exe라는 두 실행 파일을 설치하는데, md0은 윈도우즈 방화벽을 비활성화 하고, 구글 크롬의 모든 프로세스를 종료한다. 그리고 세이프브라우징 다운로드 보호기능 같은 여러 보안기능을 해제한다. 일단 이 행위들이 성공하면 구글 크롬의 런쳐^(launcher)파일을 교체하고, 이 확장기능은 웹에서 전송되는 데이터를 악성코드 C&C서버로 Ajax를 통해 전송한다.

Detailed News List

Sage ransomware
- ^{[SecurityWeek]} Sage 랜섬웨어 분석방지를 위한 기능들 추가
  Sage Ransomware Gets Anti-Analysis Capabilities
- ^[Fortinet] 우회기능 갖춘 Sage 2.2 랜섬웨어 더 많은 국가를 대상으로 한다
  Evasive Sage 2.2 Ransomware Variant Targets More Countries
Chrome extension
- ^{[HelpNetSecurity]} 악성 크롬 확장기능이 데이터를 훔친다
  Malicious Chrome extension steals all data
- ^{[SANS ICS]} “Catch-All” 구글 크롬 악성 확장기능이 Post 데이터를 훔친다
  “Catch-All” Google Chrome Malicious Extension Steals All Posted Data

Security Breach/Info Leakage

Summaries

구글의 내부 버그트래킹 시스템의 버그로, 심각한 취약점 정보들이 노출되었다. 구글 내부에서 사용하고 있는 이슈 트래커인 버가나이저^(Buganizer)는 구글 제품 및 서비스에 대한 이슈를 기록/관리하는 시스템이다. 외부 사용자는 극히 제한된 정보만 열람할 수 있으나, 보안연구가 Alex Birsan이 취약점을 찾아냈다. Birsan은 구글의 메일주소로 위장하여 시스템의 백엔드에 접근할 수 있었다. 그 결과 Birsan은 수천개의 버그리포트를 확인할 수 있었으며, 몇몇은 최우선순위^{(Priority zero)}에 해당하는 취약점이었다. 이 취약점에 대하여 Birsan은 구글로부터 $15,600의 보상금을 받았다.
영국 퀸즈 파크^{(Queens Park)}의 일버트 스트릿^{(Ilbert Street)}에서 발견된 USB 스틱에서 히스로^(Heathrow) 공항에 대한 기밀정보 파일들이 발견되었다. 앞선 30일자 보도와 동일한 내용이다. 매우 민감한 자료들이 USB 스틱에 저장된 채 버려져 있는 것이 발견되었으며, 해당 저장장치에는 2.5GB의 암호화되지 않은 데이터들이 들어있었다. 저장된 것은 지도, 사진, 동영상 등의 파일들이었는데, 거기에는 왕비를 포함한 외국 VIP들, 내각 각료^{(cabinet members)}들에 대한 보호조치들과 같은 극히 민감한 정보들이 포함되어 있었다.
Dark Overload 해커그룹에 의해 노출되었던 성형외과의 고객정보에 대해서 정보 공개에 대한 위협과 함께 몸값을 요구하고 나섰다. Dark Overload 해커그룹은 정보를 유출당한 London Bridge Plastic Surgery^(LBPS) 클리닉이 요구사항을 들어주지 않을경우 사진들을 공개하겠다고 협박했다. Dark Overload는 이전에도 미 의료기관, 학교에 대한 공격 및 넷플릭스를 공격해 미공개된 에피소드를 유출시킨 사건 등에 연관된 해커그룹이다.

Detailed News List

Google Bug Database Flaws
- ^{[DarkReading]} 구글 버그 데이터베이스 취약점으로 심각한 취약점 정보 노출
  Google Bug Database Flaws Expose Severe Vulnerabilities
Heathrow USB Stick
- ^[HackRead] 런던 길위에 떨어진 USB 스틱에 히스로 공항 보안데이터 및 여왕에 대한 자료 발견
  USB Stick with Heathrow Security and Queen’ Data Found on London Street
- ^{[SecurityWeek]} 히스로 공항, 어떻게 런던 길위에서 보안데이터가 발견되었는가 밝힐 수사 진행중
  Heathrow Probes How Security Data Found on London Street
London Bridge Plastic Surgery
- ^[HackRead] 런던 성형외과 환자정보 공개 협박
  The Dark Overlord hacks plastic surgery clinic; demands ransom

Crypto Currency

Summaries

구글 플레이스토어에서 모네로 채굴하는 악성 앱이 세 건 발견되었다. 트렌드 마이크로의 보안연구가들이 동적 자바스크립트 로딩과 네이티브 코드 인젝션을 통해 탐지를 회피하는 어플리케이션을 찾아냈다. Recitiamo Santo Rosario라는 이름의 종교관련 어플리케이션과 WiFi 보안, 자동차 배경화면을 제공하는 어플리케이션 이었다.

Detailed News List

Monero mining malware apps
- ^[HackRead] 모네로 채굴 악성 앱 발견
  Three Monero Mining Malware Apps Found on Play Store
- ^{[HelpNetSecurity]} 구글플레이에 등록되어있는 암호화폐 채굴하는 스크립트가 심어진 어플리케이션들
  Cryptocurrency-mining script planted in apps on Google Play

Patch/Update

Summaries

오라클이 Identity Manager의 치명적인 취약점을 수정했다. 취약점 번호 ^{CVE-2017-10151}은 오라클에 아무런 사용자 상호작용 없이, 네트워크에서 HTTP를 통해 Oracle Identity Manager를 공격할 수 있는 익스플로잇이다. 이 취약점은 HTTP를 통해 접근할 수 있는 기본 계정이 존재해서 발생한다.

Detailed News List

Oracle
- ^{[SecurityWeek]} 오라클 Identity Manager의 취약점 수정
  Oracle Patches Critical Flaw in Identity Manager

Technology/Technical Document/Report

Summaries

파이어폭스 58에서 캔버스 핑거프린팅^{(Canvas fingerprinting)}차단기능을 제공한다. 쿠키를 사용하지 않고 사용자를 구분 및 추척할 수 있는 기술 중 하나인 캔버스 핑거프린팅에 대한 차단 기능이 2018년 1월에 발표될 Firefox 58에 추가될 예정이다. 캔버스 핑거프린팅은 웹사이트나 광고회사에서 온라인 행위들을 추적하기 위해 사용하는 방법 중 하나로, HTML5 엘리먼트인 canvas에서 다양한 정보를 추출해서 사용한다. Canvas 엘리먼트를 사용하는 방법으로 사용자가 알지 못하는 사이에 브라우저, 운영체제, 설치된 그래픽 하드웨어 등의 정보를 추출해 사용자를 추적할 수 있었다.

Detailed News List

Firefox 58 & Canvas
- ^{[DigitalTrends]} Firefox 58, 캔버스 핑거프린팅 막는다
  Firefox 58 to block ‘canvas fingerprinting,’ a new way for sites to track users
- ^{[NakedSecurity]} Firefox, 캔버스 ‘슈퍼쿠키’ 막는다
  Firefox takes a bite out of the canvas ‘super cookie’
- ^{[HelpNetSecurity]} Firefox 곧 canvas기반의 브라우저 핑거프린팅 막는다
  Firefox will soon block canvas-based browser fingerprinting attempts