DevHackDebug logo

[태그:] CoffeeMiner

Security Newsletters, 2018 Jan 13th, 새로운 인텔 AMT 취약점 外

Posted on - by aDHDmin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 넷플릭스 사용자를 노리는 피싱 사기가 벌어지고 있다. McAfee에 따르면, 넷플릭스 사용자의 신용카드 정보를 훔치기 위한 것으로 보이는 피싱 사기가 벌어지고 있다.
  • 탈북자 및 그들의 후원자, 기자를 노리는 해킹 캠페인이 탐지되었다. 해커그룹이 대한민국 내 탈북자 및 언론인들을 상대로 유명 채팅 어플리케이션이나 소셜네트워크를 통해 악성코드를 보내는 것이 McAfee에 의해 탐지되었다. 고도로 표적화된 이 캠페인은 2017년 페이스북, 카카오톡을 사용해 악성코드가 담긴 피싱 링크를 전송하는 것으로 시작되었다. 이 해킹그룹이 기존 사이버범죄 그룹과 연관되는 점은 확인되지 않았다. (12일에서 이어짐)
  • 러시아와 관련되 있는 것으로 추정되는 해킹 그룹 FancyBear가 국제 올림픽 위원회(IOC, International Olympic Committee)와 국제 반도핑 기구(WADA, World Anti-Doping Agency)에서 유출된 것으로 추정되는 이메일을 공개했다. FancyBear라는 이름으로 알려진 이 해킹 그룹은 이메일 아카이브를 공개했는데, 블로그 포스트를 통해 미국을 포함한 앵글로색슨(Anglo-Saxon)계 국가들이 스포츠에서의 권력과 자본을 위해 싸우고 있다고 혐의를 제기했다. 이 그룹은 APT28로도 알려져 있는데, 2016년 미국 민주당 전국 위원회 해킹으로 알려진 그룹이다. FancyBear는 러시아의 올림픽 출전 금지가 명백히 정치적이라고 주장하고 있다. 이 유출 사건에 대해서 IOC는 언급을 거부했으며, WANA는 응답하지 않았다. (11일에서 이어짐)

Detailed News list

 

Malwares

Summaries

  • 스모크 로더(Smoke Loader) 악성코드를 유포하는 가짜 스펙터 멜트다운 패치가 확인되었다. 말웨어바이츠(Malwarebytes)에 따르면 멜트다운/스펙터 버그가 관심을 받음에 따라, 패치로 위장한 악성코드 유포도 벌어지고 있다. 독일 당국은 이러한 피싱메일에 대해 경고하기도 했다. 독일어로 꾸며진 사이트에서는 가짜 패치파일(Intel-AMD-SecurityPatch-11-01bsi.zip)을 유포하며, 다른 페이로드들을 다운로드하는 Smoke Loader에 감염시킨 파일을 배포하고 있다.
  • DNS 설정을 하이재킹하는 맥OS용 악성코드 MaMi가 확인되었다. OSX/MaMi라고 명명된 이 악성코드는 Malwarebytes 포럼에 DNS 설정이 82.163.143.135, 82.163.142.137로 계속 변경된다는 리포트를 통해 발견되었다. 악성코드가 어떻게 유포되는지에 대해서는 아직 밝혀진바가 없다. 이번에 분석된 샘플은 DNS를 하이재킹하는 기능만 했지만, 스크린샷을 찍거나 마우스 이벤트의 시뮬레이션, 파일 업로드/다운로드, 명령실행 등의 기능도 갖추고 있다.

Detailed News List

 

Exploits/Vulnerabilities

Summaries

  • 인텔 AMT 취약점이 공격당하면 단 몇 초만에 컴퓨터를 장악당할 수 있다. 보안연구자들이 인텔의 Advanced Management Technology(AMT)가 악용당하면 채 1분이 안되는 물리적인 접근으로 장치가 공격당할 수 있음을 밝혀냈다. Evil Maid 공격은 코드 한줄 없이도 기업 네트워크에대한 원격 제어 능력을 내줄 수 있다. F-Secure 연구가 Harry Sintonen에 의해 발견되어 공개된 이 취약점은 2017년 발견되었던 AMT firmware 취약점이나 현재의 멜트다운/스펙터와는 무관한 취약점이다. 새로운 취약점은 매우 간단한데, 바이오스(BIOS) 비밀번호 설정이 인텔의 MEBX(Management Engine BIOS Extension) AMT BIOS 확장에 대한 접근을 막지 못한다는데 있다. AMT는 하드웨어 기반의 원격 관리 도구로, 칩 수준의 기능으로 운영체제나 소프트웨어에 의존적이지 않다. 오직 전력과 네트워크만 연결되어 있으면 된다. 공격자가 물리적으로 접근할 수 있다면, 장치를 부팅하는 동안 CTRL-P를 누르고 기본 비밀번호인 admin으로 MEBx에 로그인만 하면 된다. 기본 비밀번호를 바꾸고, 원격 접근을 활성화 한 후 사용자 확인(Opt-in)을 None으로 설정하면 된다.
  • AMD가 자사의 CPU에도 결함이 있음을 인정했다. AMD는 지난주 AMD의 아키텍쳐 차이로 AMD의 프로세서는 거의 위험하지 않다라고 발표했으나, 목요일에 들어서 새로운 성명을 통해 AMD 프로세서가 스펙터 변종 둘에 취약하다고 인정했다.
  • 맥OS에서 잘못된 비밀번호로 앱스토어 설정을 잠금해제 할 수 있는 취약점이 발견되었다. macOS High Sierra에 영향을 주는 이 취약점은, 앱스토어 설정(Preferences)를 어떤 비밀번호를 입력하든 잠금해제 할 수 있다. 취약점은 macOS 10.13.2에 영향을 주는 것으로 확인되었고, 사용자가 관리자(administrator)로 로그인 했을 때에만 가능하다. 관리자가 아닌 계정에서는 정확한 비밀번호를 입력해야 한다. (12일에서 이어짐)
  • 인텔 칩에서 발견된 취약점인 멜트다운/스펙터(Meltdown/Spectre)에 대한 기사가 이어지는 중이다. 이번에는 마이크로소프트가 내놓은 Windows 보안 패치(KB40566892)가 일부 AMD CPU를 사용하는 PC를 사용불가 상태로 만들어 버리는 오류가 있다는 내용이다. AMD의 애슬론(Athlon)을 사용하는 PC들이 패치 전에는 정상 동작하다가 이후에 동작하지 않는다는 사용자들의 리포트가 반복되고 있다는 것이다. 패치가 복구지점(recovery point)을 생성하지 않는것도 문제가 되고있다. (9일에서 이어짐)
  • 유명 채팅 앱에서 암호화된 그룹 대화를 엿볼 수 있는 취약점이 발견되었다. 유명 채팅 프로그램인 WhatsApp, Threema, Signal에서 이론적으로(theoretically) 암호화를 우회해 그룹 채팅에 끼어들 수 있는 취약점이 발견되었다. 취리히에서 열린 Real World Crypto 컨퍼런스에서 독일 암호학자 팀이 해당 내용을 발표했다. (11일에서 이어짐)

Detailed News List

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 코네티컷(Connecticut)의 한 남성이 피싱 캠페인의 일부로 250개 넘는 아이클라우드(iCloud) 계정을 해킹한 것에 대하여 유죄를 인정했다. 이 해킹으로 유명 여성 셀럽들의 누드 사진이 인터넷에 공개되었다. 26세의 George Garofano는 이번 일로 최대 5년의 징역형을 받게되었다.
  • macOS의 스파이웨어 Fruitfly 제작자가 기소되었다. 스크린샷 캡쳐와 웹캠 촬영으로 사용자들을 감시할 수 있는 기능을 가진 악명높은 악성코드가 작년에 기사화 된 일이 있었다. Digita Security의 Patrick Wardle에 의해 발견된 이 악성코드는 Fruitfly 혹은 Quimitchin이라는 이름으로 불린다. 이 악성코드는 십여년간 사람들을 감시해왔다. FBI에 의핸 수년간의 수사끝에 이 악성코드의 제작자가 기소되었다. 오하이오(Ohio) 연방 법원에서 Phillip R. Durachinsky가 Fruitfly의 제작자이며, 이 악성코드를 거의 13년간 사용해 왔다는 내용의 기소장이 제출되었다. 이 기간동안 수천대의 컴퓨터를 감염시키고 수백만장의 사진을 훔쳤다. (12일에서 이어짐)

Detailed News List

 

Privacy

Summaries

  • 마이크로소프트가 Skype에서의 대화에 새로운 종단간(end-to-end) 암호화를 도입했다. Skype가 비밀대화(Private Conversations)이라는 이름으로, Signal과의 파트너십을 통해 종단간(end-to-end) 암화회 기능을 제공한다. Signal의 암호화 프로토콜을 사용해 비밀 대화(encrypted chat) 및 파일 교환, 음성 녹음 메시지를 교환할 수 있다. 여기에 음성통화 및 영상통화(audio and video calls)는 해당되지 않는다. (12일에서 이어짐)

Detailed News List

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 산업제어시스템(ICS, Industrial Control System)에서도 Meltdown/Spectre 대응에 나섰다. 의료 장비 및 산업 제어 시스템을 포함한 주요 인프라 분야에 솔루션을 제공하는 제작사들이 최근 발표된 Meltdown과 Spectre 공격으로 인한 자신들의 제품의 영향에 대해 평가하기 시작했다.
  • 핵무기 시스템도 사이버 공격 위험에 처해있다는 기사가 나왔다. 핵무기 시스템들이 디지털 시대 이전에 설계되어 사이버 위협에 대한 고려가 충분히 되어있지 않다는 것이다.
  • 주요 스카다(SCADA, Supervisory Control And Data Acquisition)시스템의 모바일 앱에서 보안 취약점이 발견되었다. 2년 전, 산업제어시스템(ICS, Industrial Control Systems)의 소프트웨어 및 하드웨어에서 취약점을 찾은바 있는데, 이번에는 스카다 모바일 앱에 대한 연구를 진행했다. IOActive와 Embedi에 소속된 이들이 34개 제조사의 SCADA 모바일 어플리케이션에 대한 조사 결과, 그들 중 대다수에서 취약점들이 발견되었다. 분석 대상 어플리케이션들은 구글 플레이에 등록되어있는 앱들 중에서 34개가 임의로 선택되었다. (12일에서 이어짐)

Detailed News List

 

Crypto Currencies/Crypto Mining

Summaries

  • Oracle WebLogic Exploit이 암호화폐 채굴 캠페인에 사용되고 있다. 보안연구가들이 611 모네로 코인이 채굴된 것을 발견했다. 약 $22만 6천달러 규모다. 이 모네로 코인들은 전 세계의 취약한 서버들의 웹로직(WebLogic) 취약점을 공격해 채굴되었다. Monero 암호화폐 채굴기를 패치되지 않은 시스템에 유포하는 전 세계적인 캠페인이 벌어지고 있다. 공격자들은 지난 12월 말 중국 연구가인 Lian Zhang이 발표한 개념증명(PoC, Proof-of-Concept) 익스플로잇을 사용하고 있다. 오라클은 패치를 10월에 발표했다. (11일에서 이어짐)
  • WIFI 네트워크를 해킹해 채굴 스크립트를 심는 커피마이너(CoffeeMiner)라는 개념증명(PoC, Proof-of-Concept)프로젝트가 공개되었다. Arnau라는 이름의 개발자가 공개한 이 PoC 프로젝트는 커피마이너(CoffeeMiner)로, 공개 WiFi Network을 해킹해 암호화폐 채굴 코드를 접속하는 브라우저 세션에 주입한다. 개발자는 이 프로젝트가 얼마전 스타벅스 건에서 영감을 받았다고 설명했다. 커피마이너는 로컬 네트워크의 ARP(Address Resolution Protocol) 메시지를 스푸핑하여 동작한다. (7일에서 이어짐)

Detailed News List

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 페이스북이 2017년 한해동안 버그바운티에 88만 달러를 사용한 것으로 확인되었다. 페이스북은 2017년 한 해동안 12,000개가 넘는 취약점 정보를 받았고, 버그바운티로 보안연구가들에게 88만 달러를 지불했다. 정보당 평균 보상 금액도 2016년에 1,675 달러에서 1,900달러로 올라갔다.
  • 보안이벤트에서 퀴즈를 맞춘 사람에게 악성코드에 감염된 USB를 상품으로 제공하는 일이 벌어졌다. 타이완의 경찰이 지난 12월 11일에서 15일에 열린 데이터 보안 엑스포에서 250개의 8G USB 드라이브를 배포했다. Tapei Times에 따르면, 이 USB가 악성코드에 감염되어 있었다. 경찰(CBI, the Crime Investigation Bureau)은 감염에 대한 조사를 통해 54개의 드라이브가 XtbSeDuA.exe라는 이름의 악성코드 실행파일을 담고 있었다고 밝혔다.
  • 와이파이 얼라이언스(WiFi Alliance)가 월요일에 다음세대 무선 네트워크 보안 표준(standard)인 WPA3를 발표했다. 거의 20년이 되어가는 WPA2를 대체할 표준이다. WPA3에서의 주요 개선안 중 하나는 공개 와이파이 네트워크에서의 보안 문제를 해결하는데 초점을 두고있다. 공개 와이파이 네트워크에서 동일 네트워크에 존재하는 다른 장치들이 보내는 데이터를 가로챌(intercept)수 있는 문제점에 대해서, WPA3에서는 개별 데이터 암호화(individualized data encryption)를 제공한다. 또다른 주요 개선점은 무작위(brute-force)사전(dictionary) 공격에 대한 보호기능이다. 공격자가 WiFi 네트워크의 비밀번호를 유추하기 어렵게 만들었다. 새로운 WPA3 보안 프로토콜에서는 공격자가 비밀번호 유추를 여러번 반복해서 실패하면 차단(block) 한다. 2004년이후로 사용되는 WPA2는 four-Way Handshake 사용해 새로운 장치가 사전 공유(pre-shared)된 비밀번호로 네트워크에 참여할 수 있게 한다. WPA3에서는 새로운 종류의 handshake를 사용한다. Mathy Vanhoef에 따르면, 새로운 방식은 사전(dictionary) 공격에 취약하지 않을 것이라 한다. (10일에서 이어짐)

Detailed News List