DevHackDebug logo

[태그:] CVE-2017-0199

Security Newsletters, 2017 Dec 8th, Process Doppelgänging 外

Posted on by aDHDmin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 이란과 관련된 것으로 추정되는 사이버 스파이 그룹이 최근 패치된 마이크로소프트 오피스(Office)의 취약점을 사용해 표적 기관에 악성코드 유포를 진행하고 있다고 파이어아이(FireEye)가 목요일 발표했다. 이 스파이 그룹은 파이어아이에서는 APT34로, 타 기관에서는 OilRig으로 지칭된 그룹이며 최소 2014년부터 활동해 온 것으로 추정된다. 이 그룹은 금융, 정부, 에너지, 통신, 화학 분야의 기관을 공격 대상으로 삼고 있으며 특히 중동에 위치한 기관을 대상으로 한다. 4월에는 보안연구가들이 마이크로소프트가 패치를 발표한 직후 오피스 취약점 CVE-2017-0199를 공격에 사용하는 것을 확인했으며, 이번에는 마이크로소프트가 11월 14일에 패치한 CVE-2017-11882를 사용한 공격을 진행하고 있다. 이 취약점은 오피스에 17년간 존재한 방정식 편집기 컴포넌트에 영향을 주는 취약점을 공격한다.
  • 시만텍(Symantec)이 새로운 Adwind RAT(Remote Access Trojan) 변종을 유포하는 스팸메일에 대해서 경고했다. 이 악성코드는 사용자의 행동을 모니터링하고, 키 입력을 기록하며 스크린샷을 찍거나, 악성 파일을 다운로드하고 비디오 및 음성을 녹음할 수 있다. Adwind는 AlienSpy, Frutas, Unrecom, Sockrat, jRAT라고도 불리는 크로스플랫폼(cross-platform) 다기능 원격제어 트로이다. Adwind 메일은 JAR 파일이나 ZIP 파일을 첨부파일로 포함해 유포되고 있다.
  • 브라질 전자상거래에서 흔히 사용되는 지불방식인 Boleto의 송장으로 위장한 스팸메일이 유포되고 있다. 이 스팸메일들은 보통 브라질 기관들을 대상으로 유포된다. 다른 여타 스팸메일들 처럼 이 캠페인은 윈도우즈 컴퓨터들을 감염시키고 정보를 훔치려는 목적을 가지고 있다. 그러나 특이하게 이 캠페인에서 감염된 컴퓨터는 IRC(Internet Relay Chat) 트래픽을 발생시키는데, 모든 감염된 호스트들은 #MSESTRE 채널에 참여한다. 브라질 공식언어인 포르투갈어로 mestre는 master 또는 teacher를 의미한다.

Detailed News list

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 트렌드마이크로(TrendMicro)의 리포트에 따르면, 전세계 수백만 시스템을 감염시켰던 Conficker 웜이 9년이 지난 지금도 여전히 활발히 활동중이다. 이 웜은 제조, 헬스케어, 정부 분야의 조직에 강력한 위협으로 남아 있을 정도로 악성코드 방지 시스템에 의해 지속적으로 탐지되고 있다. Conficker 웜이 처음 등장한 것은 2008년이다. 이번주에 트렌드 마이크로가 발표한 리포트에 따르면, Downad라 불리는 웜은 이번 해에만 330,000건이 탐지되고 차단되었다. 이 수치는 트렌드 마이크로가 Conficker를 2016년에는 3000,000건, 2015년에는 290,000건을 탐지하고 차단한 수치와 거의 일치한다. 2008년에 처음 등장한 Conficker 웜은 처음 등장시 전세계 약 900만대의 놀라운 숫자의 컴퓨터 시스템을 감염시켰다.
  • 유명 모바일 뱅킹 앱이 중간자(MitM, Man-in-the-Middle) 공격에 취약한 것으로 드러났다. 보안연구가들이 유명 뱅킹 앱에서 인증정보를 해커에게 노출시킬 수 잇는 취약점을 발견했다. 이 취약점은 버밍엄 대학교(University of Birmingham)의 보안 및 프라이버시 그룹(Security and Privacy Group)의 연구가에 의해 발견되었다. 이 연구가는 수백개의 iOS 및 Android 뱅킹 앱을 분석했다. 이 연구에서 다수의 뱅킹 앱이 MitM 공격에 취약한 것으로 드러났으며, 영향을 받는 앱에는 Allied Irish bank와 Co-op, HSBC, NatWest, Santander등이 포함된다.
  • 유명 블로깅 웹 어플리케이션인 워드프레스(WordPress)를 사용하는 사이트에서 키로거가 발경되었다. 수천개의 워드프레스 사이트가 사용자의 입력을 가로채는 악성코드에 감염된 것이 발견되었다. 이 감염은 cloudflare.solutions이라는 악성코드로 웹사이트가 감염되었던 지난 4월의 캠페인 중 일부이다. 과거에 탐지되었을 당시에는 암호화폐를 채굴하는 기능이 포함되어 있었으며, 지금은 키로깅 기능이 포함되어 있다. 기사가 작성될 당시 cloudflare.solutions 악성코드는 5,495개의 웹사이트에 감염되어 있었으며 이 숫자는 증가하고 있는 것으로 보인다.
  • 윈도우즈의 버젼 및 안티바이러스 제품과 관계없이 윈도우즈 장치를 감염시킬 수 있는 Process Doppelgänging 이라는 공격기법이 엔드포인트 보안 기업 enSiol의 보안연구가에 의해 확인되었다. 프로세스 도플갱잉(Process Doppelgänging)은 런던에서 열린 블랙햇 유럽 2017(Black Hat Europe 2017) 보안 컨퍼런스에서 시연되었으며, 파일을 사용하지 않는(fileless) 코드 인젝션 기술(code injection technique)이나. 이 기법은 악성이라 알려진 파일지라도 그 파일을 조작된 윈도우즈 핸들러의 파일 트랜젝션(transaction) 프로세스에 전달하는 방법이다. 이 공격에서는 NTFS 트랜잭션을 이용하는데, 정상적인 파일을 트랜잭션 컨텐스트에서 덮어쓰기(overwrite)한다. 그리고 트랜잭션 컨텍스트 내의 수정된 파일에서 섹션을 만들고, 프로세스를 생성한다. 이렇게 트랜잭션 중에 있는 파일을 스캔하는 것은 현재로서는 불가능 한 것으로 보이며, 트랜잭션을 취소(rollback)하게 되면 흔적이 남지 않게 된다.

Detailed News List

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 지난 달 미 검찰에 의해 HBO에 대한 해킹으로 기소된 Behzad Mesri가 이란 스파이 그룹과 관련이 있다는 기사가 나왔다. 보안기업 ClearSKy가 새로운 리포트를 공개했다. 이 리포트에서는 Charming Kitten또는 Newscaster, NewsBeef라는 이름으로 알려진 스파이 그룹의 활동을 자세히 다뤘다. 이 그룹은 2014년 부터 활동해 왔으며, 이란, 미국, 이스라엘, 영국 및 기타 여러국가의 여러 단체들을 공격 대상으로 삼았다. 그리고 이들의 공격 대상에는 종종 학술 연구, 인권 및 언론과 관련된 개인들도 포함되었다. (7일에서 이어짐)

Detailed News List

 

Vulnerability Patches/Software Updates

Summaries

  • OpenSSL의 취약점이 패치되었다. OpenSSL 프로젝트가 목요일에 구글 연구가가 발견한 두가지 취약점이 패치된 OpenSSL 1.0.2n 버젼을 공개했다. 이 취약점은 구글 연구가 David Benjamin이 앞서 발표했던 OSS-Fuzz라는 퍼싱 서비스를 사용해 발견한 취약점이다. (11월 3일자 뉴스모음) 취약점 중 하나는 CVE-2017-3737이며, 다른 하나는 CVE-2017-3738이다.
  • 치명적인 취약점이 마이크로소프트(Microsoft)의 악성코드 보호 엔진(MPE, Malware Protection Engine)에서 발견되어 마이크로소프트가 목요일에 이에 대한 패치를 공개했다. 이 취약점은 공격자가 공격대상 컴퓨터를 완전히 장악할 수 있게 한다. 윈도우즈10용 윈도우즈 디펜더(Windows Defender)를 포함한 다양한 마이크로소프트의 보안 제품들이 영향을 받는다. 마이크로소프트 악성코드 보호 엔진은 마이크로소프트의 모든 제품의들의 안티바이러스 및 안티스파이웨어 프로그램에 핵심 기능을 제공한다. 마이크로소프트에 따르면, 아직까지 이 취약점이 실제 공격에 사용되고 있다는 흔적은 발견되지 않았다.
  • 크롬이 63 업데이트에서 더욱 강력한 보호기능을 제공한다. 어제 공개된 크롬 63에서는 기업 마켓을 겨냥한 새로운 보안 기능 개선사항들이 포함되었다. 그 첫번째로는 사이트 고립(site isolation) 기능이다. 크롬이 처음부터 사용해왔던 다중 프로세스 모델(multiple process model)의 한층 더 엄격한 버젼이다. 크롬은 여러가지 보안 및 안정화 이유로 다중 프로세스를 사용한다. 안정성면에서는 하나의 탭이 충돌하더라도 기타 다른 탭이나 브라우저 그 자체는 영향을 받지 않는다. 보안적인 면에서는 다중 프로세스를 사용함으로 인해서 악성코드가 하나의 사이트에서 다른 사이트의 비밀번호 입력과 같은 정보를 훔치기 어려워진다.

Detailed News List

 

Privacy

Summaries

  • 애플이 사용자의 프라이버시를 해치지 않으면서 사용자의 정보를 수집하고 있다고 주장했다. 애플은 최근 어떻게 사용자의 개인정보를 연관시키지 않으면서 정보를 수집하는지에 대해 밝혔다. 최근 애플의 머신러닝 저널에 공개된 포스트에 따르면, 애플은 민감 사용자 데이터를 그들 고객의 프라이버시를 지키면서도 수집할 수 있게하는 알고리즘을 개발했다. 사용자가 누군이지 드러내지 않으면서 정보를 얻기 위해서, 애플은 iOS10을 릴리즈하면서 차등 개인정보(local differential privacy)를 사용하는 시스템 구조(system architecture)를 개발했다. 포스트에 따르면 이 아이디어는 신중히 조정된 노이즈를 사용해 사용자 데이터를 가리는데 사용하는 것에 근원을 두고 있으며, 많은 사용자들이 데이터를 제공할 때, 추가된 잡음(noise)이 평균화되고(added averages out) 의미있는 정보가 나타난다. 지역 차등 프라이버시(local differential privacy)를 사용하면서 사용자 데이터는 장치에서 전송되기 전에 랜덤화(randomized)되고, 서버는 원본 데이터(raw data)를 보거나 수신할 수 없게 된다.

Detailed News List

 

Data Breaches/Info Leakages

Summaries

  • 나이스해시(NiceHash)가 해킹당해 수천 비트코인을 도둑맞았다. 암호화폐 채굴 마켓인 나이스해시(NiceHash)가 해킹으로 전체 비트코인 지갑을 잃게 되었다고 발표했다. 나이스해시는 사용자들이 자신의 컴퓨터 사이클을 암호화폐 채굴을 위해 사고파는 마켓이다. 나이스해시는 수요일 정오에 성명을 발표했는데 NiceHash 웹 사이트에 보안 침해가 있었으며, 지불 시스템이 완전히 침해당해 나이스해시의 비트코인 지갑을 도둑맞았다고 발표했다. 나이스해시가 정확한 금액을 밝히지는 않았지만, 추정되는 금액은 약 6천만 달러에 달할 것으로 보인다.
  • 우버(Uber)가 해킹한 사람을 확인하고 추가 사고를 막기위해 정보 공개를 하지 않겠다는 약속을 받는 목적으로 10만 달러의 금액을 그들의 버그바운티 프로그램(bug bounty program)에서 지불한 것으로 로이터 통신이 보도했다. 로이터 통신이 이 침해사고에 대해 잘 알고있는 익명의 소식통으로부터 입수한 바에 따르면, 해커는 20세의 플로리다의 남성으로 우버는 이 사람의 컴퓨터에서 포렌식 수사를 진행했으며, 훔친 정보를 삭제한 것이 맞는지 확인하는 과정을 거쳤다.
  • 유명 키보드 앱이 3100만명의 사용자 개인정보를 수집하고 이 정보를 유출시키는 사고가 있었다. 문제는 앱 제조사의 데이터베이스가 비밀번호로 보호되고 있지 않았기 때문이었다. 서버는 전세계 4000만명 이상의 사용자가 사용하는 개인화 가능한 온스크린(on-screen) 키보드 앱인 AI.type의 공동설립자 Eitan Fitusi의 소유다. 서버가 비밀번호로 보호되어있지 않아서 누구나 사용자 레코드에 접근이 가능했고, 데이터베이스에는 577기가바이트 이상의 민감 정보가 존재했다. 해당 내용을 발견한 Kromtech Security Center에서 연락을 취한 후 보안설정이 되었으나, Fitusi는 이에대한 답변을 하지 않았다. 노출된 데이터는 사용자 이름, 이메일 주소, 앱 설치기간 이었고, 사용자의 도시와 국가와 같은 위치정보도 포함되어 있었다. 무료버젼을 사용하는 사용자 정보는 더 자세한 정보도 존재했다. 장치의 IMSI와 IMEI 번호, 장치의 제조번호 및 모델정보, 화면 해상도, 안드로이드 정보와 같은 중요 정보들도 존재했다. (6일에서 이어짐)

Detailed News List

 

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

  • 다수의 산업용 지멘스(Siemens) 제품들에서 심각한 취약점이 발견되었다. 다수의 산업용 장비들에서 공격자가 원격으로 시스템을 서비스거부(DoS, Denial-of-Service) 상태로 만들 수 있는 취약점이 발견되었다. 이 취약점은 CyberX의 연구가들에 의해 지멘스에 보고되었으며, CVE-2017-12741로 높은 심각성(high severity)등급으로 분류되었다. 지멘스에 따르면 영향받는 제품들은 SIMATIC S7-200 Smart micro-PLCs for small automation applications, 일부 SIMATIC S7 CPUs, SIMATIC WinAC RTX 소프트웨어 컨트롤러(software controllers), SIMATIC ET 200 PROFINET 인터페이스 모듈(interface modules), SIMATIC PN/PN 커플러(couplers), SIMATIC Compact field units, PROFINET IO의 개발 도구(development kits), SIMOTION 동작 제어 시스템(motion control systems), SINAMICS 컨버터(converters), SINUMERIK CNC 자동화 제품(automation solutions), SIMOCODE 모터 관리 시스템(motor management systems), SIRIUS 3RW motor soft starters 다.

Detailed News List

 

Internet of Things

Summaries

  • 다수의 차량을 포함한 온갖 기기들이 점차 더 많이 네트워크에 연결되기 시작하면서, 이를 걱정하는 기사들이 이어지고 있다. 해커들이 인터넷에 접속된 차량에 침입하게 되면 에어백이나 브레이크, 잠금장치 등을 무력화 할 수 있고 차량을 훔칠 수도 있다. 최근에 테슬라(Tesla)차량이 중국 해커들에 의해 해킹된 최근의 사건에 주목할만 하다.
  • 사토리(Satori)봇넷이라 이름 붙은, 라우터(Router)의 제로데이에 기반한 봇넷 공격이 임박했다고 하는 기사가 나왔다. 새로운 Mirai 변종이 공격준비가 끝났다는 것이다. 14개월 전 소스코드가 공개된 이후, 봇넷 운영자들은 새로운 버젼을 계속적으로 릴리즈해 왔다. 가장 최근의 변종에서는 근래에 발견된 가정 및 소규모 사무실용으로 많이 사용되는 라우터를 취약점을 공격하는 기능이 들어가있다. 이 취약점은 강력한 암호를 설정해 놓고너 원격 관리기능(remote administration)을 꺼 놓아도 공격가능하다. 영향을 받는 화웨이(Huawei) 장치 중 하나는 EchoLife Home Gateway이고 다른 하나는 Huawei Home Gateway다. 약 90,000에서 100,000대의 새로 감염된 장치들이 두 화웨이 라우터 모델 중 하나다. 새로운 악성코드는 다른 장치들을 대상으로 공격하기 위한 65,000개의 사용자 이름 및 비밀번호 사전을 갖추고있다. (6일에서 이어짐)

Detailed News List

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 안드로이드 랜섬웨어 킷(Android Ransomware Kits)이 다크넷에서 붐이 일고 있다. 이번해에 지금까지 5,000개 이상의 안드로이드 랜섬웨어 킷이 존재하는 것이 확인되었으며, 평균 가격은 $200이다. 대다수의 랜섬웨어 키트는 여전히 윈도우즈 시스템을 대상으로 하고있다. 그러나 새로나온 리포트에 따르면, 안드로이드 랜섬웨어 키트가 비싼 값에 거래되고 있으며, 그 판매량과 가격이 증가할 것으로 예상된다. 안드로이드 랜섬웨어 키트는 윈도우즈 랜섬웨어 키트가 평균 $10라는 가격에 판매되는 것에 비해 평균 $200라는 20배 높은 가격으로 판매되고 있다고 카본블랙(Carbon Black)이 발표했다. 이 랜섬웨어 키트의 가격은 $250에서 $850선이다.

Detailed News List

 

Crypto Currencies/Crypto Mining

Summaries

  • StorageCrypt 랜섬웨어가 SambaCry 익스플로잇을 사용해 NAS 장치들을 노리고있다. 새로운 종류의 랜섬웨어가 5월에 패치된 SambaCry 취약점을 사용해 NAS(Network-Attached Storage) 장치를 노리고 있다. StorageCrypt라 명명된 이 랜섬웨어는 0.4에서 2비트코인을 암호화 파일을 풀어주는 것에 대한 몸값으로 요구한다. NAS 장치를 감염시키기 위해서 StroageCrypt는 리눅스 삼바(Samba) 취약점(CVE-2017-7494)을 이용한다. (7일에서 이어짐)

Detailed News List