Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Distributed Denial of Service

Security Newsletters, 2018 Mar 9th, Memcached 증폭공격 킬 스위치 外

Posted on 2018-03-09 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 북한의 사이버 스파이 그룹이 터키 금융 기관들을 대상으로 사이버 공격을 진행중이라는 리포트가 나왔다. 히든코브라(Hidden Corba)라고도 불리는 북한과 관련된 것으로 추정되는 해킹그룹이 터키의 금융 기관으로 눈을 돌린 것으로 보인다. McAfee는 목요일 리포트를 통해 이와같이 밝혔다. 맥아피가 발견한 악성코드는 Bankshot이라 명명되었으며 2017년에 발견되었고, 장악한 침해 시스템에서의 추후 공격을 위한 영속성 확보를 위해 설계되었다.
  • 평창 동계 올림픽에 대한 사이버 공격의 배후가 북한이 아니었으며, 북한으로 보이도록 의도적으로 위장한 공격이었다는 리포트가 이어졌다. 2018 동계 올림픽 인프라에 장애를 가져왔던 악성코드에 대한 면밀한 조사결과, 그 배후가 북한으로 보이도록 만들기 위한 의도가 있었는 리포트가 공개되었다. 평창동계올림픽 첫날 Olympic Destroyer라는 악성코드에 의해 매인 웹사이트가 다운되고 행사장 주변 WiFi 네트워크가 중단되며, 서버의 데이터가 지워지는 사태가 발생했었다. 그리고 이어지는 몇주간 여러 공격들이 Lazarus Group이라고도 알려진 북한 배후의 해킹그룹의 소행이라는 분석이 계속되었다. 그러나 이번에 카스퍼스키랩 엔지니어들은 Lazarus Group이 코드를 작성하지 않았다고 주장한다.

Detailed News list

  • NK Targeting Turkish Financial Orgs
    • [DarkReading]
      North Korea Threat Group Targeting Turkish Financial Orgs
    • [InfoSecurityMagazine]
      Hidden Cobra Coils and Strikes at Turkish Banks
    • [McAfee]
      Hidden Cobra Targets Turkish Financial Sector With New Bankshot Implant
  • False Flag
    • [DarkReading]
      Olympic Destroyer’s ‘False Flag’ Changes the Game
    • [TheRegister]
      Analysis suggests North Korea not behind Olympic Destroyer malware attack
    • [SecurityWeek]
      Sophisticated False Flags Planted in Olympic Destroyer Malware
    • [ThreatPost]
      Olympic Destroyer: A False Flag Confusion Bomb
    • [Securelist]
      OlympicDestroyer is here to trick the industry

 

Exploits/Vulnerabilities

Summaries

  • Memcached 취약점을 이용한 DDoS 증폭 공격에 관련된 기사가 이어지는 가운데, 이 공격을 중단시킬 수 있는 킬스위치(Killswitch)가 발견되었다는 기사가 공개되었다. Memcached의 취약점을 이용한 DDoS 공격이 나날이 신기록을 갱신하는 가운데, 누군가 증폭공격(amplification attack)의 개념증명(PoC, Proof-of-Concept)코드를 공개해 상황이 더 악화되는 것으로 보였다. GitHub은 최초 공격대상으로 1.35Tbps의 DDoS를 겪었으며, 알려지지 않은 미국의 회사는 1.7Tbps라는 사상최고치의 DDoS 공격을 당했다. 그러나 이번에는 Coreno Network Security에서 Kill Switch를 발견했으며, 이 DDoS 공격을 예방할 수 있다고 밝혔다. 연구자들에 따르면, 이번에 확인된 킬 스위치는 악성 페이로드를 포함한 취약한 서버의 캐시를 무효화해서, DDoS 공격을 제어하기 위한 명령을 공격자의 서버로 되돌려보낸다. Corero의 연구자들은 이미 공격 서버에 대해 테스트를 진행하고 100% 효과적임을 확인했다고 밝혔다.

Detailed News List

  • Killswitch for Memcached DDoS Attack
    • [InformationSecurityBuzz]
      On Discovery Of Memcached DDoS Attack Kill Switch
    • [InfoSecResources]
      Memcrashed – the dangerous trend behind the biggest-ever DDoS attack
    • [HackRead]
      Kill Switch Can Mitigate Massive DDoS Attacks Via Memcached Servers
    • [SecurityAffairs]
      Corero Network discovered a Kill Switch for Memcached DDoS attacks
    • [SecurityAffairs]
      Two PoC exploits for Memcached DDoS attacks have been released online
    • [WeLiveSecurity]
      New DDoS attack method breaks record again, adds extortion
    • [BankInfoSecurity]
      Memcached DDoS Attacks: 95,000 Servers Vulnerable to Abuse
    • [ZDNet]
      Memcached DDoS: This ‘kill switch’ can stop attacks dead in their tracks
    • [InfoSecurityMagazine]
      Memcached Flaw Kill Switch Could Foil DDoS-ers
    • [TheHackerNews]
      ‘Kill Switch’ to Mitigate Memcached DDoS Attacks — Flush ‘Em All

 

Vulnerability Patches/Software Updates

Summaries

  • Cisco에서 Cisco 제품 소프트웨어의 하드코딩된 비밀번호를 포함해 치명적인 취약점들을 수정했다. 최근 시스코에서 릴리즈한 보안 업데이트에 두가지 치명적인 취약점에 대한 권고문이 포함되었다. 첫번째는 하드코딩된 비밀번호로, CVE-2018-0141이다. 로컬의 공격자가 대상 장치를 완전하게 제어할 수 있는 취약점이다. 두번째 취약점은 CVE-2018-0147로, 자바 deserialization 취약점이다. Cisco Access Control System(ACS)에 영향을 미치며, 인증받지않은(unauthenticated) 원격의 공격자가 취약한 장비에서 임의의 명령을 root 권한으로 실행시킬 수 있다.

Detailed News List

  • Cisco
    • [TheHackerNews]
      Hard-Coded Password in Cisco Software Lets Attackers Take Over Linux Servers
    • [SecurityAffairs]
      Hardcoded password and Java deserialization flaws found in Cisco products
    • [ZDNet]
      Cisco: Update now to fix critical hardcoded password bug, remote code execution flaw
    • [HelpNetSecurity]
      Cisco fixes critical flaw in its Secure Access Control System
    • [TheRegister]
      Sigh. Cisco security kit has Java deserialisation bug and a default password SNAFU

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 독일 경찰이 다크웹 마켓 Hansa를 수사하는 과정에서 어떻게 관리자 권한을 획득할 수 있었는지에 대해서 자세한 내용을 공개했다. Hansa 다크웹 마켓에 대한 체포는 독일 경찰에 의해 국영방송으로 생중계 되었다. 이는 수사관들이 사이트를 운영하고 있었기에 가능했다. 그리고 지난 목요일 어떻게 이런일이 가능했는지에 대해 공개했다. 2016년 비트디펜더(Bitdefender)는 독일경찰에게 Hansa가 네덜란드에서 호스팅되고 있음을 귀띔해줬다. 이 소식을 들은 독일은, 여러 단계로 나누어 Hansa의 명성을 무너뜨리고, 모든 공급업자를 확인하며, 그들의 BitCoin을 압수할 계획을 세웠다. 2016년 10월, 경찰은 Hansa의 private 서버의 복사본을 만들어 그들 자체 네트워크내에 재구성했다. 그리고 관리자 페이지와 독일국적의 사이트 운영자 두명의 채팅로그를 확보했다.

Detailed News List

  • Dutch police and Hansa
    • [TheRegister]
      Dutch police detail how they became the admins for Hansa dark web market

 

Crypto Currencies/Crypto Mining

Summaries

  • 새로운 채굴 악성코드가 발견되었다. 이 악성코드는 단 몇시간만에 50만대 이상의 컴퓨터를 감염시키는 확산 속도를 보여줬다. Dofoil 또는 Smoke Loader라 명명된 이 악성코드는 감염된 윈도우즈 컴퓨터에서 일렉트로니움 코인을 채굴하는 암호화폐 채굴기를 드랍한다. 3월 6일 윈도우즈 디펜더에서 갑작스레 8만대의 Dofoil 변종이 탐지되어 Microsoft Defender research department에 경고가 발령되었다. 이후 12시간동안 40만대 이상의 감염이 기록되었다. 연구팀에서는 러시아, 터키, 우크라이나에 걸쳐 진행된 이 확산이 암호화폐 채굴 페이로드를 운반하며, 탐지 회피를 위해 적법한 윈도우즈 바이너리로 위장한 것을 확인했다.

Detailed News List

  • Mining Malware
    • [InfoSecurityMagazine]
      Massive Coin-Mining Attempt Targets Nearly Half a Million PCs
    • [TheHackerNews]
      New Cryptocurrency Mining Malware Infected Over 500,000 PCs in Just Few Hours

 

Posted in Security, Security NewsTagged Amplification attack, Bankshot, Crypto Currency, Cryptocurrency Mining, CVE-2018-0141, CVE-2018-0147, Cyber Espionage, Dark Web, DDoS, Distributed Denial of Service, Dofoil, False Flag, Lazarus Group, Olympic Destroyer, Patches, Smoke Loader, VulnerabilityLeave a comment

Security Newsletters, 2018 Mar 8th, EXIM MTA 원격코드실행 취약점 外

Posted on 2018-03-08 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 몇년 전 Shadow Brokers라는 해커그룹에 의해 NSA로 부터 유출된 파일에서 타국의 해커들을 추적하기 위해 사용된 도구가 확인되었다. 이번에 발견된 이 도구들은 미국의 NSA(National Security Agency)에 의해 개발되었으며, 그들이 해킹한 기기에서 타국의 해커들의 존재를 탐지하기 위한 목적으로 사용된 것으로 보인다. 작년에 유출된 이 파일들 중 “Territorial Dispute”라 명명된 일련의 모듈이 있다. CrySyS Lab의 연구자들이 이 파일들에 대한 조사를 진행했고, Territorial Dispute 툴이 다른 해커들이 존재하는지를 탐지하기 위한 목적을 가지고 설계되었다는 결론을 내렸다. CrySyS에 따르면, 이 툴은 비교적 간단하다. 목표 기기에서 이미 알려져있는 APT공격들과 관련된 특정 파일이나 윈도우즈 레지스트리, 기타 침해지표(IOCs, Indicators of Compromise)들을 검색한다. 연구자들은 이 툴들의 목표가 우방들과의 충돌을 피하고, NSA의 악성코드가 탐지되는 일을 피하기 위한 것으로 보고있다.

Detailed News list

  • NSA
    • [SecurityWeek]
      NSA Used Simple Tools to Detect Other State Actors on Hacked Devices
    • [TheHackerNews]
      Leaked NSA Dump Also Contains Tools Agency Used to Track Other Hackers

 

Exploits/Vulnerabilities

Summaries

  • 오픈소스 메일서버인 Exim에서 원격 코드실행이 가능한 버퍼오버플로우 취약점이 발견되었다. 약 40만대의 서버가 취약한 상태인 것으로 추정된다. 4.90.1 이전의 모든 버젼의 Exim MTA(Message transfer agent)가 공격에 취약하다. Devcore Security Consulting의 Meh Chang이 2월 2일 이 버그에 관해 Exim에 알렸고, 5일 후 패치가 릴리즈 되었다. 그러나 Chang에 따르면 아직 약 40만대의 서버가 취약한 버젼의 Exim을 운영중인 것으로 추정된다.
  • Memcached의 취약점을 사용한 DDoS 공격이 진행중이다. Memcached는 무료 오픈소스 분산 메모리 캐싱 시스템이다. 클라이언트들은 memcached 서버와 TCP 또는 UDP 11211 포트로 통신을 하게 된다. 클라우드플레어(Cloudflare) 및 Arbor Networks와 중국 보안기업인 Qihoo 360에 따르면, memcached가 DDoS amplification 공격에 사용되고 있다. 이 공격은 Memcrashed라 명명되었다. 공격자들은 UDP가 활성화 되어 있으면서, 보안설정이 되지 않은 memcached 서버를 이용하고 있다. 여타 다른 amplification 방식과 유사하게, 공격자는 대상 서버의 11211포트에 피해자 IP로 스푸핑된 IP주소를 사용하여 요청을 전송한다. 서버로 전송되는 이 요청은 몇 바이트밖에 안되지만, 응답으로 보내지는 양은 공격에 이를 수 있는 많은 양이 전송되게 된다. (2월 28일에서 이어짐)

Detailed News List

  • Exim
    • [NakedSecurity]
      Patch now! Half a million Exim mail servers need an urgent update
    • [TheRegister]
      Buffer overflow in Unix mailer Exim imperils 400,000 email servers
    • [GrahamCluley]
      400,000 servers at risk if open-source Exim remote attack bug is left unpatched
    • [ZDNet]
      Open-source Exim remote attack bug: 400,000 servers still vulnerable, patch now
    • [HelpNetSecurity]
      Exim vulnerability opens 400,000 servers to remote code execution
    • [SecurityAffairs]
      RCE flaw in Exim MTA affects half of the email servers online
  • Memcached
    • [HackRead]
      Memcached DDoS Attack PoC Code & 17,000 IP addresses Posted Online
    • [SecurityWeek]
      Memcached DDoS Attack ‘Kill Switch’ Found
    • [TheHackerNews]
      Memcached DDoS Exploit Code and List of 17,000 Vulnerable Servers Released
    • [DarkReading]
      Memcached DDoS Attack: Kill Switch, New Details Disclosed

 

Vulnerability Patches/Software Updates

Summaries

  • 구글이 크롬 패치를 릴리즈하면서 45개의 취약점을 수정했다. 이 취약점들 중 27개는 외부 연구자들에 의해 발견된 것들이다. 수정된 버그들 중 중요한 것들로 두가지의 High risk등급의 Flash use after free 버그가 있다. CVE-2018-6058, CVE-2018-6059 둘 다 JieZeng이라는 Tencent Zhanlu Lab 연구자에 의해 제보된 취약점이다.

Detailed News List

  • Google Chrome
    • [ZDNet]
      Chrome 65 rolls out: You’re getting a stronger redirect blocker, 45 security fixes
    • [SecurityWeek]
      Chrome 65 Patches 45 Vulnerabilities
    • [HackersOnlineClub]
      Google Chrome 65 Released For Mac, Windows And Linux OS With New Security Features
    • [US-CERT]
      Google Releases Security Update for Chrome

 

Posted in Security, Security NewsTagged Amplification attack, Cyber Espionage, Data Breach, DDoS, Distributed Denial of Service, Indicator of Compromise, Information Leakage, IOC, Patches, Territorial Dispute, VulnerabilityLeave a comment

Security Newsletters, 2018 Mar 7th, 라이벌 종료시키는 채굴 악성코드 外

Posted on 2018-03-07 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares

Summaries

  • Combojack이라 명명된, 가상화폐를 훔치는 새로운 악성코드가 Palo Alto Networks Unit 42와 Proofpoint 연구자들에 의해 확인되었다. 이 악성코드는 미국 및 일본의 사용자들에게 이메일 스팸 캠페인을 통해 유포되고 있다. 유포되는 악성 이메일은 “Re: Passport…”와 같은 제목을 사용하며, 여권을 스캔한 것 처럼 보이는 PDF파일을 첨부해 사용자에게 실수로 여권 사본이 전달된 것 처럼 가장한다. 이렇게 전달되는 파일을 통해서 DirectX 취약점 CVE-2017-8579를 공격하고 HTA 스크립트를 로드한다. 이 스크립트는 악성코드를 다운로드 하기 위해서 PowerShell 스크립트를 실행한다. ComboJack 악성코드는 클립보드에 존재하는 가상화폐 지갑 주소를 공격자의 주소로 바꿔치기해 돈을 가로챈다. 2017년 확인된 CryptoShuffler 악성코드와 동일한 방식이다.

Detailed News List

  • ComboJack
    • [HackRead]
      ComboJack Malware Steals Cryptocurrency by Modifying Addresses
    • [SecurityWeek]
      “ComboJack” Malware Steals Multiple Virtual Currencies
    • [SecurityAffairs]
      ComboJack Malware alters Windows clipboards to steal cryptocurrencies and payments
    • [ZDNet]
      ComboJack malware tries to steal your cryptocurrency by changing the data in your clipboard

 

Vulnerability Patches/Software Updates

Summaries

  • 구글에서 이번주 안드로이드 운영체제에 존재하는 11개 취약점을 수정했다. 수정된 취약점 중 7건은 원격 코드 실행(RCE, Remote Code Execution)버그였다. 전체적으로는 37개의 취약점이 수정되었으며, 26개가 high 등급으로 분류되었다.

Detailed News List

  • Google
    • [ThreatPost]
      Google Patches 11 Critical Bugs in March Android Security Bulletin
    • [SecurityWeek]
      Android’s March 2018 Patches Fix Critical, High Risk Flaws

 

Data Breaches/Info Leakages

Summaries

  • NIS(Nippon Ichi Software)가 해킹을 당해, 그들의 미 온라인 상점중 두 곳의 고객들에 대한 신용카드 사기의 위험성이 있음을 인정했다. 지난 3월 1일 SNS와 이메일로 전달된 내용에 따르면, NIS는 침해사고가 nisamerica와 snkonlinestore에 영향을 미쳤으며 1월 23일에 발생해 지난 2월 26일에 발견되기까지 지속되었다고 밝혔다. 그리고 지불 정보(payment information)을 포함한 개인정보가 침해당했을 가능성이 있다고 밝혔다. 침해사고에 대한 공개 이후, 피해자들에게 향후 구매시 $5를 할인해주는 바우처를 제공해 논란이 되고있다.
  • 일부 애플비(AppleBee)매장의 PoS에서 신용카드 정보가 유출되는 사건이 발생했다. RMH Franchise Holdings에서 Applebee 레스토랑의 PoS 시스템이 악성코드에 감염된 것을 지난 주 확인했다. 발견된 PoS 악성코드가 수집한 정보는 이름, 신용카드 번호, 만료일, 카드 식별 코드(card verification codes)다. (6일에서 이어짐)

Detailed News List

  • $5 Voucher
    • [InformationSecurityBuzz]
      NIS America Hacked, Offers $5 To Next Purchase After Credit Card Data Stolen
    • [TripWire]
      Video Game Developer Gave Customers $5 Voucher after Data Breach
    • [NakedSecurity]
      Games site customers offered $5 voucher after credit card breach
  • Applebee
    • [ThreatPost]
      POS Malware Found at 160 Applebee’s Restaurant Locations
    • [BankInfoSecurity]
      167 Applebee’s Restaurants Hit With Payment Card Malware
    • [InfoSecurityMagazine]
      Applebee’s Hit by POS Malware
    • [BankInfoSecurity]
      172 Applebee’s Restaurants Hit With Payment Card Malware

 

Mobile/Cloud

Summaries

  • 지난 2월 28일 이스라엘에 위치한 Cellebrite사가 모든 애플 기기의 잠금을 해제할 수 있는 기술을 개발했다는 기사 발표 이후, Grayshift라는 회사에서도 iPhone X와 8의 암호화를 깰 수 있다고 주장하는 기사가 나왔다. 리포트에 따르면, 미국에 위치한 Grayshift는 GrayKey라는 도구를 개발했으며 이 도구를 이용하면 iOS 장치에서 파일시스템 전체를 추출할 수 있고 비밀번호를 브루트포스 공격하여 알아내거나 잠금해제를 위해 보안기능을 우회할 수 있다.

Detailed News List

  • Grayshift can crack iPhone
    • [HackRead]
      After Cellebrite, Grayshift Claims to Crack Encrypted iPhone X & 8

 

Service Outage/Malfunction

Summaries

  • 지난주 아카마이(Akamai)에서 관측한 GitHub에 대한 1.3Tbps의 대규모 DDoS 공격에 이어, 이번에는 NETSCOUT Arbor에 의해 1.7Tbps라는 사상 최대 규모의 DDoS가 관측되었다. 공격은 GitHub에 사용되었던 방식과 동일한 memcached reflection/amplification 공격 벡터를 이용했다. (6일에서 이어짐)
  • GitHub에 대한 1.35Tbps의 대규모의 분산서비스거부(DDoS, Distributed Denial of Service) 공격이 있었다. GitHub이 28일 수요일에 일련의 대규모 DDoS 공격을 당했다. 첫번째 공격에서 Github의 웹사이트는 초당 1.35 테라바이트의의 공격을 받았고, 두번째 공격에서는 Github의 네트워크 모니터링 시스템에서 400Gbps를 기록했다. 공격은 8분간 지속되었고, 지금까지 확인된 DDoS 공격 중 가장 큰 규모의 공격이다. 프랑스의 통신회사 OVH와 Dyn DNS도 1Tbps의 DDoS 공격을 겪은 바 있다. 이 공격들은 IoT 장치를 감염시키는 Mirai에 의한 것이었다. 그러나 이번의 DDoS 공격은 Memcached 서버의 취약점으로 인한 것일 수 있다. (3일에서 이어짐)

Detailed News List

  • 1.7Tbps DDoS Attack
    • [HackRead]
      World’s Largest DDoS Attack: US Firm Suffers 1.7 Tbps of DDoS Attack
    • [GrahamCluley]
      World record broken again! DDoS attack exceeds 1.7 terabits per second
    • [ZDNet]
      New world record DDoS attack hits 1.7Tbps days after landmark GitHub outage
    • [CyberScoop]
      Arbor Networks reports record-breaking 1.7Tbps DDoS attack
    • [TheHackerNews]
      1.7 Tbps DDoS Attack — ​Memcached UDP Reflections Set New Record
    • [SecurityAffairs]
      World’s largest DDoS attack record broken by a new memcached DDoS attack
    • [TheRegister]
      World’s biggest DDoS attack record broken after just five days
  • GitHub DDoS Attack
    • [Anomali]
      WTB: GitHub Survived the Biggest DDoS Attack Ever Recorded

 

Crypto Currencies/Crypto Mining

Summaries

  • 라이벌 채굴 악성코드를 공격하는 채굴 악성코드가 발견되었다. 이 채굴 악성코드는 SANS Internet Storm Center의 Xavier Mertens에 의해 처음 확인되었다. Mertens는 이 파워쉘 스크립트를 3월 4일에 발견했으며, 이 스크립트가 실행되는 장치에서 CPU를 많이 점유하는 기타 다른 프로세스들을 종료시킨다고 말했다. 감염 전 단계에서, 이 공격 스크립트는 공격대상 기기가 32비트인지 64비트인지 확인하며, hpdriver.exe 또는 hpw64로 알려진 파일을 다운로드 한다. 성공적으로 설치한 이후에는, 실행중인 프로세스 목록을 확인하여 공격대상 프로세스들을 종료한다. 이 공격대상 프로세스 목록에는 평범한 윈도우즈 관련 내용과 더불어 라이벌 채굴 악성코드 관련된 내용들도 포함되어 있다.

Detailed News List

  • Miner vs Miner
    • [TheRegister]
      Miner vs miner: Attack script seeks out and destroys competing currency crafters

 

Posted in Security, Security NewsTagged Combojack, Crypto, Crypto Currency, Cryptocurrency Mining, CryptoShuffler, Data Breach, DDoS, Distributed Denial of Service, Information Leakage, Malware, Outage, Patches, POSLeave a comment

Security Newsletters, 2018 Mar 6th, 1.7Tbps 사상 최대 규모 DDoS 공격 外

Posted on 2018-03-06 - 2018-03-06 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Exploits/Vulnerabilities

Summaries

  • 4G LTE 망을 공격해 무너뜨릴 수 있는 취약점 연구 결과가 발표되었다. 발견된 취약점들은 전화통화를 도청하거나, 문자메시지를 훔쳐보고, 장치들을 오프라인으로 만들거나, 가짜 긴급재난문자까지 속일 수 있다. 퍼듀(Purdue University) 및 아이오와(University of Iowa) 대학의 연구자들이 이 논문을 공개했다. 이 취약점들은 authentication relay attacks을 가능하게 만들어 다른 사람으로 위장해 4G LTE 네트워크에 접속할 수 있다. 릴레이 공격이 새로운 것은 아니지만, 최근이 이 연구는 이 공격을 이용해 메시지를 가로채거나, 사용자의 위치를 추적하고 전화기가 네트워크에 접속하지 못하게 만들 수 있음을 보여줬다. (3일에서 이어짐)
  • Memcached의 취약점을 사용한 DDoS 공격이 진행중이다. Memcached는 무료 오픈소스 분산 메모리 캐싱 시스템이다. 클라이언트들은 memcached 서버와 TCP 또는 UDP 11211 포트로 통신을 하게 된다. 클라우드플레어(Cloudflare) 및 Arbor Networks와 중국 보안기업인 Qihoo 360에 따르면, memcached가 DDoS amplification 공격에 사용되고 있다. 이 공격은 Memcrashed라 명명되었다. 공격자들은 UDP가 활성화 되어 있으면서, 보안설정이 되지 않은 memcached 서버를 이용하고 있다. 여타 다른 amplification 방식과 유사하게, 공격자는 대상 서버의 11211포트에 피해자 IP로 스푸핑된 IP주소를 사용하여 요청을 전송한다. 서버로 전송되는 이 요청은 몇 바이트밖에 안되지만, 응답으로 보내지는 양은 공격에 이를 수 있는 많은 양이 전송되게 된다. (2월 28일에서 이어짐)

Detailed News List

  • 4G LTE Network Attacks
    • [TheHackerNews]
      New 4G LTE Network Attacks Let Hackers Spy, Track, Spoof and Spam
    • [CyberScoop]
      Researchers uncover 4G LTE exploits that can be used to spy, spoof and cause panic
    • [EHackingNews]
      Target 4G LTE users
    • [SecurityAffairs]
      New attacks on 4G LTE networks can allow to spy on users and spoof emergency alerts
    • [HelpNetSecurity]
      New LTE attacks open users to eavesdropping, fake messages, location spoofing
  • Memcached Attacks
    • [InformationSecurityBuzz]
      New Ransom Angle To Memcached Server Attacks
    • [BankInfoSecurity]
      Memcached Servers Deliver Amplified DDoS Attacks
    • [SecurityAffairs]
      Recent Memcached DDoS attacks drive RDoS extortion practice

 

Data Breaches/Info Leakages

Summaries

  • 일부 애플비(AppleBee)매장의 PoS에서 신용카드 정보가 유출되는 사건이 발생했다. RMH Franchise Holdings에서 Applebee 레스토랑의 PoS 시스템이 악성코드에 감염된 것을 지난 주 확인했다. 발견된 PoS 악성코드가 수집한 정보는 이름, 신용카드 번호, 만료일, 카드 식별 코드(card verification codes)다.

Detailed News List

  • AppleBee
    • [SecurityAffairs]
      Applebee restaurants suffered payment card breach
    • [TripWire]
      Point-of-Sale Breach Confirmed at Some Applebee’s Locations
    • [SecurityWeek]
      Payment Card Breach Hits Some Applebee’s Restaurants

 

Service Outage/Malfunction

Summaries

  • Signal 및 Telegram 메신저 서비스가 몇시간에 걸쳐 중단되는 일이 발생했다. 유명한 암호화 통신 서비스인 Signal과 Telegram이 유럽, 중동, 아프리카, 미국, 일본, 뉴질랜드, 호주 등에서 서비스가 중단되는 사건이 발생했다.
  • 지난주 아카마이(Akamai)에서 관측한 GitHub에 대한 1.3Tbps의 대규모 DDoS 공격에 이어, 이번에는 NETSCOUT Arbor에 의해 1.7Tbps라는 사상 최대 규모의 DDoS가 관측되었다. 공격은 GitHub에 사용되었던 방식과 동일한 memcached reflection/amplification 공격 벡터를 이용했다.
  • GitHub에 대한 1.35Tbps의 대규모의 분산서비스거부(DDoS, Distributed Denial of Service) 공격이 있었다. GitHub이 28일 수요일에 일련의 대규모 DDoS 공격을 당했다. 첫번째 공격에서 Github의 웹사이트는 초당 1.35 테라바이트의의 공격을 받았고, 두번째 공격에서는 Github의 네트워크 모니터링 시스템에서 400Gbps를 기록했다. 공격은 8분간 지속되었고, 지금까지 확인된 DDoS 공격 중 가장 큰 규모의 공격이다. 프랑스의 통신회사 OVH와 Dyn DNS도 1Tbps의 DDoS 공격을 겪은 바 있다. 이 공격들은 IoT 장치를 감염시키는 Mirai에 의한 것이었다. 그러나 이번의 DDoS 공격은 Memcached 서버의 취약점으로 인한 것일 수 있다. (3일에서 이어짐)

Detailed News List

  • Signal / Telegram
    • [GrahamCluley]
      Signal and Telegram messaging services offline for some hours
    • [ZDNet]
      Signal, Telegram users experience outages worldwide
  • 1.7Tbps DDoS Attack
    • [ArborNetworks]
      NETSCOUT Arbor Confirms 1.7 Tbps DDoS Attack; The Terabit Attack Era Is Upon Us
  • GitHub DDoS Attack
    • [GrahamCluley]
      GitHub was hit by the most powerful DDoS attack in history
    • [SecurityWeek]
      Largest Ever 1.3Tbps DDoS Attack Includes Embedded Ransom Demands
    • [NakedSecurity]
      World’s largest DDoS attack thwarted in minutes

 

Posted in Security, Security NewsTagged Data Breach, DDoS, Distributed Denial of Service, Information Leakage, Outage, VulnerabilityLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.