Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Cyber Espionage/Cyber Operations/Cyber Intelligence
Summaries
- 위협정보(Threat Intelligence)의 공유를 위한 방법들에 대한 논의에 대한 기사가 나왔다. Dark Reading의 INsecurity 컨퍼런스에서 있었던 토론에서 산업계 전문가들이 위협정보를 공유해야 하는 이유와 왜 중요한지, 어떻게 시작할 지에 대해 이야기를 나눴다. 트루스타 테크놀로지(TruStar Technology)의 설립자이자 CEO인 Pau Kurtz는 위협 정보 공유의 주요 원칙에 대해 설명했다. 1.정보 공유는 이타적이기만 한 행위가 아니다. 2.정보 공유는 침해에 대한 알림만이 아니다. 3.익스플로잇이나 취약점에 대한 다른 기업과의 데이터 공유는 적법한 행위다. 개인 식별 정보를 공유하지 않는한. 4.공유 체계는 쉽게 만들어져야 한다.
Detailed News list
- Threat Intelligence
- [DarkReading] 6 Steps for Sharing Threat Intelligence
Malwares/Exploits/Vulnerabilities
Summaries
- 스크린 인터페이스로 제한된 상황에서의 데이터 유출용 도구인 PTP-RAT에 대한 개념증명(PoC, Proof Of Concept)버젼이 공개되었다. 이 툴은 스크린 인터페이스 외에는 외부 전달 채널이 없는 경우의 데이터 유출에 대한 개념 증명(Proof of concept)을 위해서 제작된 프로그램 이다. PTP-RAT은 외부로 파일 전송이 불가능한 상황에서 스크린 인터페이스를 사용해 추출하고자 하는 데이터를 픽셀로 인코딩해 원격 화면으로 전송한다. 전송버튼을 누르면 파일 데이터가 픽셀 색상값으로 변환되어 화면에 찍히게 된다. 그러면 수신 앱 측에서는 스크린샷을 찍어서 데이터를 복원해낸다. 여기서 각각의 플래시 되는 화면은 PTP-RAT-CHUNK라는 헤더를 포함하며 이 정보를 찾아내서 원래 파일을 복원한다. 개념증명용으로 만든 이 툴에서 파일을 원격으로 가져오는데 성공했고 그 과정을 YouTube동영상으로 공개했다.
- AUTOIT 자동화 스크립트가 화면 덮어쓰기 악성코드가 안티바이러스(AV) 탐지를 우회하는데 쓰이고 있다. IBM X-Force 연구팀은 해커들이 브라질 은행을 공격하면서 AutoIt이라 불리는 윈도우 스크립팅 툴을 사용해 원격제어트로이(RAT,Remote Access Trojan)를 설치하는데 사용하고 있다고 밝혔다. 연구자들은 AutoIt을 사용하는 것이 안티바이러스 탐지율을 낮춘다고 말했다. 공격자는 종종 AutoIt을 사용해 AV를 우회하여 악성코드를 컴파일하고 그 것을 정상적인 AutoIt 프레임워크 프로세스로 실행한다. AutoIt은 시스템 관리 프로세스를 스크립트를 사용해 자동화 해주는 무료 소프트웨어다.
- 트렌드 마이크로(Trend Micro)가 토스트아미고(TOASTAMIGO)라는 토스트 오버레이 공격(Toast Overlay attack)과 관련된 최근에 패치된 취약점을 사용하는 새로운 종류의 악성코드를 찾아냈다. 트렌드 마이크로는 Toast Overlay attack과 관련된 취약점인 CVE-2017-0752를 공격하는 새로운 종류의 악성코드를 탐지했다. 이 취약점은 9월에 팔로알토네트웍스 유닛42(Palo Alto Networks Unit 42)의 연구자들에 의해 발견되었다. 전문가들은 대상 안드로이드 장치를 장악하기 위한 관리자 권한을 얻기 위해, 안드로이드에서 짧게 표시되는 팝업 알림인 토스트 알림(toast notification)을 공격할 수 있다고 보고했다. 이 취약점은 최신의 안드로이드 8.0(Oreo) 이전버젼의 모든 안드로이드 운영체제에 영향을 미친다. 거의 모든 안드로이드 사용자라고 봐도 될 정도다. 구글은 이 취약점을 월간 안드로이드 보안 업데이트에서 수정했다.
- AVGater가 검역(Quarantine) 취약점을 권한 상승에 사용하고 있다. 보안전문가 Florian Bogner는 AVGater라는 일부 안티바이러스 제품군의 검역소(quarantine)기능을 악용하여 권한 상승(escalate privileges)을 하는 방법을 고안했다. 유명한 여럿 안티바이스 제품들이 공격자가 장악한 시스템의 권한상승을 하기위해 검역소 기능을 악용하는 방식에 영향을 받을 수 있다. Bogner에 따르면, 공격 체인(the attack chain)은 안티바이러스 소프트웨어가 악성 DLL 파일을 검역소에 넣게 만드는 것부터 시작한다. 그리고나면 공격자는 SYSTEM 권한으로 실행되는 보안 응용프로그램의 윈도우즈 프로세스를 사용해서 파일을 복구한다. 악성 DLL 파일은 그 파일이 원래 있던 위치로 복구되지 않고, 상승된 권한의 프로세스가 실행할 수 있는 다른 폴더, 예를 들어 Program Files나 Windows와 같은 폴더로 복구된다. 이 새로운 위치의 파일들은 제한된 사용자 권한으로는 덮어쓸 수 없는 파일이다.
- 새로운 로키(Locky) 랜섬웨어가 새로운 양상을 띄고 있다. 새롭게 발견된 로키 랜섬웨어 종류가 정상 마이크로소프트 워드 문서파일로 위장한 것으로 나타났다. 새로운 버젼의 로키 랜섬웨어가 마이크로소프트 워드(Microsoft Word)나 리브레 오피스(Libre Office)와 같은 생산성 응용프로그램(Productivity Applications)의 정상(Legitimate) 문서파일이 첨부된 것으로 위장하여 퍼지고 있다. 아비라 바이러스 연구소(Avira Virus Lab) 연구원들은 이번주 초 이 랜섬웨어를 탐지했다. 이 형태의 로키 랜섬웨어는 동일하게 “.asasin” 확장자를 사용한다. 그러나 이번에는 사용자를 속이기 위해 “보호 문서(Protected Document)“인 것처럼 위장했다. 로봇이 아닌 것을 증명하기 위해서는 문서의 이미지를 더블클릭해서 사람 확인 절차를 진행하라는 메시지가 포함되어 있고, 더블클릭하면 최종적으로 파일이 “.asasin” 확장자가 붙어 암호화 된다.
Detailed News List
- PTP-RAT
- [HelpNetSecurity] Data exfiltration tool PTP-RAT encodes data in pixel colour values
- AUTOIT
- TOASTAMIGO
- AVGater
- Locky
- [DarkReading] New Locky Ransomware Takes Another Turn
Patches/Updates
Summaries
- 구글 크롬(Google Chrome)의 업데이트 계획에 대한 기사가 이어지고 있다. 사용자가 원치 않는 컨텐츠를 차단하기 위해 리다이렉트를 방지하기로 한 계획에 대해 기사가 계속되고 있다. 크롬64 에서는 세가지 새로운 보호기능이 탐재될 것으로 보인다. 구글에 따르면, 1/5의 데스크탑 사용자가 원치않는 사이트나 원치않는 컨텐츠를 경험한다고 한다. 크롬 64에서는 모든 제3자 iframe으로 부터의 리다이렉트는 리다이렉트가 되지 않고 사이드바 정보를 표시한다. 유사하게, 일부 사용자는 새로운 탭에 열리는 링크를 클릭하지만 메인 윈도우가 원치않는 페이지로 리다이렉트 되는 경우도 있다. 이러한 행위도 정보바를 동작하게 해 메인 탭이 리다이렉트 되거나 크롬의 팝업 차단 우회를 예방한다. 다른 리다이렉트는 탐지하기 어려운데, 제3자로의 링크가 실행버튼이나 다른 웹사이트 제어버튼으로 위장한 경우다.
Detailed News List
- Google Chrome
- [DarkReading] Google Updates Chrome to Prevent Unwanted Content, Redirects
- [Chromium Blog] Expanding user protections on the web
Security Breaches/Info Leakages
Summaries
- 위키리크스(WikiLeaks)의 Vault 8 기사가 이어지고 있다. 이번에 공개된 부분은 하이브(Hive)의 소스코드와 개발 로그들이다. 하이브는 CIA가 심은 악성코드가 원격의 CIA 운영자와 안전하게 통신할 수 있도록 만들어진 플랫폼이다. CIA가 정체를 속이며 만든 가짜 인증서도 나왔는데, 카스퍼스키 연구소(Kaspersky Lab)의 가짜 인증서였다. 유진 카스퍼스키(Eugene Kaspersky)는 이에 대하여 그 카스퍼스키 인증서는 가짜이며 카스퍼스키의 사용자, 개인키, 서비스 모두 안전하며 영향받은게 없다고 발표했다. 보안연구가 Martijin Grooten은 가짜 카스퍼스키 인증서에 대하여 아마도 널리 쓰이는(widely used) 이름이기 때문에 선택했을 것이라고 트위터를 통해 평했다. 새로 공개되는 정보로 인해 악성코드 제작자들이 재 활용할 수 있는 가능성에 대해 The Register의 숀 니콜스(Shaun Nichols)가 우려했지만, 위키리크스는 이번에 공개되는 내용들에는 제로데이(0-day)나 공격할 수 있는 보안 취약점이 없다고 밝혔다.
Detailed News List
- Vault 8
Technologies/Technical Documents/Reports
Summaries
- 피싱(Phishing)이 키로거(Keylogger)나 제3자 데이터 침해(3rd-party data breaches)보다 사용자들에게는 더 큰 위협이라는 연구결과가 나왔다. 구글, 캘리포니아 대학교, 버클리 대학교, 국제 컴퓨터 과학 기구(International Computer Science Institute)에서 비밀/공개 포럼, 페이스트사이트(paste site), 검색 인덱스 사이트를 2016년 3월부터 2017년 3월까지 조사하고 788,000건의 키로거 피해, 1억2400만건의 피싱킷(Phishing kits) 피해, 데이터 유출로 인한 190억개의 사용자명과 비밀번호를 찾아냈다.
Detailed News List
- Phishing > Keylogger, third-party breaches
Crypto Currencies
Summaries
- 얼마전 패리티 월렛(Parity Wallet)의 일부 약 2억 8천억 달러($280 million)어치의 암호화폐가 사용할 수 없게 되어버린 사건이 있었다. 패리티 테크놀로지스(Parity Technologies)는 이 사건이 누군가 실수로 라이브러리에 존재하는 취약점을 건드려서 발생했다고 발표했었다. 그러나 1백만 달러의 이더리움 다중서명 지갑이 잠겨버린 암호화폐 수집가는 이 사건이 실수가 아닌 고의적이며 사기행위라고 주장했다.
Detailed News List
- Parity Wallet
Internet of Things
Summaries
- 브라더 프린터의 취약점에 대해 계속적인 기사가 나오다가, 취약점 정보가 공개되었다. 트러스트 웨이브(Trustwave)의 연구자원들이 취약점 CVE-2017-16249에 대한 정보를 공개했다. 이 연구원들은 브라더 프린터의 특정 모델들이 공격자에 의해 일시적으로 사용할 수 없는 상태에 빠질 수 있는 취약점을 발견한 바 있다. 공격은 프린터에 내장되어있는 Debut httpd 서버의 취약점을 건드려 서비스 거부 상태(Denial of Service)를 일으킨다. 이 공격은 조작된 HTTP POST 요청 하나만 보내면 가능한데, 이 조작된 요청을 보내면 최종적으로 500 내부 서버 에러 메시지를 반환할때 까지 프린터가 멈추게 된다.
Detailed News List
- Brother Printer
- [NakedSecurity] Simple exploit can be used to disable Brother printers remotely