Security Newsletters, 31, Oct, 2017

Posted on 2017-10-31 - 2017-10-31 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operation/Cyber Intelligence

Summaries

중동 및 북아프리카^{(MENA, Middle East and North Africa)}를 대상으로 하는 가자^(Gaza) 사이버범죄집단^(Cybergang)이 새로운 도구들을 확보해 활동을 확대할 것으로 보인다고 카스퍼스키랩^{(Kaspersky Lab)}이 전했다. 새로운 도구는 마이크로소프트 엑세스^{(Microsoft Access)}의 최근 취약점인 ^{CVE-2017-0199}를 공격하는 익스플로잇과 최소 하나의 안드로이드 스파이웨어, 악성코드를 대상에게 유포하기 위한 매우 지정학적으로 민감한 스피어피싱 문서가 이에 해당한다. 가자 사이버범죄집단은 지속적으로 정부기관, 정유 및 가스 기업, 대사관, 외교관, 언론기관을 지난 몇년간 공격해왔고 최근들어 이러한 공격을 확대해 가고 있는 것으로 보인다.
페이스북의 유튜브 링크로 위장한 클릭낚시^(Clickbait)와 가짜뉴스 경고. 페이스북에서 전달되는 링크에 대해서 특별히 더 조심할 필요가 있다. 스패머^(spammer)들이 공유된 링크 주소를 속일 수 있기 때문이다. 사용자에겐 정상적인 링크로 보이게 하면서 가짜 뉴스 웹사이트나 악성코드, 악성 컨텐츠로 리다이렉트 되도록 링크를 조작할 수 있다. 페이스북에서 Open Graph meta tags를 수집하면서 og:url값의 주소와 실제 공유하는 링크 주소 일치여부를 확인하지 않아 발생한다. 그러나 페이스북은 Linkshim이라는 URL검사 시스템에 의해 클릭한 URL에 대한 진단이 수행되므로 취약점에 해당하지 않는다고 이 문제를 취약점으로의 분류하기를 거절했다.

Detailed News list

Gaza Cybergang
- ^{[DarkReading]} 가자 사이버범죄집단, 새로운 도구로 작전을 확장한다
  Gaza Cybergang Acquires New Tools, Expands Operations
- ^{[SecurityWeek]} Hamas 관련된 가자 사이버범죄집단, 새로운 범죄도구와 대상 생겼다
  Hamas-Linked ‘Gaza Cybergang’ Has New Tools, Targets
Facebook Clickbait
- ^{[theHackerNews]} 페이스북의 유뷰브 링크로 위장한 가짜링크 주의
  Wait, Do You Really Think That’s A YouTube URL? Spoofing Links On Facebook

Malware/Exploit/Vulnerability

Summaries

Sage 랜섬웨어가 분석 방해 기능을 갖췄다. Fortinet의 보고서에 따르면, Sage 랜섬웨어가 권한상승 및 탐지우회를 위한 새로운 기능을 추가했다. 2017년 초 활발히 활동하다 최근 6개월 이상 별다른 활동을 보이지 않았던 Sage 랜섬웨어가 분석방해 기능과 권한상승 기능을 추가한 샘플이 발견되며 새로운 주목을 받았다. 악성 자바스크립트 첨부파일을 포함한 스팸메일로 배포되는 Sage 랜섬웨어가 Locky 랜섬웨어와 동일한 유포 인프라구조를 공유한다는 사실도 드러났다. 악성 매크로를 포함한 문서파일로도 유포되고 있으며 info 및 top 도메인을 활용한다.
정보를 유출하는 “Catch-All” 악성 크롬 확장기능이 퍼지고 있다. WhatsApp의 사진으로 위장한 피싱 메일이 악성 크롬 확장기능을 유포하고 있으며, 사진대신 드롭퍼^(dropper)를 다운로드하게 한다. 이 드롭퍼가 실행되면 가짜 Adobe PDF Reader Installer 화면을 보여주며 설치하게 한다. 이 인스톨러는 md0.exe, md1.exe라는 두 실행 파일을 설치하는데, md0은 윈도우즈 방화벽을 비활성화 하고, 구글 크롬의 모든 프로세스를 종료한다. 그리고 세이프브라우징 다운로드 보호기능 같은 여러 보안기능을 해제한다. 일단 이 행위들이 성공하면 구글 크롬의 런쳐^(launcher)파일을 교체하고, 이 확장기능은 웹에서 전송되는 데이터를 악성코드 C&C서버로 Ajax를 통해 전송한다.

Detailed News List

Sage ransomware
- ^{[SecurityWeek]} Sage 랜섬웨어 분석방지를 위한 기능들 추가
  Sage Ransomware Gets Anti-Analysis Capabilities
- ^[Fortinet] 우회기능 갖춘 Sage 2.2 랜섬웨어 더 많은 국가를 대상으로 한다
  Evasive Sage 2.2 Ransomware Variant Targets More Countries
Chrome extension
- ^{[HelpNetSecurity]} 악성 크롬 확장기능이 데이터를 훔친다
  Malicious Chrome extension steals all data
- ^{[SANS ICS]} “Catch-All” 구글 크롬 악성 확장기능이 Post 데이터를 훔친다
  “Catch-All” Google Chrome Malicious Extension Steals All Posted Data

Security Breach/Info Leakage

Summaries

구글의 내부 버그트래킹 시스템의 버그로, 심각한 취약점 정보들이 노출되었다. 구글 내부에서 사용하고 있는 이슈 트래커인 버가나이저^(Buganizer)는 구글 제품 및 서비스에 대한 이슈를 기록/관리하는 시스템이다. 외부 사용자는 극히 제한된 정보만 열람할 수 있으나, 보안연구가 Alex Birsan이 취약점을 찾아냈다. Birsan은 구글의 메일주소로 위장하여 시스템의 백엔드에 접근할 수 있었다. 그 결과 Birsan은 수천개의 버그리포트를 확인할 수 있었으며, 몇몇은 최우선순위^{(Priority zero)}에 해당하는 취약점이었다. 이 취약점에 대하여 Birsan은 구글로부터 $15,600의 보상금을 받았다.
영국 퀸즈 파크^{(Queens Park)}의 일버트 스트릿^{(Ilbert Street)}에서 발견된 USB 스틱에서 히스로^(Heathrow) 공항에 대한 기밀정보 파일들이 발견되었다. 앞선 30일자 보도와 동일한 내용이다. 매우 민감한 자료들이 USB 스틱에 저장된 채 버려져 있는 것이 발견되었으며, 해당 저장장치에는 2.5GB의 암호화되지 않은 데이터들이 들어있었다. 저장된 것은 지도, 사진, 동영상 등의 파일들이었는데, 거기에는 왕비를 포함한 외국 VIP들, 내각 각료^{(cabinet members)}들에 대한 보호조치들과 같은 극히 민감한 정보들이 포함되어 있었다.
Dark Overload 해커그룹에 의해 노출되었던 성형외과의 고객정보에 대해서 정보 공개에 대한 위협과 함께 몸값을 요구하고 나섰다. Dark Overload 해커그룹은 정보를 유출당한 London Bridge Plastic Surgery^(LBPS) 클리닉이 요구사항을 들어주지 않을경우 사진들을 공개하겠다고 협박했다. Dark Overload는 이전에도 미 의료기관, 학교에 대한 공격 및 넷플릭스를 공격해 미공개된 에피소드를 유출시킨 사건 등에 연관된 해커그룹이다.

Detailed News List

Google Bug Database Flaws
- ^{[DarkReading]} 구글 버그 데이터베이스 취약점으로 심각한 취약점 정보 노출
  Google Bug Database Flaws Expose Severe Vulnerabilities
Heathrow USB Stick
- ^[HackRead] 런던 길위에 떨어진 USB 스틱에 히스로 공항 보안데이터 및 여왕에 대한 자료 발견
  USB Stick with Heathrow Security and Queen’ Data Found on London Street
- ^{[SecurityWeek]} 히스로 공항, 어떻게 런던 길위에서 보안데이터가 발견되었는가 밝힐 수사 진행중
  Heathrow Probes How Security Data Found on London Street
London Bridge Plastic Surgery
- ^[HackRead] 런던 성형외과 환자정보 공개 협박
  The Dark Overlord hacks plastic surgery clinic; demands ransom

Crypto Currency

Summaries

구글 플레이스토어에서 모네로 채굴하는 악성 앱이 세 건 발견되었다. 트렌드 마이크로의 보안연구가들이 동적 자바스크립트 로딩과 네이티브 코드 인젝션을 통해 탐지를 회피하는 어플리케이션을 찾아냈다. Recitiamo Santo Rosario라는 이름의 종교관련 어플리케이션과 WiFi 보안, 자동차 배경화면을 제공하는 어플리케이션 이었다.

Detailed News List

Monero mining malware apps
- ^[HackRead] 모네로 채굴 악성 앱 발견
  Three Monero Mining Malware Apps Found on Play Store
- ^{[HelpNetSecurity]} 구글플레이에 등록되어있는 암호화폐 채굴하는 스크립트가 심어진 어플리케이션들
  Cryptocurrency-mining script planted in apps on Google Play

Patch/Update

Summaries

오라클이 Identity Manager의 치명적인 취약점을 수정했다. 취약점 번호 ^{CVE-2017-10151}은 오라클에 아무런 사용자 상호작용 없이, 네트워크에서 HTTP를 통해 Oracle Identity Manager를 공격할 수 있는 익스플로잇이다. 이 취약점은 HTTP를 통해 접근할 수 있는 기본 계정이 존재해서 발생한다.

Detailed News List

Oracle
- ^{[SecurityWeek]} 오라클 Identity Manager의 취약점 수정
  Oracle Patches Critical Flaw in Identity Manager

Technology/Technical Document/Report

Summaries

파이어폭스 58에서 캔버스 핑거프린팅^{(Canvas fingerprinting)}차단기능을 제공한다. 쿠키를 사용하지 않고 사용자를 구분 및 추척할 수 있는 기술 중 하나인 캔버스 핑거프린팅에 대한 차단 기능이 2018년 1월에 발표될 Firefox 58에 추가될 예정이다. 캔버스 핑거프린팅은 웹사이트나 광고회사에서 온라인 행위들을 추적하기 위해 사용하는 방법 중 하나로, HTML5 엘리먼트인 canvas에서 다양한 정보를 추출해서 사용한다. Canvas 엘리먼트를 사용하는 방법으로 사용자가 알지 못하는 사이에 브라우저, 운영체제, 설치된 그래픽 하드웨어 등의 정보를 추출해 사용자를 추적할 수 있었다.

Detailed News List

Firefox 58 & Canvas
- ^{[DigitalTrends]} Firefox 58, 캔버스 핑거프린팅 막는다
  Firefox 58 to block ‘canvas fingerprinting,’ a new way for sites to track users
- ^{[NakedSecurity]} Firefox, 캔버스 ‘슈퍼쿠키’ 막는다
  Firefox takes a bite out of the canvas ‘super cookie’
- ^{[HelpNetSecurity]} Firefox 곧 canvas기반의 브라우저 핑거프린팅 막는다
  Firefox will soon block canvas-based browser fingerprinting attempts

Deep Web/DarkNet/Onion

Summaries

Detailed News List

Industrial/Infrastructure/Physical System/HVAC

Summaries

Detailed News List

Legislation/Politics/Policy/Regulation/Law Enforcement

Summaries

Detailed News List

Internet of Things

Summaries

Detailed News List

Social Engineering

Summaries

Detailed News List

Privacy

Summaries

Detailed News List

Security Newsletters, 27, Oct, 2017

Posted on 2017-10-27 - 2017-10-27 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 포함하거나 함께 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operation/Cyber Intelligence

Summaries

카스퍼스키랩, 가정용 컴퓨터에서 NSA 파일을 수집 후 삭제. 러시아 요원이 미국 정부의 데이터를 훔치는데 카스퍼스키랩이 도움을 줬다는 의혹이 계속되는 가운데 Moscow에 위치한 카스퍼스키랩이 2014년 9월에 가정용 컴퓨터에서 NSA 해킹툴의 소스코드가 포함된 파일을 자사의 소프트웨어로 수집했다고 인정했다. 하지만 카스퍼스키랩은 CEO인 유진 카스퍼스키의 지시에 따라서 해당 파일을 삭제했고 어느 누구와도 공유하지 않았다고 내부 조사 리포트에서 밝혔다. 그 내용에 따르면, 해당 파일은 NSA 도급업자의 가정용 컴퓨터에서 카스퍼스키랩의 AV네트워크에 분석을 위해 자동으로 업로드 되었고, 업로드 된 7zip 압축파일은 NSA의 해킹팀인 Equation Group이 사용한 해킹 툴이 포함된 파일이었다. AV소프트웨어가 동작하면서 악성코드에 감염된 혹은 악성코드를 포함한 새로운 파일을 탐지했을 때 파일이 분석용 네트워크로 업로드 되는 기능은 AV의 일반적인 기능이며, 이번 경우에는 압축파일에 악성코드와 소스코드가 함께 포함되어 있었다. 카스퍼스키랩은 파일을 삭제한 이유에 대해서, 첫번째로 자사 백신 기능을 강화하는데 소스코드까지는 필요없으며 두번째로는 기밀자료를 다루는 것에 대한 우려 때문이라고 밝혔다. 이러한 우려는 카스퍼스키랩의 분석가들은 카스퍼스키랩의 AV소프트웨어가 이렇게 우연히 수집하게되는 기밀자료는 삭제한다는 정책으로 자리잡았다고 대변인은 설명했다.
화요일에 탐지되어 몇시간 안에 빠르게 퍼져나갔던 Bad Rabbit 랜섬웨어 공격이 거의 끝난 것으로 보인다. 그러나 주로 러시아의 시스템을 공격대상으로 삼아 아주 빠르게 진행되었던 Bad Rabbit 랜섬웨어의 시작점에 대해서는 미스터리한 부분이 남아있다. 랜섬웨어를 깊이 파헤친 분석가들은 아직도 랜섬웨어를 퍼트리기 위한 워터링홀(watering-hole) 공격이 어떻게 이루어졌는지, 웜처럼 확산되는 감염이 돈을 위한 것인지 대혼란을 위한 것인지에 대해서도 답을 내지 못하고 있다. 여러 연구가들은 Bad Rabbit 랜섬웨어가 이전의 NotPetya, Petya와 몇몇 공통 코드를 공유하고 있으나 이것이 동일한 그룹이 배후에 있다는 의미로 보긴 어렵다고 결론을 내렸다.

Detailed News list

Kaspersky Lab
- ^{[DarkReading]} 카스퍼스키 랩, NSA 파일을 가정용 컴퓨터로부터 수집했으나 삭제했다
  Kaspersky Lab Collected, Then Deleted NSA File from a Home Computer
Bad Rabbit
- ^{[DarkReading]} Bad Rabbit은 무너졌으나 의문이 남았다
  Bad Rabbit Dies Down But Questions Remain

Deep Web/DarkNet/Onion

Summaries

다크웹에서의 랜섬웨어 판매가 2,502%의 급격한 성장을 보였다. 미국 사이버 보안 기업인 카본블랙^{(Carbon Black)}에 따르면, 2016년에 비해서 올해 다크웹에서의 랜섬웨어 판매가 2,502%로 증가했다. 리포트에서는 랜섬웨어를 판매하는 6,300개 이상의 다크넷 마켓이 존재하며 45,000개 이상의 제품을 제공하고 있다고 밝혔다. DIY 악성코드 킷은 $0.5에서부터 $3,000까지 다양하고, 평균 가격은 $10.5라고 한다. 반면 맞춤제작 키트^{(Custom kits)}는 $3,000 이상의 가격을 요구한다. 판매액은 2016년 $249,287에서 올해 $6,237,248로 2,500%의 성장을 보였다.
다크넷의 유명 마켓 중 하나인 TradeRoute가 오프라인으로 전환되고 사용자들이 마켓 시스템에 남겨놓은 암호화폐가 도둑맞은 것으로 추정된다. Phishkingz라는 닉네임의 유명한 피싱사기꾼이 TradeRoute의 관리자 페이지에 접근이 가능했고, TradeRoute 사이트가 오프라인으로 전환되기 이전에 Phishikingz가 사용하는 것으로 알려진 비트코인 지갑주소에 수천비트코인(1,760BTC)이 상당히 짧은 시간 내에 이체되었다. 그리고 TradeRoute가 운영되는 기간동안 같은 지갑 주소로 80,623 BTC가 이체되었다. 달러로 환산시 약 4억 5천만 달러로, 한화 약 5000억원이다. 실제로 밝혀진다면 역사상 가장 큰 금액의 사기로 기록될 것이다.

Detailed News List

Ransomware Sales
- ^{[DarkWebNews]} 랜섬웨어 판매 2,502%의 성장
  Ransomware Sales on Dark Web Boost by 2502%
- ^{[CarbonBlack]} 카본블랙 리포트
  CarbonBlack Report
TradeRoute
- ^{[DarkWebNews]} 다크넷 마켓 TradeRoute가 출구사기에 당하다
  Darknet Market TradeRoute Exit Scammed

Security Breach/Info Leakage

Summaries

MotherBoard는 Equifax 데이터 유출 사고가 발생하기 몇 달 앞서 이미 보안연구자에 의해 침해가능성이 Equifax에게 알려졌으나, 그에 대한 조치는 데이터 유출 사고가 일어난 후에나 이루어 졌다고 밝혔다. 다수의 해킹 그룹이 Equifax를 침해했을 가능성은 물론, 보안 경고에 대하여 Equifax가 심각하게 생각하고 주의를 기울였는가 여부에 대한 의문이 생기게 하는 부분이다. 2016년 늦게 보안연구자가 인터넷에 노출되어있는 Equifax의 웹사이트 서버들을 점검했고, 그 결과 몇시간의 스캐닝만에 모든 미국인의 사회보장번호^{(social security numbers)}, 이름, 생일, 거주지주소 등이 포함된 개인정보 데이터에 접근할 수 있게하는 서버가 있음을 발견했다고 한다. Equifax의 직원용으로 제작된 것처럼 보이는 포털 사이트였으나, 누구나 접근할 수 있게 인터넷에 노출되어 있었고 인증받지 않은 사람도 Equifax의 고객정보를 검색해서 찾아볼 수 있는 상태였다. 진단 과정에서 다수 서버를 장악할 수 있었으며, SQL Injection과 같은 다른 취약점 다수도 확인할 수 있었다. 많은 서버가 오래된 버젼의 소프트웨어로 운영되었다고 한다.

Detailed News List

Equifax
- ^{[MotherBoard]} Equifax, 이미 사고위험에 대하여 경고를 들었었다
  Equifax Was Warned

Crypto Currency

Summaries

Detailed News List

Malware/Exploit/Vulnerability

Summaries

DUHK 공격에 대해 기사가 계속되고 있다. 이 공격으로 VPN이나 웹 세션에 사용된 암호화 키를 복구해 낼 수 있다. 이 취약점에 영향을 받는 제품으로는 ANSI X9.31 RNG^{(Random Number Generator)}에 기반한 Fortinet, Cisco, TechGuard 등의 제조사들의 장비가 영향을 받는다. 2016년에 FIPS 승인된 의사난수 생성 알고리즘^{(PseudoRandom Number Generation Algorithm)} 목록에서 제거되기 전에는, ANSI X9.31 RNG는 지난 약 30년간 다양한 암호 표준에 포함되었다. 문제는 의사난수 생성기의 시드^(Seed)값이 고정되면 같은 난수값이 생성된다는 것인데, 몇몇제품에서는 이 시드값을 하드코딩 해 놓았기 때문에 펌웨어를 리버스엔지니어링해서 찾아낼 수 있다는 점이다. 연구가가 취약점을 검증한 일부 제품들은 BeCrypt Ltd., Cisco Systems Inc, Deltacrypt Technologies Inc, Fortinet Inc, MRV Communications, Neoscale Systems Inc, Neopost Technologies, Renesas Technology America, TechGuard Security, Tendyron Corporation, ViaSat Inc, Vocera Communications Inc. 등이 있다.
제거하려 하면 랜섬웨어로 돌변하는 악성코드가 나타났다. SfyLabs의 보안연구가들이 LokiBot이라 명명한 안드로이드 뱅킹 악성코드를 탐지했으며, 사용자가 이것을 감염된 장치에서 제거하려고 하면 랜섬웨어로 바뀌게 된다. 이 악성코드는 올해 6월부터 뉴스에 오르내렸으나, 악성코드의 제작자가 계속적으로 기능을 추가하여 이제는 다양한 뱅킹 어플리케이션이나 아웃룩Skype, WhatApp과 같은 유명 어플리케이션으로부터 개인 및 금융정보를 훔치는 제대로된 악성으로 발전했다. LokiBot은 정상 앱에서 발생한 것처럼 알림 메시지를 위장하거나, 장치에서 정보를 읽고 유출할 수 있으며, 연락처 정보를 사용해 자신을 재확산 하기도 한다. 그리고 사용자 브라우저 기록을 C&C서버로 보내고, 제거하려 하면 파일을 암호화하고 랜섬웨어로 변해 장치를 잠근 후 70에서 100달러의 비트코인을 요구한다.
Tyrant 랜섬웨어가 유명 VPN 어플리케이션으로 위장해 이란에서 퍼지고 있다. 이란의 CERTCC^{(Iran Computer Emergency Response Team Coordination Center)}에서 보안 경고를 발표했다. Psiphon VPN 어플리케이션으로 위장한 이 Tyrant 랜섬웨어는 감염된 사람들에게 금전을 요구하고 있으며, 24시간안에 약 $15의 돈을 지불해야 한다. Tyrant 랜섬웨어는 이란을 특정하여 배포되었다. 위협 메시지가 이란어^(Farsi)로만 작성되어 있고, 지역의 지불 시스템인 exchanging.ir과 webmoney724.ir만을 사용한다. 그러나 테스트 버젼이나 시험버젼으로 보이는 이 Tyrant 랜섬웨어 자체의 수준이 낮기 때문에, 쉽게 처리할 수 있을 것이라는 분석가들의 평도 이어지고 있다.
Sage 랜섬웨어가 사용자 인터페이스와 쉬운 지불 방식으로 차별화를 하고 있다. 사이버 범죄자들이 랜섬웨어로 계속 수익을 벌어들이면서 이 시장도 포화 상태로 접어들고 있는 것이다. 그래서 Sage 랜섬웨어는 새로운 버젼 2.2를 통해 포화상태의 랜섬웨어 환경에서 돋보이려고 하고 있다. 밝은 색상의 사용자 인터페이스를 쓰고, 상호작용하는 위협 메시지를 사용한다. 그리고 비트코인 주소가 담긴 QR코드를 제공해, 피해자가 몸값을 쉽게 지불할 수 있도록 하고 있다. 다른 랜섬웨어들의 단조로운 사용자 인터페이스가 아닌, 다채롭고 접근하기 쉬운 사용자 인터페이스를 제공하며. 피해자의 상황 설명과 데이터를 복구하기 위한 지침을 제공하는 것이다.

Detailed News List

DUHK Attack
- ^{[theHackerNews]} DUHK 공격, 해커가 VPN과 웹 세션에서 사용하는 암호화 키를 복구해낼 수 있게 한다.
  DUHK Attack Lets Hackers Recover Encryption Key Used in VPNs & Web Sessions
LokiBot
- ^[HackRead] 제거하려 하면 랜섬웨어로 변하는 LokiBot 악성코드
  This malware turns itself into ransomware if you try to remove it
Tyrant
- ^{[BleepingComputer]} Tyrant 랜섬웨어, 유명 VPN 어플리케이션으로 위장해 이란에서 유포
  Tyrant Ransomware Spreads in Iran Disguised as Popular VPN App
Sage
- ^[PhishMe] Sage 랜섬웨어, 매력적인 사용자 인터페이스와 쉬운 지불 방식으로 차별화
  Sage Ransomware Distinguishes Itself with Engaging User Interface and Easy Payment Process

Legislation/Politics/Policy/Regulation/Law Enforcement

Summaries

Google Play의 취약점 현상금 제도가 운영된다. 스파이웨어, 뱅킹봇, 애드웨어 등의 악성 어플리케이션으로 많은 문제를 겪고 있던 구글 플레이스토어가 등록되어있는 어플리케이션들에 대하여 현상금 제도를 운영한다. 구글 플레이스토어는 HackerOne과 협업하며, 플레이스토어에 올라와있는 유명 앱에서 버그를 찾으면 1,000 달러까지 보너스를 제공한다. HackerOne의 구글 플레이스토어 보안 보상 프로그램 페이지에서는 어떤 어플리케이션이 이에 해당하는지 설명하고 있다. 이 목록에는 유명한 어플리케이션인 Alibaba, Dropbox, Snapchat, Tinder 등이 있으며 더 많은 대상 어플리케이션이 추가될 예정이다.

Detailed News List

Google Play Bug Bounty
- ^{[NakedSecurity]} 구글 플레이스토어의 앱을 해킹하면, 보상금 받는다
  Google wants you to hack Play Store apps, and it’s paying

Internet of Things

Summaries

Detailed News List

Industrial/Infrastructure/Physical System/HVAC

Summaries

NIST^{(National Institute of Standards and Technology)}의 산업제어시스템^{(Industrial Control System)} 보안에 대한 문서가 공개되었다. 이 Special Publication 800-82 (Rev2) 문서에서는 산업제어시스템(ICS)를 어떻게 안전하게 만드는가에 대한 가이드를 제공한다. 여기에는 SCADA^{(Supervisory Control and Data Acquisition)} 시스템과 DCS(Distributed Control Systems) 및 기타 PLC^{(Programmable Logic Controllers)}와 같은 제어시스템설정이 포함된다.
SANS에서 산업제어시스템(ICS)의 안전한 아키텍쳐에 대한 백서를 공개했다. Secure Architecture for Industrial Control Systems 문서 에서는 기존 ICS의 독립적인 고립(Stand-alone isolated systems) 구조에서 상호접속(interconnected systems) 구조로의 변화에 대해 다룬다.

Detailed News List

NIST
- ^[NIST] NIST의 산업제어시스템 보안 가이드
  NIST Special Publication 800-82 Revision 2: Guide to Industrial Control Systems (ICS) Security (PDF)
SANS
- ^[SANS] SANS의 산업제어시스템의 안전한 아키텍쳐
  Secure Architecture for Industrial Control Systems (PDF)

Technology/Technical Document/Report

Summaries

복수의 AntiVirus 제품을 설치해 사용하는 사용자들의 약 40%가 첫 반년동안 악성코드 공격을 받는다고 MalwareBytes 리포트가 밝혔다. 거의 천만개의 엔드포인트를 스캔한 리포트^{(The Mapping AV Detection Failures)}에서는 두개 이상의 전통적이거나 시그니처 기반의 안티바이러스 제품이 설치되어 있음에도 다수의 악성코드 공격이 발생하는 것이 발견되었다. 랜섬웨어나 봇넷, 트로이 같은 악성코드들은 전형적인 안티바이러스 제품들을 쉽게 우회할 수 있는 것으로 나타났다.

Detailed News List

^{[DarkReading]} 다수의 안티바이러스 소프트웨어를 설치해도 40% 사용자를 악성코드로부터 보호하는데 실패한다.
Doubling Up on AV Fails to Protect 40% of Users from Malware Attacks