Security Newsletters, 2017 Dec 28th, PS4 커널 익스플로잇 공개 外

Posted on 2017-12-28 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Exploits/Vulnerabilities

Summaries

플레이스테이션^{(PlayStation)}4 펌웨어 버젼 4.05의 커널 익스플로잇^{(kernel exploit)}이 공개되었다. 플레이스테이션4용 탈옥^(Jailbreak) 프로그램이 조만간 공개될 것으로 보인다. SpecterDev가 마침내 완전히 동작하는 PlayStation 4 firmware 4.05의 커널 익스플로잇을 공개했다. Team FailOverflow가 정보를 공개한 뒤 거의 두달 만이다. GitHub에 공개되어 있다.
안드로이드 앱의 서명정보 검사를 우회할 수 있는 취약점인 야누스^(Janus)에 대해 기사가 공개된 바 있다. 트렌드 마이크로에서 해당 취약점에 대한 분석기사가 나왔다. (12월 9일에서 이어짐)
- 이번주 구글이 공격자가 대상 앱의 서명 검증 인증서에 영향을 미치지 않으면서도 앱에 악의적인 코드를 주입할 수 있는 취약점을 수정했다. 이 방법은 공격자가 신뢰하는 제작사에서 만든 것처럼 보이는 서명된 어플리케이션을 사용해 장비의 악성코드방지 기능을 우회하고 권한을 상승시킬 수 있는 취약점이다. 이 취약점은 야누스^(Janus)라고 이름이 붙었으며, GuardSqure의 CTO인 Eric Lafortune에 의해 발견되었다. 이 취약점은 7월에 ^{CVE-2017-13156} 번호가 부여되었다. 구글은 이 취약점을 12월자 안드로이드 보안 패치의 일부로 수정했다.

Detailed News List

PS4 Kernel Exploit
- _{[TheHackerNews]}
  Kernel Exploit for Sony PS4 Firmware 4.05 Released, Jailbreak Coming Soon
- _[GitHub]
  PS4 4.05 Kernel Exploit
Janus Android App Signature Bypass
- _[TrendMicro]
  Janus Android App Signature Bypass Allows Attackers to Modify Legitimate Apps

Vulnerability Patches/Software Updates

Summaries

모질라^(Mozilla)에서 썬더버드^{(Thunderbird)} 메일 클라이언트의 보안 업데이트를 공개했다. 패치는 12월 릴리즈의 일부로, 두개의 높음^(high) 등급의 버그와, 중간^(moderate) 단계 버그 하나, 그리고 낮음^(low) 등급의 버그 두개를 수정해 총 다섯개의 버그를 수정했다. 가장 심각한 취약점은 버퍼오버플로우 버그로 ^{CVE-2017-7845}다. 이 버그는 윈도우즈 운영체제에서 실행되는 썬더버드에 영향을 미친다. (27일에서 이어짐)

Detailed News List

Mozilla
- _{[SecurityAffairs]}
  Mozilla patches five issues in Thunderbird, including a critical flaw

Cyber Intelligence/Open Source Intelligence

Summaries

FBI에서 사용하는 신체측정^(biometric)정보 데이터베이스 소프트웨어에 러시아에서 만들어진 코드가 존재한다는 기사가 공개되었다. BuzzFeed에 따르면, Morpho라는 프랑스 회사가 신체 측정^(biometric) 소프트웨어를 FBI에 판매하면서, 러시아 기업인 Papillon AO라는 러시아 회사가 개발한 소프트웨어를 코드에 사용했다는 것을 알리지 않았음이 확인되었다.
GOSINT 라는 오픈소스 위협 첩보 수집 및 처리 프레임워크가 공개되었다. GOSINT는 침해지표^{(IOCs, indicators of compromise)}의 수집^(collecting), 처리^(processing), 출력^(exporting)등을 할 수 있는 프로젝트다.

Detailed News List

Russian code in FBI’s
- _[HackRead]
  Software used in FBI’s biometric database contains Russian code: Report
GOSINT
- _{[HackersOnlineClub]}
  GOSINT – Open Source Threat Intelligence Gathering and Processing Framework

Privacy

Summaries

12월 22일 NSA의 내부고발자인 에드워드 스노든과 팀의 합작품인 새로운 안드로이드 앱인 헤븐^(Haven)이 발표되었다. 이 앱은 언론인 등 온라인 감시 및 해킹에 특히 민감한 사람들을 위한 앱이다. Haven은 노트북과 스마트폰을 작은 보안 시스템으로 만들어준다. 헤븐은 스마트폰 내장 센서를 사용해 환경^{(environment)}의 갑작스런 변화를 추적하는 용도로 만들어졌다. 노트북을 호텔 금고에 놓고 스마트폰을 그 위에 놓으면, 누군가 허락없이 노트북을 열려 했을때 Haven 앱이 불빛의 변화를 탐지하고, 노트북이 움직였을 때는 내장된 카메라로 공격자의 스크린샷을 촬영하는 식이다. (24일에서 이어짐)

Detailed News List

Snowden App Haven
- _{[EHackingNews]}
  Edward Snowden launches Spy App

Data Breaches/Info Leakages

Summaries

캐나다의 학자금 대출 정보 침해사건^{(Student Load Privacy Breach)}에 대해, 1,750만 달러의 합의금이 제시되었다. 제시된 합의문에서 캐나다는 침해사고로 영향을 받은 학자금 대출자에게 $60를 지불할 예정이다.
2015년 11월, RootsWeb이라는 이름으로도 알려진 Ancestry가 데이터 침해 사고를 당했다. 이 데이터 침해 사고는 2017년까지 탐지되지 않았다가, 30만개의 이메일 주소 및 평문 비밀번호^{(plain text passwords)}가 담긴 파일이 발견되면서 알려졌다. 침해당한 정보는 이메일 주소와 비밀번호다. (24일에서 이어짐)
닛산 캐나다 파이낸스^{(Nissan Canada Finance)}가 목요일에 113만명의 데이터 침해에 대해 고지했다. 이 침해사고는 2017년 12월 11일에 발생했으며, 신원이 확인되지 않은 제3자가 사용자들의 이름, 주소, 차량 모델, 차량번호, 신용점수, 대출량, 월 지불금액 정보에 접근했다. 고객들은 목요일에 이 침해사고에 대하여 이메일을 받았으며, 닛산 캐나다 파이낸스는 침해사고에 대한 추가정보를 공개했다. (23일에서 이어짐)

Detailed News List

Canada Student Load Privacy Breach
- _[TripWire]
  Canada Proposes $17.5M Settlement for Student Loan Privacy Breach
Ancestry
- _[ThreatPost]
  Leaky RootsWeb Server Exposes Some Ancestry.com User Data
- _[HackRead]
  Ancestry.com’ RootsWeb breach: 300,000 plaintext accounts leaked
Nissan Canada Finance
- _{[DarkReading]}
  Nissan Canada Finance Alerts 1.13 Million Customers of Data Breach

Internet of Things

Summaries

미라이^(Mirai) 봇넷 변종인 사토리^(Satori)가 화웨이 라우터를 공격 대상으로 삼아 퍼지는 중이다. 사토리는 악명높은 미라이 봇넷의 업데이트 된 변종으로, 화웨이 HG532 장치의 포트 37215를 노린다. 이러한 공격이 미국, 이탈리아, 독일, 이집트 등 전세계에서 관찰되었다. 공격은 화웨이 라우터의 제로데이 취약점인 ^{CVE-2017-17215}를 공격한다. (23일에서 이어짐)

Detailed News List

Satori targets Huawei Router 0-Day
- _{[DarkReading]}
  Hacker Targeted Huawei Router 0-Day in Attempt to Create New Mirai Botnet

Crypto Currencies/Crypto Mining

Summaries

이스라엘 은행이 디지털화폐를 고려하고 있다는 기사가 나왔다. 로이터^(Reuters)가 언급한 은행 내부 정보에 따르면, 이스라엘 은행이 디지털 화폐를 지불 속도를 향상시키고^{(to speed up payments)} 현금을 줄이는데^{(reduce cash across the economy)} 활용하는 방안을 고려중이다. 아직 결정이 내려진 것은 아니지만, 이스라엘 정부가 디지털 화폐에 대한 규제를 통과시키려는 준비와 2019년 예산안에 포함시키려는 준비를 하고 있다.
유명 암호화폐 거래소인 이더델타^(EtherDelta)가 DNS 공격에 대한 가능성을 공개하며 운영을 잠시 중단했다. 지난주 EtherDelta는 서비스를 잠시 중단했는데, 회사의 DNS 서버에 누군가 일시적인 접근 권한을 얻은 것으로 추정하면서다. 12월 20일에 EtherDelta는 서버가 공격자들에 의해 침해당했음을 공지했다.(27일에서 이어짐)

Detailed News List

Israeli Bank
- _[ZDNet]
  Israeli bank considering digital currency: Report
EtherDelta
- _{[SecurityAffairs]}
  The popular cryptocurrency exchange EtherDelta suffered a DNS attack

Technologies/Technical Documents/Statistics/Reports

Summaries

가장 최악의 비밀번호에 대한 통계 자료가 계속적으로 발표되고 있다. 올해 유출된 개인정보들에서, 가장 빈번하게 등장한 최악의 비밀번호는 부동의 “123456”이다.

Detailed News List

Worst Password of 2017
- _{[SecurityAffairs]}
  For the second year in a row, “123456” was the top password found in data dumps in 2017
- _{[GrahamCluley]}
  The worst passwords of the year revealed
- _{[WeLiveSecurity]}
  The worst passwords of the year revealed

Security Newsletters, Nov 12th, 2017

Posted on 2017-11-12 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

위협정보^{(Threat Intelligence)}의 공유를 위한 방법들에 대한 논의에 대한 기사가 나왔다. Dark Reading의 INsecurity 컨퍼런스에서 있었던 토론에서 산업계 전문가들이 위협정보를 공유해야 하는 이유와 왜 중요한지, 어떻게 시작할 지에 대해 이야기를 나눴다. 트루스타 테크놀로지^{(TruStar Technology)}의 설립자이자 CEO인 Pau Kurtz는 위협 정보 공유의 주요 원칙에 대해 설명했다. ^1.정보 공유는 이타적이기만 한 행위가 아니다. ^2.정보 공유는 침해에 대한 알림만이 아니다. ^3.익스플로잇이나 취약점에 대한 다른 기업과의 데이터 공유는 적법한 행위다. 개인 식별 정보를 공유하지 않는한. ^4.공유 체계는 쉽게 만들어져야 한다.

Detailed News list

Threat Intelligence
- ^{[DarkReading]} 6 Steps for Sharing Threat Intelligence

Malwares/Exploits/Vulnerabilities

Summaries

스크린 인터페이스로 제한된 상황에서의 데이터 유출용 도구인 PTP-RAT에 대한 개념증명^{(PoC, Proof Of Concept)}버젼이 공개되었다. 이 툴은 스크린 인터페이스 외에는 외부 전달 채널이 없는 경우의 데이터 유출에 대한 개념 증명^{(Proof of concept)}을 위해서 제작된 프로그램 이다. PTP-RAT은 외부로 파일 전송이 불가능한 상황에서 스크린 인터페이스를 사용해 추출하고자 하는 데이터를 픽셀로 인코딩해 원격 화면으로 전송한다. 전송버튼을 누르면 파일 데이터가 픽셀 색상값으로 변환되어 화면에 찍히게 된다. 그러면 수신 앱 측에서는 스크린샷을 찍어서 데이터를 복원해낸다. 여기서 각각의 플래시 되는 화면은 PTP-RAT-CHUNK라는 헤더를 포함하며 이 정보를 찾아내서 원래 파일을 복원한다. 개념증명용으로 만든 이 툴에서 파일을 원격으로 가져오는데 성공했고 그 과정을 YouTube동영상으로 공개했다.
AUTOIT 자동화 스크립트가 화면 덮어쓰기 악성코드가 안티바이러스^(AV) 탐지를 우회하는데 쓰이고 있다. IBM X-Force 연구팀은 해커들이 브라질 은행을 공격하면서 AutoIt이라 불리는 윈도우 스크립팅 툴을 사용해 원격제어트로이^{(RAT,Remote Access Trojan)}를 설치하는데 사용하고 있다고 밝혔다. 연구자들은 AutoIt을 사용하는 것이 안티바이러스 탐지율을 낮춘다고 말했다. 공격자는 종종 AutoIt을 사용해 AV를 우회하여 악성코드를 컴파일하고 그 것을 정상적인 AutoIt 프레임워크 프로세스로 실행한다. AutoIt은 시스템 관리 프로세스를 스크립트를 사용해 자동화 해주는 무료 소프트웨어다.
트렌드 마이크로^{(Trend Micro)}가 토스트아미고^(TOASTAMIGO)라는 토스트 오버레이 공격^{(Toast Overlay attack)}과 관련된 최근에 패치된 취약점을 사용하는 새로운 종류의 악성코드를 찾아냈다. 트렌드 마이크로는 Toast Overlay attack과 관련된 취약점인 ^{CVE-2017-0752}를 공격하는 새로운 종류의 악성코드를 탐지했다. 이 취약점은 9월에 팔로알토네트웍스 유닛42^{(Palo Alto Networks Unit 42)}의 연구자들에 의해 발견되었다. 전문가들은 대상 안드로이드 장치를 장악하기 위한 관리자 권한을 얻기 위해, 안드로이드에서 짧게 표시되는 팝업 알림인 토스트 알림^{(toast notification)}을 공격할 수 있다고 보고했다. 이 취약점은 최신의 안드로이드 8.0^(Oreo) 이전버젼의 모든 안드로이드 운영체제에 영향을 미친다. 거의 모든 안드로이드 사용자라고 봐도 될 정도다. 구글은 이 취약점을 월간 안드로이드 보안 업데이트에서 수정했다.
AVGater가 검역^(Quarantine) 취약점을 권한 상승에 사용하고 있다. 보안전문가 Florian Bogner는 AVGater라는 일부 안티바이러스 제품군의 검역소^(quarantine)기능을 악용하여 권한 상승^{(escalate privileges)}을 하는 방법을 고안했다. 유명한 여럿 안티바이스 제품들이 공격자가 장악한 시스템의 권한상승을 하기위해 검역소 기능을 악용하는 방식에 영향을 받을 수 있다. Bogner에 따르면, 공격 체인^{(the attack chain)}은 안티바이러스 소프트웨어가 악성 DLL 파일을 검역소에 넣게 만드는 것부터 시작한다. 그리고나면 공격자는 SYSTEM 권한으로 실행되는 보안 응용프로그램의 윈도우즈 프로세스를 사용해서 파일을 복구한다. 악성 DLL 파일은 그 파일이 원래 있던 위치로 복구되지 않고, 상승된 권한의 프로세스가 실행할 수 있는 다른 폴더, 예를 들어 Program Files나 Windows와 같은 폴더로 복구된다. 이 새로운 위치의 파일들은 제한된 사용자 권한으로는 덮어쓸 수 없는 파일이다.
새로운 로키^(Locky) 랜섬웨어가 새로운 양상을 띄고 있다. 새롭게 발견된 로키 랜섬웨어 종류가 정상 마이크로소프트 워드 문서파일로 위장한 것으로 나타났다. 새로운 버젼의 로키 랜섬웨어가 마이크로소프트 워드^{(Microsoft Word)}나 리브레 오피스^{(Libre Office)}와 같은 생산성 응용프로그램^{(Productivity Applications)}의 정상^(Legitimate) 문서파일이 첨부된 것으로 위장하여 퍼지고 있다. 아비라 바이러스 연구소^{(Avira Virus Lab)} 연구원들은 이번주 초 이 랜섬웨어를 탐지했다. 이 형태의 로키 랜섬웨어는 동일하게 “.asasin” 확장자를 사용한다. 그러나 이번에는 사용자를 속이기 위해 “보호 문서^{(Protected Document)}“인 것처럼 위장했다. 로봇이 아닌 것을 증명하기 위해서는 문서의 이미지를 더블클릭해서 사람 확인 절차를 진행하라는 메시지가 포함되어 있고, 더블클릭하면 최종적으로 파일이 “.asasin” 확장자가 붙어 암호화 된다.

Detailed News List

PTP-RAT
- ^{[HelpNetSecurity]} Data exfiltration tool PTP-RAT encodes data in pixel colour values
AUTOIT
- ^[ThreatPost] AUTOIT SCRIPTING USED BY OVERLAY MALWARE TO BYPASS AV DETECTION
TOASTAMIGO
- ^{[SecurityAffairs]} TOASTAMIGO – the first known strain of malware that uses the Toast Overlay exploit
AVGater
- ^{[SecurityAffairs]} #AVGater attack abuse Quarantine vulnerabilities for privilege escalation
Locky
- ^{[DarkReading]} New Locky Ransomware Takes Another Turn

Patches/Updates

Summaries

구글 크롬^{(Google Chrome)}의 업데이트 계획에 대한 기사가 이어지고 있다. 사용자가 원치 않는 컨텐츠를 차단하기 위해 리다이렉트를 방지하기로 한 계획에 대해 기사가 계속되고 있다. 크롬64 에서는 세가지 새로운 보호기능이 탐재될 것으로 보인다. 구글에 따르면, 1/5의 데스크탑 사용자가 원치않는 사이트나 원치않는 컨텐츠를 경험한다고 한다. 크롬 64에서는 모든 제3자 iframe으로 부터의 리다이렉트는 리다이렉트가 되지 않고 사이드바 정보를 표시한다. 유사하게, 일부 사용자는 새로운 탭에 열리는 링크를 클릭하지만 메인 윈도우가 원치않는 페이지로 리다이렉트 되는 경우도 있다. 이러한 행위도 정보바를 동작하게 해 메인 탭이 리다이렉트 되거나 크롬의 팝업 차단 우회를 예방한다. 다른 리다이렉트는 탐지하기 어려운데, 제3자로의 링크가 실행버튼이나 다른 웹사이트 제어버튼으로 위장한 경우다.

Detailed News List

Google Chrome
- ^{[DarkReading]} Google Updates Chrome to Prevent Unwanted Content, Redirects
- ^{[Chromium Blog]} Expanding user protections on the web

Security Breaches/Info Leakages

Summaries

위키리크스^(WikiLeaks)의 Vault 8 기사가 이어지고 있다. 이번에 공개된 부분은 하이브^(Hive)의 소스코드와 개발 로그들이다. 하이브는 CIA가 심은 악성코드가 원격의 CIA 운영자와 안전하게 통신할 수 있도록 만들어진 플랫폼이다. CIA가 정체를 속이며 만든 가짜 인증서도 나왔는데, 카스퍼스키 연구소^{(Kaspersky Lab)}의 가짜 인증서였다. 유진 카스퍼스키^{(Eugene Kaspersky)}는 이에 대하여 그 카스퍼스키 인증서는 가짜이며 카스퍼스키의 사용자, 개인키, 서비스 모두 안전하며 영향받은게 없다고 발표했다. 보안연구가 Martijin Grooten은 가짜 카스퍼스키 인증서에 대하여 아마도 널리 쓰이는^{(widely used)} 이름이기 때문에 선택했을 것이라고 트위터를 통해 평했다. 새로 공개되는 정보로 인해 악성코드 제작자들이 재 활용할 수 있는 가능성에 대해 The Register의 숀 니콜스^{(Shaun Nichols)}가 우려했지만, 위키리크스는 이번에 공개되는 내용들에는 제로데이^(0-day)나 공격할 수 있는 보안 취약점이 없다고 밝혔다.

Detailed News List

Vault 8
- ^{[HelpNetSecurity]} Vault 8: WikiLeaks starts releasing source code of alleged CIA cyber weapons
- ^{[TheRegister]} Learn client-server C programming – with this free tutorial from the CIA

Technologies/Technical Documents/Reports

Summaries

피싱^(Phishing)이 키로거^(Keylogger)나 제3자 데이터 침해^{(3rd-party data breaches)}보다 사용자들에게는 더 큰 위협이라는 연구결과가 나왔다. 구글, 캘리포니아 대학교, 버클리 대학교, 국제 컴퓨터 과학 기구^{(International Computer Science Institute)}에서 비밀/공개 포럼, 페이스트사이트^{(paste site)}, 검색 인덱스 사이트를 2016년 3월부터 2017년 3월까지 조사하고 788,000건의 키로거 피해, 1억2400만건의 피싱킷^{(Phishing kits)} 피해, 데이터 유출로 인한 190억개의 사용자명과 비밀번호를 찾아냈다.

Detailed News List

Phishing > Keylogger, third-party breaches
- ^{[HelpNetSecurity]} Phishing is a greater threat to users than keyloggers and third-party breaches

Crypto Currencies

Summaries

얼마전 패리티 월렛^{(Parity Wallet)}의 일부 약 2억 8천억 달러^{($280 million)}어치의 암호화폐가 사용할 수 없게 되어버린 사건이 있었다. 패리티 테크놀로지스^{(Parity Technologies)}는 이 사건이 누군가 실수로 라이브러리에 존재하는 취약점을 건드려서 발생했다고 발표했었다. 그러나 1백만 달러의 이더리움 다중서명 지갑이 잠겨버린 암호화폐 수집가는 이 사건이 실수가 아닌 고의적이며 사기행위라고 주장했다.

Detailed News List

Parity Wallet
- ^{[SecurityAffairs]} Ethereum Parity Wallet freeze that locked up $280 million in Ether was a hack, claims Cappasity

Internet of Things

Summaries

브라더 프린터의 취약점에 대해 계속적인 기사가 나오다가, 취약점 정보가 공개되었다. 트러스트 웨이브^(Trustwave)의 연구자원들이 취약점 ^{CVE-2017-16249}에 대한 정보를 공개했다. 이 연구원들은 브라더 프린터의 특정 모델들이 공격자에 의해 일시적으로 사용할 수 없는 상태에 빠질 수 있는 취약점을 발견한 바 있다. 공격은 프린터에 내장되어있는 Debut httpd 서버의 취약점을 건드려 서비스 거부 상태^{(Denial of Service)}를 일으킨다. 이 공격은 조작된 HTTP POST 요청 하나만 보내면 가능한데, 이 조작된 요청을 보내면 최종적으로 500 내부 서버 에러 메시지를 반환할때 까지 프린터가 멈추게 된다.

Detailed News List

Brother Printer
- ^{[NakedSecurity]} Simple exploit can be used to disable Brother printers remotely