Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Vault 7

Security Newsletters, Nov 15th, 2017

Posted on 2017-11-15 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

  • 섀도우 브로커(Shadow Brokers)의 사이버공격이 어떻게 미국 첩보기관인 NSA에 침투할 수 있었는가에 대한 기사가 등록됐다.

Detailed News list

  • Shadow Brokers
    • [TheTimes] Shadow Brokers cyberattack infiltrated heart of US spy agency
    • [NYTimes] HOW THE SHADOW BROKERS UNLEASHED THE NSA’S POWERFUL CYBERWEAPONS ON THE WORLD
    • [CyberX] HOW THE SHADOW BROKERS UNLEASHED THE NSA’S POWERFUL CYBERWEAPONS ON THE WORLD
    • [CRN] The NSA’s Shadow Brokers Quandary Prompts Top Solution Providers To Warn Customers About Mobile Device Patching

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 신규 IceID 트로이가 미국 은행들을 노리고 있다. IceID 트로이는 IBM의 X-Force 연구팀에 의해 9월에 발견되었다. 발표에 따르면 이 트로이는 특출난 몇몇의 기술 및 기능이 있는데, 네트워크를 통해 전파되며 로컬 프록시를 사용한 트래픽 터널링으로 브라우저 활동을 모니터링 할 수 있다. 월요일에 공개된 발표에 따르면 이 악성코드는 미국내 은행, 지불카드사, 모바일 서비스 제공사, 급여, 웹메일, 전자상거래 사이트를 대상으로 하고 있다. 그리고 두 곳의 영국 기반의 은행들도 대상이다. IceID는 Emotet 트로이에 의해 유포되고 있다. Emotet은 이미 은행에서 보낸 것 처럼 꾸민 악성 ZIP파일이 포함된 스팸 작전으로도 알려져있다.
  • 마이크로소프트(Microsoft)의 윈도우즈 디펜더(Windows Defender)는 최근 알려진 AVGater에 대해 취약하지 않다는 기사가 올라왔다. 최근 발표된 취약점인 AVGater는 안티바이러스 제품들의 검역소(Quarantine)기능을 이용해 악성 DLL 파일을 검역소로 이동시켰다가 보안 프로그램의 윈도우 프로세스를 이 파일을 복구하는데 이용하는 방법이다. 그러나 마이크로소프트는 윈도우즈 디펜더가 사용자 계정에서 실행된 응용프로그램(launched by user-level account)이 검역소의 파일을 복구하는 것을 허용하지 않기 때문에 이 AVGater에 영향을 받지 않는다고 밝혔다.
  • 음성인식 시스템(Voice recognition systems)이 성대모사꾼(impersonators)에 의해 쉽게 속아넘어 갈 수 있다고 핀란드 대학 연구가 주장했다. 동핀란드 대학(University of Eastern Finland) 연구원들은 최고급 음성인식 시스템이 낮은 보안 수준으로 인해서 상대적으로 공격하기 쉽다고 주장했다. 목소리 변화에 대한 인식에 효율적이지 않아서 훈련된 성대모사꾼이 시스템을 속일 수 있다는 것이다.

Detailed News List

  • New IceID
    • [ThreatPost] NEW ICEDID TROJAN TARGETS US BANKS
    • [SecurityIntelligence] New Banking Trojan IcedID Discovered by IBM X-Force Research
    • [DarkReading] New Banking Trojan Similar to Dridex, Zeus, Gozi
    • [SecurityWeek] New IcedID Banking Trojan Emerges
    • [BleepingComputer] New IcedID Banking Trojan Discovered
  • AVGater
    • [SecurityWeek] Windows Defender Immune to AVGater Quarantine Flaw: Microsoft
    • [Microsoft] AVGater vulnerability does not affect windows defender antivirus
  • Voice Recognition System
    • [v3] Voice recognition systems easily fooled by impersonators, claims Finnish university study

 

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

  • GDPR(the European Union’s General Data Protection Regulation) 적용의 데드라인이 다가오는 가운데, 기업들이 모바일 기기 사용에 대해 통제하고 있다는 맹목적인 믿음이 있다는 보고서가 나왔다. 설문에서 61%의 기업 보안 및 IT 책임자들은 사용자들이 기업 자산(Resource)을 모바일 장치에서 접근하는 것에 대해 제한하고 있다고 믿는다는 결과를 내놓았다. 그러나 64%의 직원들은 기업 고객, 파트너, 직원 데이터에 이런 장치들로 접근 가능하다는 것을 인정했다. 58%의 직원들은 고객의 개인식별정보(PII, Personally Identifiable Information)를 모바일 기기에서 조회할 수 있다고 말했다.

Detailed News List

  • GDPR
    • [DarkReading] Companies Blindly Believe They’ve Locked Down Users’ Mobile Use
    • [InformationManagement] 8 ways the GDPR could impact most organizations

 

Patches/Updates

Summaries

  • 파이어폭스(Firefox)의 새로운 버젼인 57, 일명 퀀텀(Quantum)이 공개되었다. 모질라 재단이 윈도우즈, 맥, 리눅스용 Firefox 57 릴리즈를 공개했다. 파이어폭스 57은 완전히 개조된 디자인과 모질라의 Rust 프로그래밍 언어로 쓰여진 차세대 CSS 엔진인 스타일로(Stylo)를 포함해 전체적으로 손본 코드를 기반으로 상당히 빨라졌다고 한다.
  • SAP가 22개의 취약점을 수정하는 2017년 11월 패치 세트를 릴리즈했다. 세 건은 Hot News이고, High Severity 한 건, 18건의 Moderate risk bugs로 구성되었다. 이번 패치는 2017년 4월에 TREX/BWA에 존재하던 공격자가 시스템에 영향을 줄 수 있는 명령을 실행할 수 있는 매우 높은 등급의 취약점을 수정한 이래 매우 높은 등급(Hot News) 보안 노트를 포함한 첫 패치다.
  • 마이크로소프트(Microsoft)가 Patch Tuesday 업데이트에서 웹 브라우저의 20개 취약점을 포함해 50개 이상의 취약점을 수정했다.
  • 어도비(Adobe)가 9개 제품에 걸쳐 80개 취약점을 수정했다. 플래시 플레이어, 포토샵 등의 소프트웨어가 대상이다. (Connect, Acrobat and Reader, DNG Converter, InDesign, Digital Editions, Shockwave Player, Experience Manager)

Detailed News List

  • Firefox 57 “Quantum”
    • [TheHackerNews] Firefox 57 “Quantum” Released – 2x Faster Web Browser
    • [BleepingComputer] Firefox 57 Brings Better Sandboxing on Linux
  • SAP November Security Update
    • [SecurityWeek] SAP Patches Critical Issues With November 2017 Security Updates
  • Patch Tuesday
    • [SecurityWeek] Microsoft Patches 20 Critical Browser Vulnerabilities
  • Adobe
    • [SecurityWeek] Adobe Patches 80 Flaws Across Nine Products

 

Privacy

Summaries

  • 애플이 자랑한 페이스아이디(FaceID)기술이 150달러의 가짜 마스크에 의해 깨진 사건에 대한 기사가 이어지고 있다. 베트남의 보안회사 Bkav의 연구원들이 아이폰의 FaceID 인증을 약 150달러로 만들어낸 가면으로 통과했다. 가면은 2D 프린터와 3D 프린터로 만들어졌고, 손으로 만든 실리콘 코를 붙였다.

Detailed News List

  • iPhone FaceID
    • [InfoSecurityMagazine] $150 Mask Fools iPhone X Facial Recognition

 

Mobile/Cloud

Summaries

  • 약 한달 전 원플러스(OnePlus) 스마트폰이 사용자 몰래 정보를 수집해 중국으로 보내던 것이 드러난데 이어서, 원플러스 스마트폰에서 루트권한의 백도어가 발견되었다. 트위터의 Elliot Anderson이라는 이름의 사용자(드라마 Mr.Robot의 주인공)가 OxygenOS를 사용하는 모든 OnePlus 장비에서 누구나 Root 권한을 얻을 수 있는 취약점을 찾아냈다. 문제가 되는 응용프로그램은 EngineerMode라는 앱으로, 퀄컴이 장비 제조사들이 장치에 모든 하드웨어 부품들을 테스트 할 수 있도록 제공한 진단 앱이다. 이 APK는 모든 OnePlus 장치들에 사전설치된(Pre-installed) 앱이다. 여기엔 OnePlus 2, 3, 3T, 5가 해당한다. 누구나 스마트폰에 물리적으로 접근할 수 있다면, 루트권한을 얻어낼 수 있는 것이다. 그리고 EngineerMod APK를 디컴파일한 트위터 사용자는 특정 비밀번호(Angela)를 사용해서 열면 부트로더 언락도 필요없이 루트권한에 접근할 수 있음을 찾아냈다.

Detailed News List

  • OnePlus Phone
    • [TheHackerNews] OnePlus Left A Backdoor That Allows Root Access Without Unlocking Bootloader

 

Data Breaches/Info Leakages

Summaries

  • 미국의 유명 차량콜 서비스 Fasten이 사용자 신상 및 운전자 정보를 노출했다. 연구원들은 1백만명의 서비스 이용자 정보와 수천명의 기사 정보를 발견했다. 크롬테크(Kromtech) 보안 센터의 Bob Diachenko에 따르면, 이 프라이버시 문제는 우버와 유사한 Fasten 업체의 잘못 설정(misconfigured)된 아파치 하이브(Apache Hive) 데이터베이스로 인해 발생했다. 노출된 데이터는 이름, 이메일 주소, 전화번호, 사진 링크, IMEI 번호, 자동차 등록증 및 번호판 세부 정보, 운전기사에 대한 메모등이 포함되어 있었다. Fasten은 이 문제에 대해 긴급히 대응해 문제시 된 데이터베이스를 오프라인 상태로 만들었다.
  • ISIS를 대상으로 한 무슬림 핵티비스트의 공격에 대한 기사가 이어졌다. Di5s3nSi0N이라는 이름의 핵티비스트는 #SilenceTheSwords 라는 작전으로 11월 17일 모든 ISIS에 연관된 웹사이트와 서버들을 공격해서 ISIS를 인터넷에서 모두 없애버리겠다고 말했다. Di5s3nSi0N은 이미 ISIS의 뉴스 사이트를 공격해 2,000여명의 메일링 리스트 주소를 공개한 바 있다.
  • 클라우드 기반의 보안성이 높다고 알려진 허들(Huddle) 오피스 협업 도구에서 BBC 및 KPMG의 파일을 인증되지 않은 사용자에게 노출시키는 취약점이 발견되었다. 허들은 클라우드 기반 도구로 영국의 내무부(the UK Home Office), 내각(Cabinet Office), 세입 및 세관(Revenue & Customs)과 국민보건서비스(NHS, National Health Service) 여러 지부(Branches of the NHS)에서 사용된다. 허들은 해당 취약점을 수정했다고 발표했다. 이 문제는 BBC의 기자가 팀에게 공유된 달력에 접근하고자 로그인 했을때, 달력이 아니라 KPMG의 계정으로 리다이렉트 되면서 발견되었다.
  • 위키리크스(WikiLeaks)가 Vault 7 도구들의 소스코드를 공개하고 있다. Vault 8이라 불리는 이 시리즈는 유출된 CIA의 해킹 툴 들의 소스코드를 포함하고 있다. 위키리크스는 이번에 Hive라 불리는 CIA가 개발한 익스플로잇 및 악성코드를 원격으로 조종자들이 제어할 수 있는 악성코드 원격제어 플랫폼이다.

Detailed News List

  • Fasten Exposed 1M customers
    • [InfoSecurityMagazine] Fasten Database Error Exposed One Million Customers
  • Cyber-war on ISIS
    • [InfoSecurityMagazine] Muslim Hacktivists Declare All-Out Cyber-War on ISIS
  • Huddle
    • [InfoSecurityMagazine] ‘Highly Secure’ Cloud Tool, Huddle, Exposes Private KPMG, BBC Files
  • Vault 8
    • [InfoSecurityMagazine] WikiLeaks Releases Source Code for Vault7 Tools

 

Industrial/Infrastructure/Physical System/HVAC

Summaries

  • 이스라엘 스타트업인 메디게이트(Medigate)가 온라인에 연결된 의료기기를 보호하기 위한 535만 달러의 종자 기금(seed fund)를 발표했다. CISO들과 보안팀들이 사이버 공격으로부터 네트워크에 연결된 의료장치들을 보호하게 하는 기술 플랫폼 지원은 YL Ventures로부터 이루어지며, Blumberg Capital로부터의 추가 자금이 지원된다.
  • 미국과 영국의 1/5의 헬스케어 기관들이 아직도 Windows XP를 사용하고 있다고 InfoSecurity Magazine이 보도했다. 지난 몇년간 투자를 늘려왔음에도 불구하고 헬스케어 분야의 IT 전문가들은 사이버 위협에 대한 기관의 능력에 대하여 자신감을 보이지 못하고 있다. 1/5이 아직도 Windows XP 기기를 네트워크에서 구동중이며, 1/4이상(26%)은 해당 시스템들을 업데이트 할 수 있는지 혹은 어떻게 하는지 조차 모른다고 답변했다.
  • 지멘스(Siemens)의 RTU(Remote Terminal Unit) 모듈에서 원격코드실행(Remote Code Execution)이 가능한 심각한 취약점이 발견되었지만, 제품지원이 중단되어서 패치가 제공되지 않는다는 기사가 올라왔다. SEC Consult의 연구자들이 전세계 에너지 및 기타 분야에서 사용되고 있는 SICAM RTU SM-2556 COM 모듈에서 취약점을 발견했다. 지멘스는 제품 지원이 중단되었기 때문에 패치를 제공하지 않는다고 결정을 내렸다. 사용자들은 진단을 위해 설계되었지만 일반 운영에서는 필요하지 않은 취약한 웹 서비스를 비활성화 하는 방법으로 잠재적인 공격을 예방할 수 있다. CVE-2017-12739, CVE-2017-12738, CVE-2017-12737

Detailed News List

  • Medigate
    • [HelpNetSecurity] Medigate announces $5.35M seed round to protect connected medical devices
  • Windows XP
    • [InfoSecurityMagazine] One-Fifth of Healthcare Organizations Still Run XP
  • Siemens
    • [SecurityWeek] Flaw in Siemens RTU Allows Remote Code Execution

 

Technologies/Technical Documents/Reports

Summaries

  • 전세계의 정부들에 의해 소셜미디어가 조작되고 세계 인터넷 자유를 위협받고 있다는 Freedom on the Net 2017 리포트가 나왔다. 언뜻 무슨 이야긴가 싶은 제목이긴 한데, 미 대선에 영향을 미치기 위해 러시아로부터의 국가적인 개입이 점차 드러나고 있는 점이나, 미 중앙정보국(CIA)의 공격용 익스플로잇들과 원격제어를 위한 하이브(Hive) 프로젝트등이 위키리크스(WikiLeaks)에 의해 계속적으로 폭로되는 상황을 생각해보면 틀린말은 아니라는 것이 수긍이 간다. 그리고 중국, 베트남등 국가차원의 APT 그룹들이 횡행하는 모습들도 리포트에 힘을 실어주는듯 하다.
  • 바로니스(Varonis)의 연구 결과에 따르면 과반수 이상의 IT 전문가들이 이후 12개월 안에 매우 심각하고 강력한 공격을 겪을 것으로 예상한다고 한다. 바로니스는 영국, 독일, 프랑스, 미국의 500명의 IT 의사결정자를 대상으로 조사했다.
  • 신흥 IT 보안 기술 13종이 소개되었다. 각각은 다음과 같다. 1.CASB(Cloud Access Security Brokers), 2.Endpoint Detection and Response, 3.Next-Generation Endpoint Security, 4.Deception, 5.Threat Intelligence Analysis, 6.Artificial Intelligence/Machine Learning, 7.Orchestration, 8.IoT Security, 9.ICS Security, 10.DevSecOps, 11.SOC-as-aService, 12.Authentication, 13.Cloud Security Services.
  • 연구에 따르면 소프트웨어 릴리즈 및 업데이트 빈도가 코드 크기나, 내부제작(In-house)/외부하청(offshore)여부 보다 응용프로그램 보안에 더 큰 영향을 준다. 자주 응용프로그램을 릴리즈 할 수록, 더 많은 보안 취약점들이 코드에 생겨날 가능성이 높아진다고 한다. CAST Research Labs에서 최근 1,388개의 Java EE 또는 .Net 어플리케이션을 분석한 결과다. 6700만 룰을 2억7800만 행의 코드에대해 검사했고, 130만개의 약점을 찾아냈다. 애자일 방법론(Agile practices)이 응용프로그램 개발 속도를 향상시키고 개발자의 요구사항(requirements)변화 수용력을 높여 주지만, 또한 보안 위협도 높인다는 것이다.
  • 마이크로소프트(Microsoft)가 퍼징(Fuzzing)능력 향상을 위해 신경망(Neural Networks)을 사용한다. 마이크로소프트 연구자들이 퍼징 기술 개선을 위해 심층신경망(DNN, Deep Neural Networks)을 사용하는 작업을 하고 있으며, 첫 테스트에서 기대되는 결과를 보여줬다. 인간의 두뇌를 모델로 한 일련의 알고리즘인 신경망은 패턴을 인식해 분류(Classify)하거나 군집(Cluster)을 만드는데 도움이 되기 위해 설계되었다.

Detailed News List

  • Freedom on the Net 2017
    • [HelpNetSecurity] Governments manipulate social media, threaten global Internet freedom
    • [InfoSecurityMagazine] Governments Undermined Elections in 18 Countries Last Year
  • Be prepared for attack
    • [InfoSecurityMagazine] IT Pros Expect the Worse, Claim to be ‘Prepared’ for Attack
  • Emerging IT Security Technologies
    • [DarkReading] Emerging IT Security Technologies: 13 Categories, 26 Vendors
  • Frequent Software Release
    • [DarkReading] Frequent Software Releases, Updates May Injure App Security
  • Fuzzing by Neural Networks
    • [SecurityWeek] Microsoft Uses Neural Networks to Improve Fuzzing

 

Crypto Currencies

Summaries

  • 러시아 개발자가 자신의 유명 가로세로 낱말퍼즐 어플리케이션 Puzzle에 사용자에게 채굴에 사용된다는 알림 없이 암호화폐 채굴 코드를 심었다. 자신의 응용프로그램에 개발자 스스로 채굴 코드를 심는 것이 불법은 아니지만, 사용자들이 자신의 장치들이 채굴에 사용되는 것을 몰랐다는 윤리적 문제가 제기됐다.

Detailed News List

  • Puzzle app
    • [DarkReading] Russian Developer Snuck Cryptocurrency Mining into Android Apps

 

Internet of Things

Summaries

  • 시스코(Cisco) Talos의 연구원 Claudio Bozzato에 의해 Foscam C1 아이피 카메라의 취약점이 발견되었다. 이 카메라는 가장 흔하게 사용되는 아이피 카메라 중 하나로 일반적으로는 보안 목적이나 아이, 애완동물, 집안을 원격으로 관찰하기 위한 목적으로 설치된다. 카메라의 펌웨어 2.52.2.43를 사용하는 경우 취약점을 가지고 있으며, 정보가 유출되거나 원격 코드 실행을 통해 서명되지 않은 펌웨어가 카메라에 업로드 될 수 있는 버그가 존재한다. 카메라 DDNS 클라이언트에 네개의 공격가능한 버퍼오버플로우 취약점이 있으며, HTTP 요청에 대한 응답을 조작해 공격자가 취약점을 공격할 수 있다.
  • 기업들이 물리보안장치로 사물인터넷(IoT, Internet of Things) 장치를 채택하고 있다는 조사 결과가 나왔다. 설문 응답자 대다수는 IoT 기술들을 보안 카메라와 같은 형태로 설치하고 있다고 말했다. 기업들은 사물인터넷 장치들을 운영 프로세스 개선 및 비용 감소를 등의 이유로 채택한다고 말했지만, 가장 중요한 이유는 물리보안을 위해서였다. 그러나 IoT 기기들을 감염시켜 발전해나가는 Mirai같은 경향을 볼 때, 사물인터넷 장치의 보안 위협에 대한 고려가 함께 되어야 한다.

Detailed News List

  • Foscam C1 IP Cameras
    • [HelpNetSecurity] Critical flaws open Foscam C1 IP cameras to compromise
  • IoT Adoption
    • [DarkReading] Enterprise Physical Security Drives IoT Adoption

 

Posted in Security, Security NewsTagged #SilenceTheSwords, AVGater, Crypto Currency, Cryptocurrency Mining, CVE-2017-12737, CVE-2017-12738, CVE-2017-12739, Cyber Espionage, Emotet, FaceID, Fuzzing, GDPR, Hacktivism, Healthcare, IceID, Industrial Control System, Information Leakage, IoT, Malware, Misconfigured system, Neural Networks, Patches, Physical System, Project Hive, Regulation, Shadow Brokers, Vault 7, Vault 8, Voice Recognition, Vulnerability, WikileaksLeave a comment

Security Newsletters, Nov 12th, 2017

Posted on 2017-11-12 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

  • 위협정보(Threat Intelligence)의 공유를 위한 방법들에 대한 논의에 대한 기사가 나왔다. Dark Reading의 INsecurity 컨퍼런스에서 있었던 토론에서 산업계 전문가들이 위협정보를 공유해야 하는 이유와 왜 중요한지, 어떻게 시작할 지에 대해 이야기를 나눴다. 트루스타 테크놀로지(TruStar Technology)의 설립자이자 CEO인 Pau Kurtz는 위협 정보 공유의 주요 원칙에 대해 설명했다. 1.정보 공유는 이타적이기만 한 행위가 아니다. 2.정보 공유는 침해에 대한 알림만이 아니다. 3.익스플로잇이나 취약점에 대한 다른 기업과의 데이터 공유는 적법한 행위다. 개인 식별 정보를 공유하지 않는한. 4.공유 체계는 쉽게 만들어져야 한다.

Detailed News list

  • Threat Intelligence
    • [DarkReading] 6 Steps for Sharing Threat Intelligence

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 스크린 인터페이스로 제한된 상황에서의 데이터 유출용 도구인 PTP-RAT에 대한 개념증명(PoC, Proof Of Concept)버젼이 공개되었다. 이 툴은 스크린 인터페이스 외에는 외부 전달 채널이 없는 경우의 데이터 유출에 대한 개념 증명(Proof of concept)을 위해서 제작된 프로그램 이다. PTP-RAT은 외부로 파일 전송이 불가능한 상황에서 스크린 인터페이스를 사용해 추출하고자 하는 데이터를 픽셀로 인코딩해 원격 화면으로 전송한다. 전송버튼을 누르면 파일 데이터가 픽셀 색상값으로 변환되어 화면에 찍히게 된다. 그러면 수신 앱 측에서는 스크린샷을 찍어서 데이터를 복원해낸다. 여기서 각각의 플래시 되는 화면은 PTP-RAT-CHUNK라는 헤더를 포함하며 이 정보를 찾아내서 원래 파일을 복원한다. 개념증명용으로 만든 이 툴에서 파일을 원격으로 가져오는데 성공했고 그 과정을 YouTube동영상으로 공개했다.
  • AUTOIT 자동화 스크립트가 화면 덮어쓰기 악성코드가 안티바이러스(AV) 탐지를 우회하는데 쓰이고 있다. IBM X-Force 연구팀은 해커들이 브라질 은행을 공격하면서 AutoIt이라 불리는 윈도우 스크립팅 툴을 사용해 원격제어트로이(RAT,Remote Access Trojan)를 설치하는데 사용하고 있다고 밝혔다. 연구자들은 AutoIt을 사용하는 것이 안티바이러스 탐지율을 낮춘다고 말했다. 공격자는 종종 AutoIt을 사용해 AV를 우회하여 악성코드를 컴파일하고 그 것을 정상적인 AutoIt 프레임워크 프로세스로 실행한다. AutoIt은 시스템 관리 프로세스를 스크립트를 사용해 자동화 해주는 무료 소프트웨어다.
  • 트렌드 마이크로(Trend Micro)가 토스트아미고(TOASTAMIGO)라는 토스트 오버레이 공격(Toast Overlay attack)과 관련된 최근에 패치된 취약점을 사용하는 새로운 종류의 악성코드를 찾아냈다. 트렌드 마이크로는 Toast Overlay attack과 관련된 취약점인 CVE-2017-0752를 공격하는 새로운 종류의 악성코드를 탐지했다. 이 취약점은 9월에 팔로알토네트웍스 유닛42(Palo Alto Networks Unit 42)의 연구자들에 의해 발견되었다. 전문가들은 대상 안드로이드 장치를 장악하기 위한 관리자 권한을 얻기 위해, 안드로이드에서 짧게 표시되는 팝업 알림인 토스트 알림(toast notification)을 공격할 수 있다고 보고했다. 이 취약점은 최신의 안드로이드 8.0(Oreo) 이전버젼의 모든 안드로이드 운영체제에 영향을 미친다. 거의 모든 안드로이드 사용자라고 봐도 될 정도다. 구글은 이 취약점을 월간 안드로이드 보안 업데이트에서 수정했다.
  • AVGater가 검역(Quarantine) 취약점을 권한 상승에 사용하고 있다. 보안전문가 Florian Bogner는 AVGater라는 일부 안티바이러스 제품군의 검역소(quarantine)기능을 악용하여 권한 상승(escalate privileges)을 하는 방법을 고안했다. 유명한 여럿 안티바이스 제품들이 공격자가 장악한 시스템의 권한상승을 하기위해 검역소 기능을 악용하는 방식에 영향을 받을 수 있다. Bogner에 따르면, 공격 체인(the attack chain)은 안티바이러스 소프트웨어가 악성 DLL 파일을 검역소에 넣게 만드는 것부터 시작한다. 그리고나면 공격자는 SYSTEM 권한으로 실행되는 보안 응용프로그램의 윈도우즈 프로세스를 사용해서 파일을 복구한다. 악성 DLL 파일은 그 파일이 원래 있던 위치로 복구되지 않고, 상승된 권한의 프로세스가 실행할 수 있는 다른 폴더, 예를 들어 Program Files나 Windows와 같은 폴더로 복구된다. 이 새로운 위치의 파일들은 제한된 사용자 권한으로는 덮어쓸 수 없는 파일이다.
  • 새로운 로키(Locky) 랜섬웨어가 새로운 양상을 띄고 있다. 새롭게 발견된 로키 랜섬웨어 종류가 정상 마이크로소프트 워드 문서파일로 위장한 것으로 나타났다. 새로운 버젼의 로키 랜섬웨어가 마이크로소프트 워드(Microsoft Word)나 리브레 오피스(Libre Office)와 같은 생산성 응용프로그램(Productivity Applications)의 정상(Legitimate) 문서파일이 첨부된 것으로 위장하여 퍼지고 있다. 아비라 바이러스 연구소(Avira Virus Lab) 연구원들은 이번주 초 이 랜섬웨어를 탐지했다. 이 형태의 로키 랜섬웨어는 동일하게 “.asasin” 확장자를 사용한다. 그러나 이번에는 사용자를 속이기 위해 “보호 문서(Protected Document)“인 것처럼 위장했다. 로봇이 아닌 것을 증명하기 위해서는 문서의 이미지를 더블클릭해서 사람 확인 절차를 진행하라는 메시지가 포함되어 있고, 더블클릭하면 최종적으로 파일이 “.asasin” 확장자가 붙어 암호화 된다.

Detailed News List

  • PTP-RAT
    • [HelpNetSecurity] Data exfiltration tool PTP-RAT encodes data in pixel colour values
  • AUTOIT
    • [ThreatPost] AUTOIT SCRIPTING USED BY OVERLAY MALWARE TO BYPASS AV DETECTION
  • TOASTAMIGO
    • [SecurityAffairs] TOASTAMIGO – the first known strain of malware that uses the Toast Overlay exploit
  • AVGater
    • [SecurityAffairs] #AVGater attack abuse Quarantine vulnerabilities for privilege escalation
  • Locky
    • [DarkReading] New Locky Ransomware Takes Another Turn

 

Patches/Updates

Summaries

  • 구글 크롬(Google Chrome)의 업데이트 계획에 대한 기사가 이어지고 있다. 사용자가 원치 않는 컨텐츠를 차단하기 위해 리다이렉트를 방지하기로 한 계획에 대해 기사가 계속되고 있다. 크롬64 에서는 세가지 새로운 보호기능이 탐재될 것으로 보인다. 구글에 따르면, 1/5의 데스크탑 사용자가 원치않는 사이트나 원치않는 컨텐츠를 경험한다고 한다. 크롬 64에서는 모든 제3자 iframe으로 부터의 리다이렉트는 리다이렉트가 되지 않고 사이드바 정보를 표시한다. 유사하게, 일부 사용자는 새로운 탭에 열리는 링크를 클릭하지만 메인 윈도우가 원치않는 페이지로 리다이렉트 되는 경우도 있다. 이러한 행위도 정보바를 동작하게 해 메인 탭이 리다이렉트 되거나 크롬의 팝업 차단 우회를 예방한다. 다른 리다이렉트는 탐지하기 어려운데, 제3자로의 링크가 실행버튼이나 다른 웹사이트 제어버튼으로 위장한 경우다.

Detailed News List

  • Google Chrome
    • [DarkReading] Google Updates Chrome to Prevent Unwanted Content, Redirects
    • [Chromium Blog] Expanding user protections on the web

 

Security Breaches/Info Leakages

Summaries

  • 위키리크스(WikiLeaks)의 Vault 8 기사가 이어지고 있다. 이번에 공개된 부분은 하이브(Hive)의 소스코드와 개발 로그들이다. 하이브는 CIA가 심은 악성코드가 원격의 CIA 운영자와 안전하게 통신할 수 있도록 만들어진 플랫폼이다. CIA가 정체를 속이며 만든 가짜 인증서도 나왔는데, 카스퍼스키 연구소(Kaspersky Lab)의 가짜 인증서였다. 유진 카스퍼스키(Eugene Kaspersky)는 이에 대하여 그 카스퍼스키 인증서는 가짜이며 카스퍼스키의 사용자, 개인키, 서비스 모두 안전하며 영향받은게 없다고 발표했다. 보안연구가 Martijin Grooten은 가짜 카스퍼스키 인증서에 대하여 아마도 널리 쓰이는(widely used) 이름이기 때문에 선택했을 것이라고 트위터를 통해 평했다. 새로 공개되는 정보로 인해 악성코드 제작자들이 재 활용할 수 있는 가능성에 대해 The Register의 숀 니콜스(Shaun Nichols)가 우려했지만, 위키리크스는 이번에 공개되는 내용들에는 제로데이(0-day)나 공격할 수 있는 보안 취약점이 없다고 밝혔다.

Detailed News List

  • Vault 8
    • [HelpNetSecurity] Vault 8: WikiLeaks starts releasing source code of alleged CIA cyber weapons
    • [TheRegister] Learn client-server C programming – with this free tutorial from the CIA

 

Technologies/Technical Documents/Reports

Summaries

  • 피싱(Phishing)이 키로거(Keylogger)나 제3자 데이터 침해(3rd-party data breaches)보다 사용자들에게는 더 큰 위협이라는 연구결과가 나왔다. 구글, 캘리포니아 대학교, 버클리 대학교, 국제 컴퓨터 과학 기구(International Computer Science Institute)에서 비밀/공개 포럼, 페이스트사이트(paste site), 검색 인덱스 사이트를 2016년 3월부터 2017년 3월까지 조사하고 788,000건의 키로거 피해, 1억2400만건의 피싱킷(Phishing kits) 피해, 데이터 유출로 인한 190억개의 사용자명과 비밀번호를 찾아냈다.

Detailed News List

  • Phishing > Keylogger, third-party breaches
    • [HelpNetSecurity] Phishing is a greater threat to users than keyloggers and third-party breaches

 

Crypto Currencies

Summaries

  • 얼마전 패리티 월렛(Parity Wallet)의 일부 약 2억 8천억 달러($280 million)어치의 암호화폐가 사용할 수 없게 되어버린 사건이 있었다. 패리티 테크놀로지스(Parity Technologies)는 이 사건이 누군가 실수로 라이브러리에 존재하는 취약점을 건드려서 발생했다고 발표했었다. 그러나 1백만 달러의 이더리움 다중서명 지갑이 잠겨버린 암호화폐 수집가는 이 사건이 실수가 아닌 고의적이며 사기행위라고 주장했다.

Detailed News List

  • Parity Wallet
    • [SecurityAffairs] Ethereum Parity Wallet freeze that locked up $280 million in Ether was a hack, claims Cappasity

 

Internet of Things

Summaries

  • 브라더 프린터의 취약점에 대해 계속적인 기사가 나오다가, 취약점 정보가 공개되었다. 트러스트 웨이브(Trustwave)의 연구자원들이 취약점 CVE-2017-16249에 대한 정보를 공개했다. 이 연구원들은 브라더 프린터의 특정 모델들이 공격자에 의해 일시적으로 사용할 수 없는 상태에 빠질 수 있는 취약점을 발견한 바 있다. 공격은 프린터에 내장되어있는 Debut httpd 서버의 취약점을 건드려 서비스 거부 상태(Denial of Service)를 일으킨다. 이 공격은 조작된 HTTP POST 요청 하나만 보내면 가능한데, 이 조작된 요청을 보내면 최종적으로 500 내부 서버 에러 메시지를 반환할때 까지 프린터가 멈추게 된다.

Detailed News List

  • Brother Printer
    • [NakedSecurity] Simple exploit can be used to disable Brother printers remotely
Posted in Security, Security NewsTagged AutoIt, AVGater, CVE-2017-0752, CVE-2017-16249, DoS, Exploit, Fake Certificate, Locky, Malware, Patches, Phishing, Project Hive, PTP-RAT, RAT, Threat Intelligence, Toast Overlay Attack, TOASTAMIGO, Unwanted Contents, Vault 7, Vault 8, Vulnerability, WikileaksLeave a comment

Security Newsletters, Nov 11th, 2017

Posted on 2017-11-11 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

  • 카스퍼스키랩(Kaspersky Lab)이 아제르바이잔(Azerbaijan)의 다수의 기업 사용자들이 사이버 공격의 대상이 되고 있다고 밝혔다. 2017년의 10개월에 걸쳐 아제르바이잔의 5,500명의 기업 사용자들이 사이버 공격의 목표물이 되었다고 아제르바이잔 카스퍼스키랩의 대변인 Mushvig Mammadov가 Trend와의 인터뷰에서 말했다. 그는 평균 사용자들이 50번의 사이버 공격에 노출된다고 말했다. 대부분의 사이버 공격은 악성코드에 일어나며, 기업 직원들의 사이버 보안에 대한 낮은 이해 때문이기도 하다고 말했다.
  • 윈도우즈 무비 메이커(Windows Movie Maker) 사기(Scam)가 검색최적화(SEO, Search Engine Optimization)을 통해 전세계로 퍼져나가고 있다. 윈도우즈 무비메이커 사기를 진행하는 범죄자의 웹 사이트가 검색엔진 최적화를 통해 구글에서 높은 순위를 차지하고 있어 전세계로 퍼져나가고 있다는 것이다. 윈도우즈 무비 메이커에 대한 사용자요구가 계속되는 와중에, 마이크로소프트는 무료 비디오 편집 소프트웨어인 윈도우즈 무비 메이커를 2017년 1월에 중단했다. 보안기업 ESET은 스캐머(Scammer)가 순진한 사용자로부터 돈을 긁어모으기 위한 용도로 수정된 버젼의 소프트웨어를 사용하고 있는 것을 발견했다. 흥미롭게도 이 사기사건은 범죄자의 웹사이트가 검색엔진 최적화에 의해 촉진되고 있다. 사용자가 이 소프트웨어를 설치하면 윈도우즈 무비 메이커 처럼 기능하는 것으로 보인다. 그러나 사용자에게 계속적으로 모든 기능을 사용할 수 있는 정식 버전(full version)으로 업그레이드 하라는 알림이 뜨고, 사용자아게 29.95 달러를 요구한다.

Detailed News list

  • Cyber attacks in Azerbaijan
    • [Trend] Kaspersky Lab reveals number of corporate users subjected to cyber attacks in Azerbaijan
  • Windows Movie Maker Scam
    • [InfoSecurityMagazine] Windows Movie Maker Scam Uses SEO to Go Global

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 마이크로소프트가 DDE(Dynamic Data Exchange)공격 위협 경감을 위한 방안을 제시했다. 이 안내에서는 오피스의 새로운 레지스트리 설정을 추가해서 해당 기능을 안전하게 비활성화 하는지를 다루고 있다. 기존의 DDE 공격은 응용프로그램 간 데이터가 자동으로 교환되는 기능을 이용한 공격이었다. 이 설정을 추가하면 더이상 각 응용프로그램 간에 자동으로 데이터가 갱신되지 않는다. 이는 엑셀 사용자들 중 자동으로 업데이트 되어야 하는 스프레드시트 등을 사용해야 하는 사용자들에게는 영향을 미칠 수 있는 방법이다.
  • 독일 사용자를 노리는 랜섬웨어로 위장한 Ordinypt(Ordinypt wiper)가 활동중이다. 새로운 악성코드인 Ordinypt는 랜섬웨어로 위장하고 독일 사용자만을 노리고 있다. 랜섬웨어로 위장했다고 말하는 이유는, 이 악성코드는 사용자의 파일을 암호화 하는 대신 의도적으로 파일을 손상시킨다. 이 악성코드는 독일어로 쓰여진 이메일을 통해 유포되며, 구인 광고에 대한 답장 이력서로 가장한다.
  • 인텔의 매니지먼트엔진(ME, Management Engine)에 대한 조금 더 상세한 기사가 나왔다. 최근 인텔 칩셋에 Minix에 기반해서 파일 시스템 및 네트워킹 스택 그리고 웹서버까지 동작하는 숨겨진 기능이 숨어있다는 것. 엔드유저는 일반적으로 알 수 없고, 잘 알려지지도 않았지만 인텔이 컴퓨터 속에 다양한 기능을 수행할 수 있는 작은 컴퓨터가 하나 더 숨겨 놓았다는 것이다. 구글은 보안상의 문제로 이 기능들을 제거하고 있으며, 몇몇 전문가들에 의한 이 기능을 비활성화 하는 방법에 대해 설명은 있었지만 인텔로 부터의 직접적인 언급이나 가이드는 없었다. 이 숨겨진 컴퓨터에는 전체 네트워킹 스택(full networking stack)과 파일시스템, 드라이버들(USB, networking, etc), 웹서버가 포함된다.

Detailed News List

  • DDE Attack
    • [ThreatPost] MICROSOFT PROVIDES GUIDANCE ON MITIGATING DDE ATTACKS
  • Ordinypt wiper
    • [SecurityAffairs] Ordinypt is a wiper disguised as ransomware that targets German users
    • [BleepingComputer] Ordinypt Ransomware Intentionally Destroys Files, Currently Targeting Germany
  • Intel Management Engine
    • [TechDirt] Recent Intel Chipsets Have A Built-In Hidden Computer, Running Minix With A Networking Stack And A Web Server
    • [HackRead] Intel’ Management Engine Tech Just Got Exposed Through USB Ports

 

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

  • 스코틀랜드 정부가 국가공공영역의 사이버보안 향상을 위한 사이버 탄력성 행동 계획(Cyber Resilience Action Plan)을 발표했다. 이번에 발표된 Safe, Secure and Prosperous: A Cyber Resilience Strategy for Scotland에서는 2017-18년의 행동 계획을 설명하고 있다. the government north of the border and the National Cyber Resilience Leaders’ Board에서 작성한 이 보고서는 공공영역(the public sector)에서의 사이버 탄력성의 문화(a culture of cyber resilience)를 만드는 것을 목표로 두고 있다.

Detailed News List

  • Cyber Resilience Action Plan
    • [InfoSecurityMagazine] Scottish Government Launches Cyber Resilience Action Plan

 

Privacy

Summaries

  • Appthority가 발표한 Eavesdropper 취약점에 대한 기사가 이어지고 있다. Twilio의 Rest API와 SDK를 사용하는 모바일 어플리케이션에서 인증정보를 부주의하게 하드코딩해서 민감한 정보들이 노출되는 상황에 처한 것이다. 보안연구자들은 거의 700개의 어플리케이션이 실제로 위협으로 작용할 수 있으며, 170개 이상의 어플리케이션은 현재 공식 앱스토어에 그대로 있는 것으로 확인했다. 영향을 받는 안드로이드 앱들은 1억 8천만 회 다운로드 되었다. 이렇게 영향을 받는 앱의 예를 들자면, 정부 사법기관의 보안 통신을 위한 앱이나, 기업의 세일즈 팀이 오디오를 녹음하고 토론에서 실시간으로 주석을 달 수있게 해주는 앱 등이다.
  • 구글이 진행한 다크웹 마켓에 대한 연구에서 직접적인 공격으로 훔친 수백만명의 사용자명과 비밀번호가 발견되었다. 그리고 서드파티(third-party)의 데이터 침해로 간접적으로 유출된 수십억명의 사용자명과 비밀번호는 수십억건이 발견되었다. 연구는 2016년 3월부터 2017년 3월까지 버클리의 캘리포니아 대학(the University of California)와 진행되었고, 공개 웹사이트와 범죄 포럼에서 훔친 인증정보에 대한 스캔을 자동화하는 시스템을 제작했다. 연구자들은 788,000개의 계정정보가 키로거(Keylogger)를 통해 도둑맞았고, 1200만개의 인증정보가 피싱(Phishing)을 통해, 33억개의 계정정보는 제3자(third-party) 데이터 침해를 통해 도둑맞았음을 발견했다. 제3자 데이터 침해의 경우에 12%의 노출된 레코드들은 Gmail 주소가 포함되어 있었다. 구글은 이 연구를 통해 6700만개의 구글 계정이 악용당하는 것을 막는 보호조치를 취할 수 있었다고 밝혔다.
  • 미국 법무부장관(US Deputy Attorney General) 로드 로젠스타인(Rod Rosenstein)이 법 집행기관을 돕기위한 암호 백도어(encryption backdoors)에 대한 요청을 반복했다. 서덜랜드 스프링스(Sutherland Springs)의 교회(the First Baptist Church)에서 일어난 이 사건은 최소 26명이 사망했다. 사망한 용의자 데빈 켈리(Devin Kelley)의 휴대폰은 현재 수사관들이 확보하고 있으나 접근할 수 없는 상태다. 비슷한 상황의 샌 버나디노의 대량 사살 사건으로, 결국 애플과 FBI가 법정에 서게되는 일도 있었다. 애플이나 페이스북, 또는 기타 다른 기술업체가 백도어를 만들어 정상적으로 법을 준수하는 일반 고객을 위험에 처하게 하지 않으면서도 이러한 사건에서 경찰에게 내용물에 접근할 수 있도록 해줄 수 있는 방법은 없다는 것은 이제 잘 알려져 있다. 그러나 그러한 이유가 로젠스타인(Rosenstein)이 기술 업체들에게 백도어를 만들라고 촉구하는 것을 막지는 못했다.

Detailed News List

  • Eavesdropper
    • [HelpNetSecurity] Eavesdropper vulnerability exposes sensitive corporate communications data
    • [ThreatPost] EAVESDROPPER VULNERABILITY EXPOSES MOBILE CALL, TEXT DATA
    • [InfoSecurityMagazine] Millions of Android Apps at Risk from Eavesdropper Vulnerability
    • [HackRead] “Eavesdropper” Flaw Exposes Millions of Call, Texts and Recordings
    • [DarkReading] ‘Eavesdropper’ Exposes Millions of Mobile Conversations
  • Stolen Credentials For Sale
    • [InfoSecurityMagazine] Google Research Finds Stolen Credentials For Sale
  • Encryption
    • [InfoSecurityMagazine] Texas Church Shooting: More Calls for Encryption Backdoors

 

Deep Web/DarkNet/Onion

Summaries

  • 레코디드퓨쳐(Recorded Future)의 지하 경제의 사이버 범죄자들에게 투자하는 경우의 수익률에 대하여 설명하는 흥미로운 리포트가 나왔다. 결론적으로는 사이버범죄는 수익률이 좋은 비즈니스이며, 투자의 수익률은 꽤 높을 수 있다. 봇넷을 만들고, 뱅킹 트로이를 전문 악성코드 제작자을 통해 만드는 것은 꽤 쉽고 값싸게 할 수 있다. 3,000 달러에서 5,000 달러 정도면 된다. 은행 계좌 인증정보를 가로채기 위한 web-injects는 100달러에서 1,000달러 까지다. 그리고 방탄(bulletproof) 호스팅이 필요한데, 이건 달마다 150달러에서 200달러 정도가 든다. 탐지 회피를 위한 페이로드 난독화 도구는 50달러 정도다.
  • 다크웹에서 차량 폭탄을 구입하려한 십대가 유죄 판결을 받았다. 영국인 십대가 다크웹에서 차량 폭탄을 구매하려한 혐의로 유죄 판결을 받았다. 영국의 국가범죄기구(NCA, National Crime Agency)에 따르면, 경찰이 5월에 웨스트 미들랜드(West Midlands)의 와이트윅(Wightwick)에서 19세의 Gurtej Randhawa를 체포했다. 국가 범죄기구의 무장작전본부(AOU, Armed Operation Unit)가 주도한 이 수사에서 Randhawa는 차량탑재급조폭발물인 VBIED(Vehicle Borne Improvised Explosive Device)를 구매하려고 했다. NCA는 수화물을 Randhawa가 특정한 주소지로 배달하기 전 가짜 장치로 바꿔치기 하고 전달했다. 그리고 장치를 테스트할 때 까지 기다린 후 Randhawa와 18세, 45세의 두명의 여성을 체포했다. 두명의 여성은 기소되지 않고 풀려났다.

Detailed News List

  • Return on investments in the cybercriminal underground
    • [SecurityAffairs] Experts explain the Return on Investments in the cybercriminal underground
  • Car bomb
    • [NakedSecurity] The teen who bought a car bomb on the Dark Web

 

Security Breaches/Info Leakages

Summaries

  • 이스트 앵글리아 대학교가 두번째 심각한 정보유출에 시달리고 있다. 이 사고는 한 직원의 신상정보가 300명의 대학원생들에게 전송되면서 일어났다. 관리자가 우연히 이메일 배포 목록을 사용해서 사회과학 교수진의 연구결과를 보내려다가 발생한 것으로 보인다. 두번째 메일은 해당 메일 수신인들에게 건강 세부사항이 노출된 직원의 개인의 정보를 기밀로 취급해 보호해 줄 것을 요청하는 내용이 보내졌다.
  • 위키리크스(WikiLeaks)의 Vault 8에 대한 기사도 이어지고 있다. 최근 위키리크스가 폭로한 Vault 8에 따르면 지난 Vault 7에서 폭로한 미 중앙정보국(CIA, Central Intelligence Agency)의 각종 익스플로잇과 악성코드들을 사용해 CIA가 그것들을 다수의 작전에서 원격으로 제어하고 조종하기 위한 하이브(Hive)라는 인프라를 운영했던 것으로 드러났다. 프로젝트 하이브(Project Hive)는 CIA의 여러 운영자가 다수의 작전에서 악성코드를 원격으로 제어해서 대상 시스템에서 특정 명령을 수행하고, 시스템에서 추출한 정보를 수신할 수 있도록 만든 서버 컴포넌트다.

Detailed News List

  • University of East Anglia
    • [InfoSecurityMagazine] University of East Anglia Suffers Second Leak
  • Vault 8
    • [HackRead] WikiLeaks’ Vault 8 Leaks Show CIA Impersonated Kaspersky Lab

 

Technologies/Technical Documents/Reports

Summaries

  • 최근 Bad Rabbit 랜섬웨어 등의 악성코드에 사용된 Mimikatz 윈도우즈 계정 해킹툴을 만든 Benjamin Delpy의 일화를 읽어볼 수 있는 기사가 나왔다.
  • 개발자들이 보안에 무심하다는 설문 결과가 나왔다. Node.js에 대한 설문이지만, 언어만의 특성은 아닐 것이란 생각이 든다. 300여명의 CTO 및 CIO, 개발자를 대상으로한 설문 결과에 따르면, 개발자들이 인터넷에서의 운영의 위험성과 보안코드 작성의 복잡성에 대해 완전히 이해하고 있다고 해도 위협을 인지하고 완화시키기 위한 도구들의 이점을 취하지 않는다는 것이다.
  • 2018년에 POS(Point-of-Sale) 랜섬웨어로 인한 마비(Outage) 사태를 예상하는 보고서가 나왔다. 포레스터(Forrester)의 보고서에 의하면 2018년에는 사이버 범죄자들이 수익 창출을 위해 IoT 시스템을 대상으로 하는 공격과 POS 시스템에 랜섬웨어 설치를 할 것이란 예상이 나왔다. 이 리포트는 또한 금전적인 동기를 가진(financially motivated)의 해커들이 IoT 시스템에서 랜섬웨어 공격과 데이터를 훔치는 공격을 시작 할 것은 물론, DDoS 공격을 수행하기 위해 IoT 장비들을 침해하려 할 것이라 경고했다.
  • 카스퍼스키랩(Kaspersky Lab)의 조사에 따르면, 유럽, 영국, 이스라엘의 16세 이하 여성들은 사이버보안 관련 직업을 원하지 않는다. 4,000명의 영국, 미국, 프랑스, 독일, 이탈리아, 스페인, 이스라엘, 네덜란드의 여성에게 조사를 한 이 리포트는 남여 각각 1/3과 1/4이 IT 보안 전문가를 괴짜라고 생각한다 했으며, 조사에 응한 여성들 중 78%는 사이버보안 분야에서의 경력을 생각해본적 없다고 답했다.
  • 유로폴에서 하루 4,000건의 랜섬웨어 공격이 일어나고 있다고 경고했다. 랜섬웨어 공격이 하루 4천건이 발생하고 있으며, 사이버범죄 작전이 거대해지고 교묘해지면서 주요 사화기반시설을 위협살 정도라고 경고했다.

Detailed News List

  • Benjamin Delpy and Mimikatz
    • [Wired] HE PERFECTED A PASSWORD-HACKING TOOL—THEN THE RUSSIANS CAME CALLING
  • Node.js Security
    • [HelpNetSecurity] Node.js security: Are developers confident in the quality of their code?
  • POS ransomware outage
    • [InfoSecurityMagazine] Forrester: Expect POS Ransomware Outages in 2018
  • Women do not want cybersecurity career
    • [InfoSecurityMagazine] Women Decide Against Cybersecurity Career Aged 16
  • Europol
    • [InfoSecurityMagazine] Europol Boss Warns of 4000 Ransomware Attacks Per Day

 

Social Engineering

Summaries

  • 온라인에서 4Chan이나 Reddit같은 곳을 통해서 어떻게 가짜뉴스가 생성되고, 선동되며 주류 소셜미디어로 퍼져나가는지 연구한 결과가 ACM에서 발표되었다. 지난 6월, 29세의 남성이 유명 워싱턴 피자가게에서 군사용 돌격 소총을 발사한 일이 있었다. 그는 아동 성노예로 갇혀있는 어린아이들을 구하고 있다고 믿고있었고, 재판에서 징역 4년을 판결 받았다. 다행히 Edgar Maddison Welch가 아무도 다치게 하거나 죽인 사람은 없었지만, 그의 머리속에는 피자게이트(PizzaGate)라는 음모론이 자리잡았다. 이는 위키리크스(WikiLeaks)의 해킹된 이메일에서 시작되었는데, 4chan의 극우 게시판에서 c.p라는 이니셜을 사용하는 사람이 치즈피자(Cheese pizza)를 아동성애자(Pedophiles)와 연결시키면서 일어났다.

Detailed News List

  • News ecosystem & fake news
    • [NakedSecurity] How Twitter outrage hatches in tiny fringe groups on 4chan and Reddit

 

Capture the flag/Cybersecurity Game

Summaries

  • 14번째 뉴욕 대학교의 사이버보안 인식 주간(CSAW, CyberSecurity Awareness Week) 게임이 시작되었다. 전 세계의 사이버 보안관련 학생들의 참여가 예상된다. 이 대회에서 뉴욕 대학교의 Tendon school of Engineering의 the Downtown Brooklyn campus에서는 화이트햇 학생들과 보안연구가들을 위해 폭넓은 범위의 컴퓨터 보안 기술을 다루는 24시간동안 진행되는(round-the-clock) 대회를 호스팅한다. 작년에는 이 이벤트는 NYU 아부 다비(Abu Dhabi)와 인도 공과 대학교(Indian Institute of Technology, ITT Kanpur)의 행사까지 포함한 이벤트로 확대되었었다. 올해는 훨씬 더 커져서 다섯개의 전세계 사이트와 함께한다. 그르노블 공과대학교(Grenoble Institute of Technology)의 6개 엔지니어링 대학 중 하나인 프랑스 발랑스(Valence, France)의 그르노블 INP(Institut Polytechnique de Grenoble)-Esisar(첨단 시스템과 네트워크 및 전자공학, 컴퓨터, 임베디드 기술을 총체
    적으로 포괄하는 다영역 프로그램)와 이스라엘 니게브(Negev, Israel)의 벤 구리온 대학(Ben-Gurion University)이 포함된다.

Detailed News List

  • NYU CSAW
    • [InfoSecurityMagazine] World’s Largest Student Cybersecurity Games Kicks Off at NYU

 

Posted in Security, Security NewsTagged Backdoor, CSAW, Cyber Espionage, Cyber Operation, Cyber Resilience Action Plan, DarkNet, Data Breach, DDE, Deep web, Eavesdropper, Exploit, Fake news, IME, Intel Management Engine, Keylogger, Malware, Mimikatz, Ordinypt, Phishing, POS, Privacy, Ransomware, Vault 7, Vault 8, VBIED, Vulnerability, Windows Movie Maker ScamLeave a comment

Security Newsletters, Nov 10th, 2017

Posted on 2017-11-10 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

  • 러시아와 관련된 사이버스파이그룹 APT28(FancyBear)이 마이크로소프트의 DDE(Dynamic Data Exchange)기능을 악성코드를 유포하는데 사용하고 있다. 이 사이버 스파이 그룹은 최근 뉴욕에서의 테러공격과 관련된 문서를 배포하는 작전을 펼치고 있어 주의가 요구된다. DDE 기능을 사용해 악성코드를 배포하기 위해 만든 문서는 열어보기만 하면 사용자의 특별한 상호작용 없이도 악성코드가 실행되도록 만들어져 있기 때문에 더욱 위험하다.
  • 넷플릭스(Netflix)로 위장한 피싱공격에 대한 주의 기사가 이어지고 있다. 넷플릭스는 1억명 이상의 사용자를 보유하고 있는, 사이버 범죄자들에게는 상당히 매력있는 공격대상이다. 최근 새로 탐지된 피싱 사기에서는 넷플릭스의 사용자들의 계정정보와 신용카드 정보를 훔치려는 시도를 확인할 수 있다. 이 피싱사기에서 사용되는 이메일은 상당히 잘 꾸며져 있으며, 피싱 이메일에서 연결되는 로그인 페이지 또한 그럴듯 하게 꾸며져 있어 주의가 요구된다.
  • 오션로터스(OceanLotus) APT 그룹이 사이버 스파이 작전에서 새로운 전술을 펼치고 있다. 장악한 웹사이트를 베트남 정부가 관심이 있는 대상을 추적하거나 공격하기 위해 사용하고 있다고 Volexity가 발표했다. OceanLotus APT 그룹은 지난 몇년간 베트남 정부의 입맛에 맞는 정교한 디지털 감시 작전을 펼쳐왔으며, 장악한 웹사이트를 기반으로 거대한 공격 인프라를 구축해왔다. OceanLotus를 추적해온 보안기업 Volexity는 최근 관찰된바에 따르면, 이 그룹은 장악한 웹사이트 네트워크를 사용해 피해대상을 관찰하고 정보를 수집하고 있다고 밝혔다. 이 장악된 웹사이트들은 특별하게 선정된 것으로 보이는데, 이유는 그 사이트들을 방문하는 사람들이 베트남 정부에 대해 관심이 있는 사람들이 될 확률이 특히 높아 보이기 때문이다.

Detailed News list

  • APT28, FancyBear, DDE
    • [SecurityAffairs] Russia-Linked APT28 group observed using DDE attack to deliver malware
    • [TheHackerNews] Russian ‘Fancy Bear’ Hackers Using (Unpatched) Microsoft Office DDE Exploit
    • [TripWire] Microsoft issues advisory to users after macro-less malware attacks
  • Netflix phishing
    • [HackRead] A tricky Netflix phishing scam users should be aware of
  • APT32, OceanLotus
    • [DarkReading] OceanLotus APT Group Unfolds New Tactic in Cyber Espionage Campaign

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 중국 MatisTek 의 GK2 키보드에서 발견된 키로거에 대한 기사도 이어지고 있다. 해당 GK2 키보드에서는 사용자의 동의 없이 키의 눌린 횟수와 같은 통계 데이터를 중국의 알리바바 클라우드 서버로 전송한다. 최초 해당내용을 알린 사용자는 키 입력을 가로채는 것 같다고 밝혔으나, 실제로 보내는 데이터는 어떤키가 얼마나 눌렸는가 하는 통계 정보를 보낸다. 그러나 사용자 동의 없이 해당 정보를 수집하고 인터넷의 서버로 몰래 보낸다는 것에는 문제가 있어 보이는 것이 사실이다. 이 문제제기에 대해서 아직 제조사의 공식적인 답변이나 대응은 없는 상태다.
  • 인텔의 매니지먼트 엔진(Management Engine) 취약점에 의해 2008년 이후 대부분의 CPU를 USB를 통해 해킹할 수 있는 취약점이 밝혀졌다. 다가오는 블랙햇(BlackHat) 컨퍼런스에서 발표될 이 기술은 포지티브 테크놀러지스(Positive Technologies)의 보안전문가가 9월에 발표했고, 12월에 더 자세한 내용과 함께 시연을 선보일 예정이다. God-mode hack 이라 명명된 이 기술은 공격자가 어떠한 마더보드이든 Platform Controller Hub 내에서 서명되지 않은(unsigned) 코드를 실행할 수 있다. IME(Intel Management Engine)에 영향을 미치는 보안 이슈는 Embedi의 Maksim Malyutin에 의해 3월에 처음 발견되었다. 치명적인 원격 코드 실행 취약점은 CVE-2017-5689로 지난 9년간의 인텔 칩셋이 포함되어 원격 관리 기능이 구현된 컴퓨터에서 발견되었다. 이 취약점은 AMT(Active Management Technology), SBT(Small Business Technology), ISM(Intel Standard Manageability)와 같은 IME(Intel Management Engine) 기술에 영향을 미쳐, 공격자가 원격으로 취약한 시스템을 장악할 수 있다.
  • 구글의 연구가 Andrey Konovalov가 찾아낸 리눅스 커널 내 USB 하부시스템의 취약점에 대한 기사도 이어지는 중이다. Andrey는 구글이 개발한 Syzkaller라는 이름의 퍼징 툴을 사용해 취약점을 찾아냈다. Andrey는 찾아낸 취약점을 공개했는데, DoS를 일으킬 수 있는 Use-after-free나 out-of-bounds, null pointer dereference 등이 있었고, 임의 코드를 실행할 수 있는 버그도 있었다.
  • 백도어(Backdoor)가 포함되어있는 사물인터넷(IoT, Internet of Things) 취약점 스캔 스크립트가 배포되고 있다. 무료라는 수식어를 달고 배포되는 이러한 스크립트나 툴 들은 백도어가 내장되어 있어, 그것을 다운로드해 사용하려는 스크립트 키디(Script kiddies)들을 역으로 해킹하려는 것으로 보인다. 이번에 탐지된 새로운 해킹툴은 PHP 스크립트로, 여러 언더그라운드 해킹 포럼에서 다운로드 받을 수 있게 배포되고 있으며, 인터넷상에서 취약한 버젼의 GoAhead 웹서버를 내장해 운영하는 IP 카메라를 찾게 해준다. 그러나 Newsky Security의 보안연구가 Ankit Anubhav의 분석 결과에 따르면, 이 툴은 숨겨진 백도어를 가지고 있어 제작자가 이것을 사용하는 해커를 해킹할 수 있게 해준다.

Detailed News List

  • Keylogger built-in Mantistek GK2 Keyboard
    • [ThreatPost] PRIVACY CLOUDS FORM OVER MANTISTEK GAMING KEYBOARD
    • [Tom’s Hardware] MantisTek GK2’s Keylogger Is A Warning Against Cheap Gadgets (Updated)
  • Intel Management Engine flaw
    • [SecurityAffairs] Experts can hack most CPUs since 2008 over USB by triggering Intel Management Engine flaw
  • Vulnerabilities in Linux Kernel USB subsystem
    • [SecurityAffairs] Google Syzkaller fuzzer allowed to discover several flaws in Linux USB Subsystem
  • Backdoored IoT Vunerability Scanning Script
    • [TheHackerNews] Hacker Distributes Backdoored IoT Vulnerability Scanning Script to Hack Script Kiddies
    • [BleepingComputer] Hacker Wannabes Fooled by Backdoored IP Scanner

 

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

  • 유럽의 개인정보보호법인 GDRP(General Data Protection Regulation)을 기한 내 적용하는 것의 어려움에 대한 기사들이 장기간 이어지고 있다. 미국과 유럽의 기업들이 GDPR 컴플라이언스를 대응하는 것에 대하여 상당한 불안감을 내비치고 있는 것으로 보인다. 가장 우려스러운 내용으로 꼽은 항목들은 72시간 내 데이터 침해에 대한 알림, 데이터 플로우 매핑, 사용자 동의 관리, 국제 데이터 전송 관리다. 설문조사는 미국과 영국의 500여명의 프라이버시 전문가들을 대상으로 진행됐다. GDPR은 2018년 5월 25일부터 시작되어 이제 적용까지 약 7개월 못되는 기간이 남았다. 이는 Regulation으로 EU 회원 국가들은 무조건 적용해야 하는 법이다. 불이행시 상당한 규모(2,000만 유로 또는 전세계 연간 매출액의 4% 중 큰 금액)의 벌금을 물어야 하기 때문에 기업들의 고민이 더 심해 보이는듯 하다.
  • AV 제조사가 악성코드 차단 결정에 대하여 면책권을 가지고 있다고 법원이 결정을 내렸다. 이니그마 소프트웨어 그룹(Enigma Software Group)이 자사의 악성코드대응(anti-malware) 소프트웨어를 안전하지 않은 것으로 분류한 말웨어바이츠(Malwarebytes)에 대해 소송을 제기했지만 이 소송이 기각되었다. 말웨어바이츠는 자사의 소프트웨어를 사용해 경쟁업체를 방해한다고 제기된 소송에서 1996년의 Communication Decency Act의 조항을 성공적으로 인용했다.
  • 미국 미네소타 주의 연방 검찰이 46세의 남성을 사이버 히트맨(hitman)을 고용해 1년에 걸친 분산서비스거부(DDoS, Distributed denial of service) 공격을 그의 이전 고용인에게 지시했다고 기소했다. 검찰에 따르면 46세의 John Kelsey Gammell은 일곱개의 DDoS서비스와 계약하고 그중 세개의 서비스에 다달이 돈을 지불하며 미네소타 몬티첼로에 위치한 POS(point-of-sale) 시스템 수리회사인 Washburn Computer Group을 공격하게 했다.
  • 사이버범죄 세계를 떠나기로 약속한 봇넷 운영자를 감옥에 보내지 않기로 결정한 미 연방법원의 결정에 대한 기사가 나왔다. 산타 클라라(Santa Clara)의 29세 Sean Tiernan은 피츠버그의 한 지방 법원으로부터 2011년에 시작된 스팸 봇넷 관련한 2년간의 집행 유예를 선고받고, 감옥에 가는 것을 면했다. 사법부에 따르면, 티어난은 최소 지난 2011년 8월 1일부터 그가 14개월 후 FBI에 의해 급습 당하기 전까지 봇넷 개발에 연루되었다.

Detailed News List

  • GDPR
    • [HelpNetSecurity] Top GDPR compliance risks: Breach notification, data mapping, managing consent
  • Immunity for Malware-blocking decisions
    • [DarkReading] AV Vendors Have Immunity for Malware-Blocking Decisions, Court Says
  • Cyber hitman
    • [NakedSecurity] Hackers hired for year-long DDoS attack against man’s former employer
  • Botnet Operator
    • [NakedSecurity] No jail time for botnet creator who promises to go straight

 

Patches/Updates

Summaries

  • KRACK 취약점 패치에 관련된 기사는 주요 제조사별로 업데이트나 패치를 제공함에 따라 계속 이어질 것으로 보인다. 구글이 안드로이드 운영체제에 KRACK 공격과 관련된 취약점을 패치했다는 기사가 계속적으로 이어지고 있는 중이다. 애플도 구글에 앞서 KRACK 패치를 iOS 11.1 업데이트에 포함하여 배포한 바 있다. (KRACK 태깅된 포스트 보기)
  • 2018년 초 구글 크롬에서 몇가지 종류의 리다이렉트(redirect)가 차단될 예정이다. 제품 매니저인 Ryan Schoen은 크롬 데스크탑 사용자들의 피드백 내용중 1/5에 해당하는 내용이 원하지 않는 컨텐츠에 관련된 내용이라 이를 심각하게 받아들여 크롬의 개선사항에 포함시키려 한다고 말했다. 그 결과 원하지 않는 내용이나, 거슬릴 만한 리다이렉트를 차단한다는 것이다.

Detailed News List

  • Google patches KRACK in Android
    • [ThreatPost] GOOGLE PATCHES KRACK VULNERABILITY IN ANDROID
  • Blocking unwanted redirects
    • [HelpNetSecurity] Chrome to start blocking unwanted redirects
    • [HackRead] Google Chrome will automatically block forced website redirects

 

Privacy

Summaries

  • 모바일 어플리케이션 개발자가 Twilio의 목소리 및 SMS 소프트웨어 개발 키트(SDK, Software Development Kit)와 Rest API를 사용하면서, 하드코딩(Hardcoded)된 계정정보(credentials)를 앱에서 삭제하지 않아서 수백만명의 개인(private) 모바일 대화를 노출시키는 사고가 발생했다. 그러한 이유로 도청(Eavedropper) 취약점이라 불리는 이 취약점은 공격자가 전화 기록, 통화 시간(minutes of calls), 녹음시간(minutes of call audio recordings), 저장된 통화의 듣기, SMS 및 MMS 문자 메시지 열람이 가능하다고 Appthority 연구원이 밝혔다. 1,100개의 iOS 와 안드로이드 앱을 점검한 Appthority는 685개의 취약점을 찾아냈다. 이 취약한 안드로이드 앱들은 4,000만에서 1억 8,000만 회 설치되었다. 일부 75개 앱들은 아직도 구글플레이(Google Play)에, 102개 앱은 앱스토어(App Store)에 존재한다.

Detailed News List

  • Eavesdropper
    • [DarkReading] ‘Eavesdropper’ Exposes Millions of Mobile Conversations

 

Deep Web/DarkNet/Onion

Summaries

  • 뉴욕타임스(The New York Times)가 토르(Tor) 오니언(Onion) 서비스를 통해 접근이 가능해졌다. 뉴욕타임스에서 자체 onion 도메인 서비스를 시작했고, 다크웹에서 토르 브라우져를 사용해 전세계에서 접근이 가능해졌다.
  • 다크웹의 해커에 의해 누구나 추적해주는 서비스가 팔리고 있다. 리포트에 따르면 Abridk 라는 아이디를 쓰는 러시아 해커가 누군가를 전세계에 걸쳐 추적해주는 서비스를 제공하고 있다고 한다. 그리고 이 리포트에서 Abridk라는 해커가 모든 종류의 정보의 추적이 가능하다고 주장하는데, 여기에는 세금기록, 전세계 비행정보, 인터폴 정보등이 포함된다.

Detailed News List

  • The New York Times
    • [DarkWebNews] The New York Times Now Accessible Via Tor Onion Service
  • Dark Web Tracking Services
    • [HackRead] A Dark Web hacker is offering services to track anyone anywhere

 

Mobile/Cloud

Summaries

  • 구글의 플레이스토어(Play Store)에서 4번째로 뱅킹봇(BankBot, BankingBot) 악성코드가 발견되었다. 계속적으로 구글 크롬을 안전하게 만들려는 구글의 시도에 대한 기사가 이어지고 있는 반면에, 구글 플레이스토어 에서는 악성코드 발견 기사가 이어지고 있다. 보안기업 RiskIQ의 연구자들이 안드로이드 사용자로부터 금융정보를 훔치는데 사용하는 BankBot(혹은 BankingBot)이라는 이름의 악성코드를 찾아냈다. 이번에 BankBot(BankingBot)이 발견된 곳은 Cryptocurrencies Market Prices라는 암호화폐의 가격을 알려주는 어플리케이션에서다.

Detailed News List

  • BankBot on Play Store
    • [HackRead] Google just can not get rid of BankBot malware from Play Store

 

Security Breaches/Info Leakages

Summaries

  • 위키리크스(WikiLeaks)가 Vault 7에 이어 Vault 8으로 새로운 자료를 공개했다. Vault 7 시리즈는 CIA의 23가지의 서로다른 해킹툴의 상세정보를 다룬 자료였다. 위키리크스는 이번에 Vault 8 시리즈를 발표했는데, 이번 시리즈는 CIA 해커들에 의해 개발된 백엔드(Backend) 인프라구조(Infrastructure)의 정보와 소스코드에 대한 것이다. 내부 고발 조직은 이번에는 프로젝트 하이브(Project Hive)의 소스코드와 개발로그들까지 공개했는데, 프로젝트 하이브(Project Hive)는 CIA 해커들이 악성코드를 몰래 원격 제어하기 위해 사용한 백엔드 컴포넌트다. 올해 4월 위키리크스는 프로젝트하이브(Project Hive)에 대한 대략적인 정보를 공개한 바 있다. 그 내용은 이 프로젝트가 악성코드와 통신하며 특정 작업을 대상 시스템에서 수행하도록 명령을 전송하고, 추출된 정보를 대상 시스템으로부터 수신할 수 있게 고도화된 C&C(Command-and-Control) 서버 (악성코드 제어 시스템)이라는 것이었다. 하이브는 멀티유저(Multi-user) 올인원(all-in-one) 시스템으로, 다수의 CIA 운영자가 다양한 작전에서, 원격으로 다수의 악성코드를 제어할 수 있게 했다.
  • 야후(Yahoo)의 전 CEO인 메이어(Mayer)가 두건의 대량 정보유출에 대하여 사과했다. 메이어가 수십억명의 사용자 계정정보를 유출시켰던 두 건의 데이터 침해 사건에 대하여 사과를 했다. 마리사 메이어(Marissa Mayer)는 오늘 자신이 야후의 CEO로 재직할 당시 발생한 이 두 건의 사건에 대하여 공개적으로 사과를 하며, 그 시스템의 침입에 관해 러시아 국가주도의 해커(Russia nation-state hackers)들을 비난했다. 이 발언은 상원통상위원회(Senate Commerce Committee)에서 이루어졌다.
  • 데이터 침해 정보의 유출이 2016년에 비해 305% 증가한 것으로 나타났다. 2017년 첫 9개월 동안 3,833건의 데이터 침해 사건이 일어났으며, 70억건 이상의 데이터 레코드가 유출되었다는 Risk Based Security의 최근 분석결과가 발표되었다.

Detailed News List

  • WikiLeaks Vault 8
    • [TheHackerNews] Vault 8: WikiLeaks Releases Source Code For Hive – CIA’s Malware Control System
    • [HackRead] WikiLeaks’ Vault 8 Leaks Show CIA Impersonated Kaspersky Lab
    • [WikiLeaks] Vault 7
    • [WikiLeaks] Vault 8
  • Mayer apologizes
    • [DarkReading] Yahoo’s Ex-CEO Mayer Calls Out Russian Hackers
  • Data Exposure Up 305% from 2016
    • [DarkReading] Data Breach Record Exposure Up 305% from 2016

 

 

Industrial/Infrastructure/Physical System/HVAC

Summaries

  • 지멘스(Siemens)가 보안기업인 테너블(Tenable)과 협력한다는 기사가 나왔다. 산업제어시스템(ICS, Industrial Control System) 및 감독통제 및 데이터수집(SCADA, Supervisory Control And Data Acquisition)시스템 시장의 거대기업인 지멘스가 테너블사와의 협력을 발표했다. 이번주 지멘스는 새롭게 개편된 산업 영역의 보안 관리 서비스(managed security services)에 새로운 도구를 추가했다. 9월 발표에서 지멘스는 PAS에서 이상탐지기술(Anomaly detection technology)을 그들의 기존 네트워크 모니터링(network monitoring)및 보안서비스(security services)에 추가한다고 밝히며, 이제부터 테너블 네트워크 시큐리티(Tenable Networks Security)의 취약점 탐지(Vulnerability detection) 및 관리 기술(management technology)을 주요 인프라 공급자를 위해 제공되는 새로운 관리보안 서비스(manages security service)로 통합할 예정이라 밝혔다.
  • 물리공간적 분리(Air Gap)를 뛰어넘는 은밀한 PLC(Programmable Login Controller) 해킹이 보고되었다. 다음달 열리는 블랙햇 유럽(Black Hat Europe)에서 연구자들이 데이터 추출 공격을 지멘스(Siemens)의 PLC를 대상으로 시연할 예정이다. 여기서는 코드 조작(code manipulation)과 라디오 주파수 방출(RF, Radio Frequency Emissions)을 조합해 사용한다.
  • 미국 국토안보부(DHS, Department of Homeland Security)의 보고서에 따르면 보잉757에 대한 테스트에서 비행기가 해킹에 취약하다는 결과가 나왔다. 작년에 미국 정부 및 산업, 학계로 꾸며진 팀에서 연구실의 인공적인 환경이 아닌 상태에서 상업적인 비행기를 원격으로 해킹하는데 공식적으로 성공했다는 미국 국토안보부의 공식 언급이 버지니아 Tysons Corner에서 열린 2017 CyberSat Summit에서 있었다.

Detailed News List

  • Siemens & Tenable
    • [DarkReading] Siemens Teams Up with Tenable
  • Stealthy PLC Hack over Air Gap
    • [DarkReading] Stealthy New PLC Hack Jumps the Air Gap
  • Airplanes are vulnerable
    • [AviationToday] Boeing 757 Testing Shows Airplanes Vulnerable to Hacking, DHS Says

 

Technologies/Technical Documents/Reports

Summaries

  • 2017년의 데이터 유출 사건은 타겟(Target), 홈디포(Home Depot), TJX와 같은 대형 소매 체인의 POS(Point-of-sale)를 대상으로 한 공격은 줄어들었지만 백화점, 식료품 체인, 기타 전형적인 소매기업들이 보안에 노력을 기울임에 따라 해커들이 공격대상을 호텔리어나 레스토랑으로 변화시키는 양상이 보인다는 기사가 나왔다.
  • 마이크로소프트(Microsoft)의 ATP(Advanced Threat Protection)이 iOS, macOS, Android, Linux로 확대될 예정이다. 오늘 마이크로소프트는 보안기업 비트디펜더(BitDefender), Lookout, Ziften과의 파트너십을 발표하면서 윈도우즈 디펜더(Windows Defender) ATP(Advanced Threat Protection)을 iOS, macOS, Android, Linux 장치로 확장할 것이라 밝혔다. 오늘 소식에 따르면 iOS, macOS, Android, Linux의 이 기능이 탑재된 장치에서는 파트너사의 Windows Defender ATP 콘솔로 보안경고를 전송하게 되며, 추가적인 인프라는 필요하지 않다. 위협 및 탐지내역이 콘솔로 수집되고, 모든 장치들은 6개월간의 이벤트 기록과 타임라인(a timeline with an event history)을 갖는다. ATP는 기존에는 윈도우 장치로 국한되어 있었다.
  • 사이버 보안 인력이 부족한 조직은 사이버 공격 및 데이터 유출사고로 큰 타격을 입을 가능성이 있다는 새로운 조사 결과가 발표되었다. 이 조사에서 IT 보안 팀에 인력이 부족한 조직은 업무부하를 감당할 직원이 충분하지 않고, 사이버 공격이나 데이터 유출에 영향을 받을 더 큰 가능성이 있다고 발표했다. 이 조사는 343개의 전세계 정보보안 종사자를 대상으로 진행했고, 22%의 응답자가 현재 속한 IT 보안팀이 인력이 부족하게 구성되어 있으며, 지난 2년간 그들 조직에서의 보안 사건에 투입할 인력 부족을 겪었다고 응답해왔다. 그리고 70%의 설문 응답자가, 2022년까지 180만 명의 정보보안 인력이 부족할 것으로 예상되는 사이버보안 기술의 부족이 조직에 영향을 미칠 것이라 응답해왔다.

Detailed News List

  • Breaches in 2017
    • [DarkReading] Inhospitable: Hospitality & Dining’s Worst Breaches in 2017
  • Microsoft Windows Defender ATP
    • [DarkReading] Windows Defender ATP Extended to iOS, macOS, Android, Linux
  • Cybersecurity staffing shortage
    • [DarkReading] Cybersecurity Staffing Shortage Tied to Cyberattacks, Data Breaches

 

Crypto Currencies

Summaries

  • 워낙 큰 액수이다 보니, 패리티 월렛(Parity wallet)의 잠겨버린 금액들에 대한 기사도 이어지고 있다. 약 1억 5천만 달러에서 3억 달러 규모의 전자암호화폐가 접근 불가능한 상태에 처했다. 누군가가 취약점을 ‘실수로’ 건드려 거래할 수 없도록 잠김상태로 만들어 버렸기 때문이다. 패리티 테크놀로지스(Parity Technologies)는 하루 뒤 버그를 패치했고, 패리티 월렛(Parity Wallet) 라이브러리 내 존재하는 취약점이 7월 20일 이후 발행된 패리티 월렛의 다중서명 지갑에 자산이 있는 사용자에게 영향을 미칠 수 있다(affecting users with assets in a standard multi-sig contract deployed after July 20)는 내용의 주의보(advisory)를 발행했다.
  • 드라이브바이(drive-by) 암호화폐 채굴(cryptocurrency mining)이 계속적으로 퍼져나가고 있다. 코인하이브(Coinhive)의 DNS를 조작해 다른 사이트들을 동원해 암호화폐를 채굴한 사건에 이어, 사용자의 CPU 파워를 가로채서 암호화폐 채굴에 사용하는 사례가 계속적으로 증가하고 있다. 말웨어바이츠(Malwarebytes)의 최근 분석에 따르면, 말웨어바이츠의 안티바이러스가 9월 말부터 10월 말까지 하루에 약 8백만건의 암호화폐 채굴 하이재킹 시도를 차단했다고 말했다. 센시스(Censys) 검색엔진은 방문자수가 많은 약 900개의 사이트들이 코인하이브 스크립트를 돌리고 있는 것을 찾아내기도 했다.

Detailed News List

  • Parity wallet
    • [ThreatPost] HUNDREDS OF MILLIONS IN DIGITAL CURRENCY REMAINS FROZEN
    • [NakedSecurity] $300m… deleted! How a tiny bug flushed away a fortune
    • [SCMagazineUK] £214 million in Ethereum crypto-currency virtually gone after code deletion
  • Drive-by cryptocurrency mining
    • [HelpNetSecurity] The Wild West of drive-by cryptocurrency mining
    • [DarkReading] Cybercriminals Employ ‘Driveby’ Cryptocurrency Mining
    • [ARSTechnica] Cryptojacking craze that drains your CPU now done by 2,500 sites
    • [BleepingComputer] Cryptojacking Craze: Malwarebytes Says It Blocks 8 Million Requests per Day

 

Internet of Things

Summaries

  • IoT 장치들에서 완벽한 보안을 기대하기란 비용대비 효과 때문에 기대하기 힘들다는 사실을 인정해야 한다는 연구자의 이야기가 기사화 됐다. 제네럴모터스(GM, General Motors)의 차량 자동주행(Cruise Automation) 보안 아키텍트(principal autonomous vehicle security architects)인 찰리 밀러(Chalie Miller)와 크리스 발라섹(Chris Valasek)이 한 말이다. 사업의 주 모델이나 대상이 보안 그 자체가 아닌 이상 최상 수준의 보안 기능을 제품내에 구현하는 것은 비용대비 효과적이지 못하고, 제품을 판매함에 있어서도 그 보안기능을 제품의 특장점으로 내세워 고객에게 비용을 지불하게 하지 못한다는 것. 다소 논란스러울 수 있는 내용이지만, 인터넷에 연결되는 전구를 보호하느라 고심하느니 그 노력을 회사나 기관의 실제 위협이 될 것이 무엇인가에 투자하라는 의미다.
  • 접속가능해지는 장치들이 헬스케어 산업의 보안위협을 가속화 할 것이라는 전망이 나왔다.

Detailed News List

  • IoT is insecure
    • [ThreatPost] IOT IS INSECURE, GET OVER IT! SAY RESEARCHERS
  • Healthcare Industry & technologies
    • [HelpNetSecurity] Connected technologies will accelerate security threats to healthcare industry

 

Posted in Security, Security NewsTagged Advanced Threat Protection, Air Gap, Anomaly Detection, APT28, APT32, Backdoor, BankBot, BankingBot, Botnet, Chrome, CVE-2017-5689, Cyber Espionage, Cyber Operation, DarkNet, Data Breach, DDE, DDoS, Deep web, Drive-by Cryptocurrency Mining, Eavesdropper, Fancy Bear, GDPR, God-mode hack, Hardcoding, ICS, Intel Management Engine, IoT, Keylogger, KRACK, Malware, OceanLotus, Patches, PLC, Privacy, SCADA, Syzkaller, Tor project, USB, Vault 7, Vault 8, Vulnerability, WikileaksLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.