Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 8월 17일] 주요 보안 이슈
작성일 2018-08-17 조회 1052

1. [기사] Chinese hackers targeted US agencies during trade talks
[https://www.cnet.com/news/chinese-hackers-targeted-us-agencies-during-trade-talks/]
Recorded Future의 연구원은 알래스카 주 정부와 천연 자원 및 에너지, 전화 및 통신 회사를 목표로 하는 중국 해커를 발견했다. 보안 회사는 4월 6일부터 6월 24일까지 중국 해커와 알래스카 네트워크가 100만회 이상 연결되었다고 밝혔다. 해당 공격은 알래스카의 지도자들이 무역 협상을 논의하기 위해 중국으로 떠났을 때 일어났다. 이는 알래스카와 중국 사이의 잠재적 가스 파이프라인을 포함하고 있는 회담 때문이었는데, 해당 파이프라인의 예상 비용은 430억 달러이다. 이는 관련 주제에 대한 무역 협상이 끝난 뒤 급격히 증가했으며, 이번 공격은 방문 협상에서 알래스카의 견해를 파악하고 전략적으로 우위에 서기 위한 시도였다고 연구자들이 말했다. 또한 보안 연구원은 힐튼, 메리어트 및 윈드 햄 체인을 비롯한 호텔에 무선 네트워크를 제공하는 Safety NetAccess와 함께 취약점을 검색하는 중국 해커를 발견하였다. 그들은 중국 주 (州) 배우들이 플로리다의 홀리데이 인 (Hollywood Inn) 로그인 페이지에 접속하였다. 안전 NetAccess는 의견 요청에 응답하지 않았습니다. 보고서에 따르면 중국의 해커들은 칭화 대학의 컴퓨터를 사용하고 있었으며, 이 학교는 종종 '중국의 MIT'라 불리우고 있다. 대학은 의견 요청에 응답하지 않았지만, 로이터 통신에 해당 공격이 우리 쪽에서 한 것이라는 근거가 없다고 말했다.

 


2. [기사] A 16-year-old hacked Apple and stole 90GB of secure files
[https://bgr.com/2018/08/16/apple-servers-hacked-teen-sensitive-data-year/]
애플의 서버는 해킹이 불가능한 것으로 여겨지고 있으며, 현재까지 해커에게 사용자 데이터를 노출시키는 피해를 입지는 않았다. 하지만 대부분의 해커들과는 달리, 애플에 열정을 가진 16세의 호주인이 90GB의 보안 파일을 훔쳐내고 그 과정에서 고객 계정에 접근한 것으로 밝혀졌다. 또한 이 아이는 hacky hack hack 폴더에 이 파일들을 모두 저장한 것으로 나타났다. 청소년 변호사에 의하면, 애플을 공격한 이 아이는 회사의 엄청난 팬이었고, 애플을 위해 일하고 싶어한다고 밝혀졌다.
아이는 자신의 신원을 감추기 위해 VPN과 다른 시스템을 사용하여 약 1년동안 애플 서버를 해킹한 것으로 드러났다. 그는 또한 사용자에게 로그인 액세스 권한을 부여하고 매우 안전해야 하는 종류의 인증된 키에 액세스할 수 있었다. 이 해킹은 애플이 이상현상을 포착할 때까지 완벽하게 작동하였다. 이 때 해커가 훔친 데이터의 종류 또는 상화들이 어떤 것인지는 명확히 밝혀지지 않았다.
공격자가 자신의 신원을 숨기려고 시도하는 동안 애플은 공격을 수행하는 데에 사용된 컴퓨터의 일련번호를 확인할 수 있었고, 그에 따라 호주에서 조사를 시작하였다. 호주 연방 경찰은 두 개의 노트북, 핸드폰 및 하드 드라이브를 압수하여 데이터가 저장된 폴더를 비롯한 해킹의 증거들을 발견하였다.
해당 청소년은 WhatsApp을 사용해 자신이 한 행동에 대해 매우 자랑스러워했으며, 한편으로는 법정에서 유죄를 선고받고 지금은 양형을 기다리고 있다.

 


3. [기사] Foreshadow – Spectre-Style Vulnerability Affecting Intel Chips To Steal Data
[https://latesthackingnews.com/2018/08/16/foreshadow-spectre-style-vulnerability-affecting-intel-chips-to-steal-data/]
제온(Xeon)과 코어(Core) 프로세서들에서 새로운 추측 실행 취약점이 발견됐다. 총 세 가지 버그로 인해 발생하는 것으로, 포셰도우(Foreshadow) 혹은 L1TF(L1 Terminal Fault)라는 이름이 붙었다. 취약점은 패치와 함께 발표되었다. 이 취약점을 발견한 건 두 보안 전문가 팀이었다. 벨기에 루벤대학의 연구원들로 구성된 팀과, 이스라엘의 테크니온(Technion) 대학, 미국의 미시간대학, 호주의 애들레이드대학의 연구원들로 구성된 팀으로, 이 두 팀은 서로와 상관없는 별개의 연구활동을 통해 같은 취약점을 발견했다. 벨기에 팀은 1월 3일에, 다른 팀은 1월 23일에 인텔에 자신들이 찾아낸 걸 알렸다. 두 연구 그룹이 인텔에 보고한 Foreshadow 취약점은 CVE-2018-3615라는 코드가 붙게 되었다. 연구원이 인텔에 Foreshadow를보고 한 후 인텔은 이 결함에 대한 조사를 시작하여 두 가지 관련 변종 인 CVE-2018-3620과 CVE-2018-3646을 발견했다. 연구자들은 이러한 변종에 Foreshadow-NG라는 이름을 붙였다. 반면 인텔은 총체적으로 세 가지 취약점을 L1 터미널 오류 (L1TF)로 명명하였다. 이들은 이 취약점이 프로세서, 운영체제, 시스템 관리 모드 및 가상화 소프트웨어에 영향을 미칠 수 있는 가능성을 발견하였다고 밝혔다.
인텔은 SGX가 활성화 된 모든 코어 프로세서 (스카이 레이크 및 카비 레이크)에 Foreshadow가 영향을 미치고 Foreshadow가 인텔 프로세서만을 대상으로한다는 것을 확인하였다. 실제로 이 취약점으로 인한 피해 사례는 아직 존재하지 않으며, 공격자들이 해당 취약점을 악용하기 전에 패치가 적용된 것으로 나타났다. 하지만 올해 보고된 인텔 CPU의 취약점 개수는 지속적으로 증가하고 있다. 위에서 언급한 취약점들 외에도 TLBleed 및 Lazy FP State Restore 등이 인텔의 CPU를 위협하고 있다.

 


4. [기사] SAP Security Notes August 2018, watch out for SQL Injection
[https://securityaffairs.co/wordpress/75396/security/sap-security-notes-august-2018.html]
SAP에서 최근 수십개의 패치를 다루는 보안 노트를 발표하였다. 이에 심각한 취약점은 없었으나, 몇몇 공격자들에게 자주 애용되는 취약점들이 존재하는 것으로 밝혀졌다. ERPScan의 전문가에 따르면 8월에 확인된 취약점 수 중에는 SQL Injection이 가장 많았으며, 또한 공격자가 악용할 수 있는 취약점들 9건 중 2건이 SQL Injection 취약점이었다는 것이 밝혀졌다. Onapsis가 게시한 블로그 글에서 SQL Injection은 권한이 낮은 세션을 가진 공격자가 데이터를 주입하고 데이터를 추출할 수 있는 것이라고 언급되었다. 이에 Onapsis Research Labs에서는 해당 취약점에 CVSS v3 기본 스코어로 7.7의 위험도를 부여하였다. ERPS의 보안 전문가는 SAP에서 발표한 보안 패치에서 몇몇 위험한 취약점들을 골라냈다. 높은 심각도의 결함은 SAP SRM MDM 카탈로그 (CVE-2018-2449)의 누락 된 권한 확인 및 공격자가 (CVE-2018-2449)로 악용 될 수있는 BusinessObjects Business Intelligence 플랫폼의 메모리 손상 취약점 (CVE-2015-5237)이며, 해당 취약점을 이용하면 시스템에서 임의의 코드를 실행할 수 있는 것으로 밝혀졌다.
"공격자는 [CVE-2018-2449] 취약점을 사용하여 인증 절차없이 서비스에 액세스하고 액세스가 제한된 서비스 기능을 사용할 수 있습니다. 이로 인해 정보 유출, 권한 상승 및 기타 공격이 발생할 수 있습니다. "라고 ERPScan에서 언급하였다. 이와 함께 ERPScan에서는 "공격자는 특수하게 조작 된 SQL 쿼리를 통해 [CVE-2018-2447] 취약점을 사용할 수 있습니다. 관리자는 데이터베이스의 중요한 정보를 읽고 수정하고 관리 작업을 실행하며 데이터를 파괴하거나 사용할 수 없게 만들 수 있습니다. 경우에 따라 해커가 시스템 데이터에 액세스하거나 OS 명령을 실행할 수 있습니다."라고 경고하였다.

 


5. [기사] Princess Evolution Ransomware is a RaaS With a Slick Payment Site
[https://www.bleepingcomputer.com/news/security/princess-evolution-ransomware-is-a-raas-with-a-slick-payment-site/]
새로운 종류의 랜섬웨어, Princess Evolution이 배포되었다. 이전 버전과 마찬가지로 Princess Evolution은 다크웹에서 홍보되고 있다. 해당 랜섬웨어는 랜섬웨어 프로그램을 서비스로 제공하고 있다. 즉, 개발자가 랜섬웨어를 배포하기 위해 제휴사를 모집하고, 금액이 지불될 때마다 개발자가 40%의 지불액을 받고 나머지 60%는 제휴사에서 수익을 얻는 식이다. 이러한 유형의 계약을 통해 개발자는 랜섬웨어 프로그램을 지원하고 개발함으로써 수익을 올릴 수 있으며, 제휴사는 피해자를 대상으로 하는 배포에 집중할 수 있는 것이다.
Trend Micro는 해당 랜섬웨어가 RIG Exploit Kit을 통해 배포됨을 보고하였다. 이 악용 도구는 해킹 될 사이트에 설치되며 방문자의 컴퓨터에 있는 취약점을 악용하기 위해 사용될 수 있으며, 별다른 지식 없이 설치할 수 있다. RaaS에는 잠재적으로 많은 계열사가 있고, 이를 통해 다양한 방법으로 랜섬웨어를 배포할 수 있다.
해당 랜섬웨어가 실행되면 두 가지 파일을 만들어 해당 파일들이 백신에 잡히는 지를 확인한다. 해당 파일이 하나라도 잡히면 랜섬웨어는 실행되지 않으나, 그렇지 않을 시 랜섬웨어가 실행되어 파일들을 암호화하는 식이다. 랜섬웨어는 UDP를 통해 커맨드 앤 컨트롤 서버와 통신하고, 이에 의해 컴퓨터의 사용자 이름, 네트워크 인터페이스 이름, OS 버전, 암호화 키 등이 전송된다. 이후 암호화가 완료되면 TOR 지불 사이트와 연동이 되는 방식이다. 해당 랜섬웨어는 무료로 해독할 수 없고, 결제 시 약 750 달러에 달하는 금액이 필요하다.
이러한 랜섬웨어로부터 자신의 컴퓨터를 보호하기 위해 가장 중요한 단계는 신뢰할 수 있는 데이터는 따로 백업을 해 두는 것이다. 이 백업을 통해 랜섬웨어에 감염되어도 복원이 가능하다. 또한 이 랜섬웨어는 악용 키트를 통해 배포되기 때문에, 윈도우를 비롯하여 설치된 모든 프로그램을 최신 보안 업데이트 상태로 유지하는 것이 중요하다.

첨부파일 첨부파일이 없습니다.
태그 Princess Evolution 랜섬웨어