Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 8월 22일] 주요 보안 이슈
작성일 2018-08-22 조회 850

1. [기사] Belkin IoT 스마트 플러그, 스마트 홈에 원격 코드 실행 취약점 존재
[https://threatpost.com/belkin-iot-smart-plug-flaw-allows-remote-code-execution-in-smart-homes/136732/]

와이파이에 연결된 전기 가전 제품들이 스마트 TV나 다른 제품들에 원격 코드를 실행시킬 수 있는 취약점이 발견되었다. 이 취약점은 수만명의 고객들을 암호화, 랜섬웨어, 정보 유출 등의 위험에 빠뜨릴 수 있다.
이 Belkin Wemo Insight Smart Plug는 libUPnPHndlr.so 라이브러리에 버퍼 오버플로우를 갖고 있어 HTTP Post 패킷을 통해 로컬 보안을 우회시킬 수 있다. 설계상 이러한 스마트 플러그는 가정용 Wi-Fi 네트워크에 연결되도록 되어있어 집주인이 앱이나 홈 허브 대시 보드를 통해 원격으로 조명이나 그 밖의 플러그를 켜고 끌 수 있다. 이 취약점(CVE-2018-6692)는 플러그를 끄고 켜는 것을 가능하게 한다. 플러그가 다른 장치와 네트워크로 연결되면 손상된 플러그를 통해 내장 된 UPnP (Universal Plug and Play) 라이브러리를 사용하여 "네트워크 라우터가 취약합니다"라고 설명한다. 이 취약점은 공격자가 원격으로 네트워크에 접속하지 못하도록 백도어 채널을 생성한다. 공격자가 네트워크에 기반을두고 임의의 포트를 열 수있게되면 네트워크에 연결된 모든 시스템이 위험에 처하게 된다. 공격은 Wemo를 통해 수행될 수 있고 이 공격을 사용하여 생성된 포트 매핑은 라우터의 관리 페이지에서 볼 수 없기 때문에 탐지하기 어렵다. 연구진은 버그를 찾기 위해 Wemo 전화 응용 프로그램을 사용하여 스마트 플러그를 설정한 후 Maxronix MX25L12835F 칩을 검사하였고, 파일 시스템을 추출하였다. 추출한 파일시스템에서는 Wemo가 / etc / passwd 또는 / etc / shadow 파일에있는 사용자 계정 정보를 사용하여 임베디드 Linux 시스템 OpenWRT를 실행한다는 사실을 알 수 있었다. Wemo 자체는 이미 2014년에 취약한 것으로 드러났다. 따라서 이 운영 시스템을 사용하는 장치들은 데스크탑 컴퓨터만큼의 보호가 필요하다고 말했다.

 

 

2. [기사] Airmail3 취약점, 애플 사용자 정보를 탈취
[https://threatpost.com/airmail-3-exploit-instantly-steals-info-from-apple-users/136737/]

MacOS용 Apple Mail의 대안인 Airmail 3 소프트웨어의 심각한 취약점은 원격 공격자가 메시지를 열거나 사용자 상호 작용을 요구하지 않고도 단순히 사용자의 과거 전자 메일 및 첨부 파일을 훔칠 수 있다.
공격자는 "send mail" 기능을 하는 URL 요청 링크가 포함된 이메일을 Airmail 3 사용자에게 보낸다. 사용자가 클릭하면, 링크가 열리고 새로운 이메일 메시지가 공격자에게 전송된다. 또한, 공격이 즉각적으로 실행되게 만드는 Airmail의 HTML 필터를 우회하게 만드는 취약점도 발견되었다. 특히 send 명령에 대한 airmail : // scheme 처리에 대한 잘못된 접근 제어가 외부 응용 프로그램으로 하여금 인증없이 활성 계정에서 임의의 전자 메일을 보낼 수 있게 한다. 따라서 공격자가 send 명령의 URL 구조를 사용하려면 사용자를 대상으로 지정하기 위해 URL 문자열에 계정 매개 변수를 입력하기만 하면 된다. 
두 번째 취약점은 침입자가 조작된 URL 요청을 사용하여 사용자 계정 데이터베이스에서 특정 문서를 가져와 아웃 바운드 전자 메일에 첨부할 수 있게 한다. 또한 원격 공격자가 전자 메일을 통해 WebKit Frame 인스턴스를로드 할 수 있게 해주는 HTMLFrameOwnerElements의 불완전한 블랙리스트 형태의 세 번째 취약점이 존재한다.

 


3. [기사] Intrusion Truth, 중국 해커들에 대한 신비한 그룹
[https://motherboard.vice.com/en_us/article/wjka84/intrusion-truth-group-doxing-hackers-chinese-intelligence]

작년 4월부터 ‘Intrusion Truth’라고 불리는 그룹이 중국 정보 기관에서 일하는 해커의 실명을 털어놨다. 최근 이 그룹은 중국 정부와 사회를 공격하려는 노력을 증가시켰다. 
7 월 말부터 Intrusion Truth는 개인 APT10 해커의 이름을 꾸준히 발표했다. 중국은 수년간 다른 나라의 제조 비밀에 이르기까지 해킹을 당했고 , 군용기 전투기 설계도와 태양력 정보도 도난당했다. 이에 따라 2015년 중국과 미국은 지적 자산의 도난에 초점을 맞춘 해킹을 중단하기로 합의했다. 그러나 올해 중국 해커들은 중요 정보를 훔쳐 왔으며 미국과의 설치 무역과 병행하여 침입을 가속화했다. Intrusion Truth는 초반 APT에 대한 정보를 작년에 공개하며 다른 중국 해커 그룹인 APT3에 집중했다. 6달 후, 미 법무부는 컴퓨터 해킹 및 기타 관련 범죄로 Boyusec에서 근무한 중국인 Yingzhou, Hao 및 Xia Lei를 기소했다. 휴면 1 년 후, 또 다른 최고 계층 중국 사이버 간첩 그룹인 APT10에 초점을 옮겼다. APT10은 원격으로 기술 제품을 고객에게 제공하는 Managed Service Provider (MSP)를 목표로 삼고 그 특권 액세스를 사용하여 궁극적인 목표에 침투하려 한다. 이 단체는 배후에 누가 있는지 가려졌고, 이름을 공개하는 것으로 무엇을 얻기 위함이 아니라 밝혔다.

 


4. [기사] Ryuk 랜섬웨어, 높은 위험성과 높은 수익 캠페인으로 등장
[https://threatpost.com/ryuk-ransomware-emerges-in-highly-targeted-highly-lucrative-campaign/136755/] 

매우 정교한 Ryuk 랜섬웨어는 Hermes 악성코드와 코드를 공유하며 Lazarus Group APT와 연결될 수 있다. 지난 2주 동안 Ryuk ransomware는 Check Point에 따르면 감염된 각 회사에 수백 개의 PC, 스토리지 및 데이터 센터를 암호화했으며 미국의 고 부가가치 기업 3 곳을 포함하여 지금까지 진행중인 캠페인 위협 요인에 대해 640,000 달러를 거뒀다. 일반 랜섬과는 달리, 체계적으로 대규모 스팸 캠페인을 통해 배포 및 키트를 이용, Ryuk는 맞춤형 공격을 독점적으로 사용하고 있다. 전체적으로 이 작업은 광범위한 네트워크 매핑, 해킹 및 자격 증명 수집과 같은 많은 정찰 활동이 포함된 정교한 작업이다. 광범위하게 배포되지 않고 표적 공격에만 사용되어 악성 프로그램 작성자의 활동과 수익을 추적하는 것이 훨씬 어렵다.
이렇게 정교한 반면, 기술력은 상대적으로 낮다. 일반적으로 Lazarus Group에 기인한 악성 코드인 Hermes ransomware와 현저한 유사점을 가지고 있다. 파일이 이미 암호화되어 있는지를 확인하기 위해이 마커를 생성, 배치 및 확인하는데 사용되는 코드가 두 악성 코드 모두에서 동일하다. 또한 모두 동일한 경로에 "window.bat"라는 배치 스크립트를 작성한다. 이것은 Ryuk을 이용한 공격이 에르메스 운영자, 북한의 주장 집단, 또는 Hermes 소스 코드를 획득한 자의 소행일 수 있다고 추측한다. Ryuk의 공격은 더 발생할 수 있다고 말했다.

 

 

5. [기사] Dark Tequila 뱅킹 악성코드, 5년의 활동 이후에 발견됨
[https://thehackernews.com/2018/08/mexico-banking-malware.html

2013 년 이래로 여러 멕시코 금융 기관의 고객을 대상으로 한 새로운 복합 악성 코드 캠페인을 발표했다. Dark Tequila는 주로 온라인 뱅킹 사이트에서 웹 사이트 로그인 정보, 코드 저장소와 공용 파일 저장소와 같은 로그인 정보들을 탈취하도록 설계되었다. 타겟 사이트 목록에는 Cpanels, Plesk, 온라인 비행 예약 시스템, Microsoft Office 365, IBM Lotus Notes Client, Zimbra 전자 메일, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox, Softlayer, Rackspace 및 기타 서비스가 포함된다. 맬웨어는 스피어 피싱 (phear-phishing)이나 감염된 USB 장치를 통해 피해자의 컴퓨터로 전송된다. 일단 실행되면 감염된 컴퓨터에 바이러스 백신 또는 보안 제품군이 설치되어 있는지 분석하고 조건이 만족되면 다단계 페이로드가 컴퓨터를 감염시킨다. Dark Tequila는 C&C, CleanUp, Keylogger, Information Stealer, The USB Infector, Service Watchdog의 6가지 모듈을 포함한다. 다크 테킬라 캠페인은 여전히 활동 중이며 전세계 모든 지역에서 나타날 수 있다. 가장 중요한 것은 신뢰할 수 없는 이동식 및 USB 장치를 컴퓨터에 연결하지 않고 USB 장치에서 자동 실행을 사용하지 않도록 설정하는 것이다.

첨부파일 첨부파일이 없습니다.
태그 Belkin IoT  Airmail3  Intrusion Truth  Ryuk Ransomware  Dark Tequila