Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 8월 5일] 주요 보안 이슈
작성일 2019-08-05 조회 590

1. [기사] 북 추정 해킹그룹들의 자가 복제...라자루스로 위장한 금성 121
[https://www.boannews.com/media/view.asp?idx=81994&page=1&kind=1]
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 최근 한국을 주요 공격대상으로 삼고 있는 APT 위협 배후 중 ‘금성121(Geumseong121)’ 조직이 마치 ‘라자루스(Lazarus)’ 조직인 것처럼 위장한 ‘교란 전술(False Flag)’ 흔적이 발겨되었으며, 작전명을 ‘이미테이션 게임(Operation Imitation Game)’으로 이름 지었다. 공격 벡터는 한국에서 주로 발견되는 HWP 문서 파일과 스피어 피싱이 악용되었다. ESRC는 이번에 식별된 악성 문서파일은 2019년 7월 15일 수정되었으며, 스트림 내부에 BIN0001.eps 포스트스크립트 코드가 포함되어 있었다고 설명했다. 포스트스크립트 코드를 열어보면, 기존에 널리 활용되는 인코딩 기법이 적용되어 있고, 일명 라자루스(Lazarus) 계열에서 목격되던 Hex 16바이트 XOR 암호화키를 확인할 수 있다. 그래서 ESRC는 1단계 초동분석 시점에는 얼마 전 리포팅한 ‘암호화폐 거래자를 노린 Lazarus APT 공격 가속화’ 변종으로 의심했었지만, 분석을 거듭할수록 의도적으로 라자루스 코드가 포함된 정황을 포착했다. 금성121은 특정 정부의 후원을 받아 한국의 대북단체, 외교, 안보, 통일, 국방 분야 및 탈북민 등을 상대로 집중적인 APT 공격을 수행하고 있다고 설명했다. 그리고 주로 HWP, XLS, DOC 문서 파일을 통한 공격을 주 무기로 활용하면서, 한국의 웹 서버 해킹과 해외의 클라우드 서비스를 활용해 C2로 사용하고 있다. 


2. [기사] 다크웹 한류? 사이버 범죄자들 사이에서 한국 관심 높아진다
[https://www.boannews.com/media/view.asp?idx=81974&page=2&kind=1]
한국의 카드 데이터(CP) 100만 건 이상이 다크웹에서 판매되고 있다는 경고가 사이버 보안 연구 단체인 제미니 어드바이저리(Gemini Advisory)에서 나왔으며, 최근 아태지역에서 전자상거래 업체와 오프라인 매장에 대한 사이버 공격이 빠르게 증가하고 있는데 그중에서 한국이 피해국가로서는 압도적 1위를 기록 중이라는 경고도 함께였다. CP 사기 공격은 소비자 개개인의 거래와 관련된 지불 카드 정보를 수집하는 것을 말하며, PoS 단말기에 멀웨어를 심는 방법이 가장 많이 사용된다. 스키머(skimmer)라는 걸 사용하는 수법도 있다. ATM 기기나 POS 단말에 직접 설치되는 작은 장비로, 카드의 자기 띠에 저장된 정보를 훔쳐내고, 이 정보를 획득한 공격자들은 카드를 복제할 수도 있으며, 이 가짜 카드로 결제를 진행할 수 있다. 제미니 측은 아직 유출된 정보의 정확한 출처에 대해서는 다 파악하지 못했지만, 여러 지역에서 사업을 진행하고 있는 커다란 기업의 모회사가 당했을 가능성과, PoS 사업자가 침해됐을 가능성이 제일 높은 것으로 보고 있다.

 

3. [기사] SystemBC, 새로운 프록시 멀웨어가 Fallout 및 RIG EK를 통해 배포중
[https://securityaffairs.co/wordpress/89336/malware/systembc-proxy-malware.html]
Proofpoint 연구원들은 Fallout 및 RIG Exploit Kit(EK)을 통해 배포되고 있는 신종 프록시 악성코드인 SystemBC를 발견했다. 해당 악성코드는 취약한 PC에 설정된 SOCKS5 프록시를 사용하여 악성 네트워크 트래픽을 숨기며, HTTPS 연결을 통해 C2 서버와 통신한다. 가장 최근 분석된 SystemBC는 Follout Exploit을 사용하여 Danabot 은행 트로이 목마를 배포한 것이다. Proofpoint 연구원들은 프록시 악성코드가 지하 시장을 통해 판매될 수도 있다고 생각하며, 러시아 범죄 포럼의 광고에서 SystemBC인 것으로 추정되는 'socks5 backconnect system'이라는 악성코드를 홍보하고 있다.


4. [기사] Researchers Discover New Ways to Hack WPA3 Protected WiFi Passwords
[https://thehackernews.com/2019/08/hack-wpa3-wifi-password.html]
몇 달 전 새로 발표된 WPA3 WiFi 보안 표준에서 Dragonblood라고 불리는 몇 가지 심각한 취약점을 발견한 연구팀이 WiFi 암호를 해킹할 수 있는 두 가지 겸함을 추가적으로 발견했다. CVE-2019-13377로 식별된 첫 번째 취약점은 Brainpool curves를 사용할 때 WPA3의 Dragonfly 핸드 셰이크에 대한 타이밍 기반 측면 채널 공격이다. CVE-2019-13456으로 식별된 두 번째 취약점은 RADIUS 서버 중 하나인 FreeRADIUS에서 EAP-pwd(Extensible Authentication Protocol-Password)를 구현하는 정보 유출 버그이다. 연구원들은 새로운 결과를 WiFi Alliance와 공유하고, WiFi 표준이 적절한 방어망으로 업데이트되어  WPA 3.1로 이어질 수 있으나, 새로운 방어 장치는 초기의 WPA3 버전과 호환되지 않을 것으로 보인다.

 

5. [기사] 이번 블랙햇을 통해 공개될 무료 툴 8가지
[https://www.boannews.com/media/view.asp?idx=81991&page=1&kind=1]
1) 피봇스위트(PivotSuite) : 레드 팀을 위한 네트워크 피보팅(pivoting) 툴킷이다. 일종의 스탠드얼론 유틸리티로, 서버나 클라이언트로 활용할 수 있다.
2) 트래시 택시(Trash Taxi) : 슈퍼 사용자 발견 및 청소 툴이다. 패트릭 케이블(Patrick Cable)이 슈퍼 사용자 계정을 찾아내 지워주는 청소 도구를 만들었으며, 블랙햇 행사 중에 공개될 예정이다. 
3) 레드헌트 OS(RedHunt OS) : 가상의 해커를 만들고 위협 사냥을 시뮬레이션 할 수 있게 해주는 도구이다. 레드헌트 랩스(RedHunt Labs)가 만든 오픈소스 플랫폼이며, 블루 팀의 방어와 위협 사냥을 최대한 현실적인 상황에서 시뮬레이션하기 위해 개발됐었다. 그리고 레드 팀을 위한 오픈소스 첩보와 위협 첩보 툴들도 포함되어 있다.
4) OWASP 어매스(Amass) : 네트워크 내 디지털 자산과 공격자들이 들어올 만한 부분들을 알려주는 도구이다. 해당 도구는 OSINT, 네트워크 정찰, 그래프 데이터베이스, 정보 공유와 같은 방법을 전부 동원해 레드 팀과 블루 팀 모두에게 가시성을 제공한다.
5) 큐브헌터(Kube-Hunter) : 큐버네티스(Kubernetes)용 침투 테스트 플랫폼이다. 아쿠아 시큐리티(Aqua Security)에서 만든 큐브헌터는 큐버네티스 클러스트에 있는 보안 취약점을 계속해서 스캔하고 처리해주는 도구이다.
6) EAP해머(EAPHammer) : 기업용 무선 인프라 보안 평가 툴이다. 2017년 처음 공개된 이후 계속해서 발전하고 있고, 이번 여름에 새롭게 추가된 기능을 선보일 예정이다.
7) 바크(Barq) : AWS용 포스트 익스플로잇 프레임워크다. 바크는 AWS 사용자 기업들이 이러한 문제를 찾아낼 수 있게 해준다. 레드 팀이 AWS 인프라에 대한 모의 공격을 할 때 사용할 수 있으며, 특히 원래의 인스턴스 SSH 키들을 가지고 있지 않아도 레드 팀 훈련을 할 수 있게 해준다는 장점이 있다.
8) 애플리케이션 보안 교육 프레임워크 : 개발자들을 위한 보안 훈련 플랫폼이다. 개발자들이 코딩할 때 보안을 좀 더 염두에 둘 수 있도록 도와주는 도구이며, ‘데브옵스’ 환경에 어울리는 시큐어 코딩을 훈련할 수 있게 하기 위해 만들어진 것이다.

첨부파일 첨부파일이 없습니다.
태그 SystemBC  금성121  WPA3