Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 11월 11일] 주요 보안 이슈
작성일 2019-11-11 조회 160

1. [기사] 웹호스팅 업체 또 당한 랜섬웨어, 최근 변종 잇따라 발견
[https://www.boannews.com/media/view.asp?idx=84418&page=1&kind=1]
최근 웹호스팅 업체 라온넷닷컴의 랜섬웨어 감염 사태로 고객들까지 큰 피해를 입은 것으로 추정되는 가운데 변종 랜섬웨어가 연이어 발견되면서 각별한 주의가 요구되고 있다. 이번에 발견된 변종 랜섬웨어는 감염 시 확장자가 .mosk로 변경되는 특징이며, 최근 다양한 형태의 랜섬웨어가 BlueCrab과 동일한 외형으로 유포됨에 따라 안랩 ASEC 분석팀은 동일한 유포자에 의해 다양한 랜섬웨어가 선택되어 유포에 활용되는 것으로 추정했다. 특히, 해당 랜섬웨어는 파일 암호화뿐만 아니라 정보 탈취형 악성코드를 다운받아 실행하는 것으로 드러났다. 암호화는 C:\드라이브를 포함해 모든 드라이브를 대상으로 진행되며, 이 중 윈도우 상의 일부 중요 디렉터리는 암호화 대상에서 제외된다. 암호화가 완료되면 랜섬노트를 생성해 사용자에게 감염 사실을 알리게 되는데, 감염된 파일은 기존 확장자 뒤에 .mosk가 추가되는 형태이다. 해당 랜섬웨어에 감염되면 랜섬노트에 명시된 이메일 주소로 복구 툴 비용을 지불하도록 하고 있는데, 금액은 980달러로 확인됐다.


2. [기사] The Platinum APT group adds the Titanium backdoor to its arsenal
[https://securityaffairs.co/wordpress/93630/apt/platinum-titanium-backdoor.html]
카스퍼스키 랩의 보안 전문가들은 Titanium(자체 실행 파일 중 하나의 암호로 명명된 이름)으로 추적된 새로운 백도어를 발견했다. 이 백도어는 Platinum APT 그룹이 야생 공격에 사용했으며, 악성 코드는 정교한 회피 기술을 구현한다. 마이크로소프트에 따르면 플래티넘은 ISP, 정부기관, 정보기관, 국방기관 등에 대한 스피어 피싱 공격을 최소 2009년부터 담당했으며, 해커들은 그 그룹의 타깃 기업과 TTP의 성격 때문에 재정적으로 동기가 있는 것 같지 않다. 2018년 6월, 카스퍼스키의 전문가들은 남아시아와 동남아시아 국가의 정부 및 군사 단체에 대한 공격을 조사했으며, 전문가들은 이 캠페인이 이스턴로펠로펠로프(EasternRoppels)를 추적했다. 그리고 6월에, Platinum APT 그룹은 스테가노그래픽 기술을 사용하여 C&C와의 통신을 숨기는 것이 관찰되었다. Platinum은 APAC 지역에 전통적으로 초점을 맞춘 최첨단 APT 그룹 중 하나로 간주되며, 새로운 Titanium 백도어는 일반적인 소프트웨어(보호 관련, 사운드 소프트웨어, DVD 비디오 제작 도구)를 모방하여 모든 단계에서 숨어 있다. 또한, 백도어는 다음을 포함한 많은 명령을 지원한다.
1) 파일 시스템에서 파일을 읽어 C&C로 전송
2) 파일 시스템에서 파일 드롭 또는 삭제
3) 파일 드롭하고 실행
4) 커맨드를 실행하고, 실행 결과를 C&C로 전송
5) 구성 매개 변수 업데이트(AES 암호화 키 제외)
6) 대화형 모드 : 공격자가 콘솔 프로그램에서 입력을 수신하고 C&C에서 출력을 보낼 수 있도록 허용


3. [기사] 킨들이 위험하다? 유명 부트로더에서 취약점 다수 나와
[https://www.boannews.com/media/view.asp?idx=84395&page=2&kind=1]
아마존의 킨들, ARM 크롬북을 비롯해 각종 장비와 네트워크 하드웨어에 사용되는 부트로더인 다스유부트(Das U-Boot)에서 취약점이 여러 개 발견됐다. 이 취약점을 발견한 보안 업체 포올시큐어(ForAllSecure)는 유부트의 파일 시스템 드라이버를 분석하다가 해당 취약점을 발견했다. 그리고 DOS 파티션 파서에서의 반복적 스택 오버플로우, ext4에서의 버퍼 오버플로우와 더블 프리 메모리 변형 취약점 등으로 구분할 수 있고, 익스플로잇에 성공할 경우 서비스 마비, 장비 장악, 코드 실행 공격을 할 수 있다고 말했다. CVE-2019-13103은 스택 오버플로우 취약점으로, 유부트의 모든 버전에서 발견되었으며, DOS 파티션 테이블을 읽을 때 취약점을 발동시킬 수 있다. 그리고 ‘part_get_info_extended’라는 함수가 반복적으로 호출하는 것이 취약점의 정체인데, 이 때문에 제한이 없는(unbounded) 스택 축적이 이뤄진다. 그 다음 취약점은 CVE-2019-13104으로 버퍼 오버플로우 취약점이다. 해당 취약점이 안 좋은 방향으로 작동하기 시작하면 memcpy가 무한정 길이로 실행되고, 모든 메모리 영역에 덮어쓰기가 일어나 메모리가 변형된다. 그리고 두 번째 버퍼 오버플로우 취약점은 CVE-2019-13106으로 ext4 코드가 ext4fs_read_file 함수 내 스택 중 0인 부분을 덮어쓰기 할 수 있게 되면서 신뢰할 수 없는 파일시스템에 파일들의 목록을 생성한다. 이 과정을 통해 공격자들은 비교적 간단하게 CPU에 대한 통제권을 가져갈 수 있게 되며, 이 취약점의 경우 파일 이름이 블록 경계선을 가로지르는 위치에 지정될 때 발동된다고 한다. CVE-2019-13105 취약점은 ex_cache_ini에서 발견된 더블 프리(double-free) 버그도 존재한다. 유부트 측은 이 모든 버그들은 패치해 2019.10 버전을 발표했다.


4. [기사] Capesand is a new Exploit Kit that appeared in the threat landscape
[https://securityaffairs.co/wordpress/93577/malware/capesand-exploit-kit.html]
2019년 10월, TrendMicro의 연구원들은 라이브 공격에 관여하고 있는 Capesand라는 새로운 공격 키트를 발견했으며, 이 도구는 RIG EK를 사용하여 DarkRAT 및 njRAT를 제공하는 악성 광고 캠페인을 분석하는 동안 발견되었다. 또한, 전문가들은 케이프 샌드 익스플로잇 킷의 코드가 다른 익스플로잇 킷에 비해 매우 단순하다고 지적했다. Capesand는 Adobe Flash 및 Microsoft Internet Explorer (IE)의 최근 취약점과 2015 년 IE의 취약점을 악용한다. 또한, 해당 캠페인은 가짜 블록체인 광고로 배포되었으며, 프론트 엔드 소스 코드를 확인한 결과 Demon Hunter라는 매우 오래된 익스플로잇 킷과 비슷하다는 것을 확인하였다. Capesand EK가 악용한 취약성 목록에는 CVE-2018-4878(Adobe Flash), CVE-2018-8174, CVE-2019-0752(Internet Explorer) 등이 있다. Capesand EK의 또 다른 흥미로운 측면은 익스플로잇이 프론트 엔드 EK 소스 코드 패키지에 포함되어 있지 않다는 것이며, 전문가들은 Capesand가 서버 API에 요청하여 특정 익스플로잇 코드를 제공한다는 사실을 발견했다. API 요청에는 피해자에 대한 다음 정보가 포함된다.
1) 요청된 익스플로잇 이름
2) 익스플로잇 URL의 구성
3) 피해자의 IP 주소
4) 피해자의 브라우저 사용자 에이전트
5) 피해자의 HTTP 리퍼러


5. [기사] Apple Mail on macOS leaves parts of encrypted emails in plaintext
[https://www.zdnet.com/article/apple-mail-on-macos-leaves-parts-of-encrypted-emails-in-plaintext/]
macOS의 Apple Mail 앱은 암호화된 이메일을 snippets.db라는 데이터베이스에 일반 텍스트로 저장한다. 버그는 소유자의 요청에 따라 Apple의 음성 도우미가 연락처 정보를 제공할 수 있는 Siri 기능으로 인해 발생한다. Gendler에 따르면 Siri는 suggestd라는 프로세스를 사용하여 연락처 정보를 위한 다양한 앱을 긁으며, 찾는 내용이 무엇이든 간에 사용자가 연락처 제안을 원하면 데이터를 보관하는 snippets.db 파일에 저장한다. 이는 암호화된 이메일을 사용하고 콘텐츠가 보호되기를 기대하는 정부, 기업, 일반인들에게 큰 문제라고 지적했다. 또한, 이 문제는 Sierra에서 최신 Catalina까지 모든 맥 OS 버전에서 발생한다. Siri가 암호화된 이메일을 긁는 것을 막는 유일한 방법은 구체적으로 Apple Mail에서 콘텐츠를 읽지 않도록 지시하고, 마지막 단계는 snippets.db 파일을 제거하는 것이다. Siri에게 Apple Mail 컨텐츠 스크랩을 중지하라고 지시해도 이 파일은 자동으로 삭제되지 않으므로 사용자가 직접 해야 한다. 해당 파일은 '/Users/(username)/Library/Suggestions/'에 있다. 

첨부파일 첨부파일이 없습니다.
태그 BlueCrab  Platinum  Titanium  Das U-Boot