Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 11월 26일] 주요 보안 이슈
작성일 2019-11-26 조회 388

1. [기사] 사이버 공격 지형도 그려봤더니, 국제 관계 현황 그대로 반영해
[https://www.boannews.com/media/view.asp?idx=84739&page=1&kind=1]
사이버 공격 행위에 대한 새로운 보고서 'VM웨어 카본블랙 글로벌 사건 대응 위협 보고서(VMWare Carbon Black Global Incident Response Threat Report)'이 발표됐다. 해당 보고서에 따르면 2019년 현시점까지 발생한 사이버 공격의 47%가 중국과 러시아와 연루되어 있으며, 공격 단체가 맞춤형으로 편집하거나 개발한 악성코드와 ‘프로세스 할로윙(process hollowing)’의 사용률이 올라가고 있다고 한다. 또한, 데이터를 파괴하거나 무결성을 훼손하는 종류의 공격이 증가 중이며, 새로운 형태의 아일랜드 호핑(island hopping) 공격이 우려되는 수준으로 올라오고 있다고 한다. 공격의 전략이나 기법이 이렇게 발전하는 것처럼 악성코드 자체도 빠르게 향상되고 있으며, 악성코드를 시장(다크웹)에서 사서 사용하는 것보다 커스터마이징이나 자체 개발을 하는 경우가 더 많다. 또한, 전 세계의 커다란 흐름을 형성하는 감정이 사이버 공간에 그대로 반영되는 건, 오프라인 공간에서 이뤄지고 있는 실질적 외교 상황 등에서 개선이 있지 않다면 사이버 공간의 지금 상황 역시 개선되지 않을 가능성이 높다는 것을 의미한다. 현재 사이버 공간에서 발생하고 있는 각종 상황이 실제 지정학적 관계를 그대로 반영한다는 건 2020년 미국 대선이 커다란 요소로 작용할 가능성이 높다는 뜻으로, 이미 다크웹에는 유권자 데이터베이스가 담긴 덤프가 판매되고 있다. 2019년 10월에만 47번 거래됐습니다. 이미 선거나 정치 현황을 테마로 한 사이버 공격이 차근차근 준비되고 있다는 뜻이다. 이런 다량의 개인정보가 거래되는 방식은 여러 가지다. 간단히 돈을 주고 구매하는 경우도 있지만, 특정 표적이 되는 곳에 대한 확실한 접근권을 보다 큰돈을 주고 사는 접근권 채굴(access mining)이 증가하고 있다. 


2. [기사] 정신 감정 및 심리 상담 사이트에서도 정보 거래 벌어지고 있다
[https://www.boannews.com/media/view.asp?idx=84747&page=1&kind=1]
정신 건강과 관련된 웹사이트들을 다수 분석한 보안 전문가들이 어마어마한 숫자의 트래커를 발견했다고 발표했다. 대부분 마케팅을 위한 목적으로 활용되고 있었으며, 이런 웹사이트들의 25% 이상이 프로그램화된 광고 및 실시간 입찰과 관련된 서드파티 요소들을 내포하고 있기도 했다. 이런 결과를 발표한 영국의 비영리 단체인 국제프라이버시(Privacy International)의 기술 전문가인 엘리엇 벤디넬리(Eliot Bendinelli)는 기술 산업, 신용 평가 기관, 광고 차단기 등과 같이 추적과 밀접하게 연관된 분야를 조사하면서 트래킹 산업에 연루된 자들이 하는 행위가 법의 테두리를 넘는다고 보고, 해당 조직은 지금 법적인 절차를 밟기 위한 준비를 하고 있다고 말했다. 그리고 민감한 내용과 정보를 주고받는 사이트를 추가로 조사하기 위해 정신 건강과 관련된 웹사이트들을 분석했다. 전문가는 프랑스, 독일, 영국에서 운영되고 있는 136개의 우울증 관련 웹사이트들을 분석했으며, 웹엑스레이(Webxray)라는 도구를 사용해 각 사이트마다 운영되고 있는 트래커의 수, 드롭되는 쿠키의 수 등을 파악했다. 그 결과 97%가 구글의 트래커를 가지고 있는 것으로 나타났다. 그 외 90%의 웹사이트들에서는 더블클릭(Doubleclick)의 트래커도 발견됐다. 그 뒤로 페이스북과 아마존의 트래커들이 활개를 치고 있었으며 트래커들의 목적은 오직 하나, 표적 광고이다. 국제프라이버시의 기술팀이 분석한 웹 페이지 중 1/4 이상에서 프로그램화된 광고 및 실시간 입찰과 관련된 서드파티 요소들이 나오기도 했으며, 이 과정에서 지나치게 많은 회사가 지나치게 많은 정보를 공유하게 된다고 문제를 지적한다. 더 큰 문제는, 심리학이나 정신 상담과 관련된 결과도 직접 혹은 간접적인 방법으로 이 서드파티 업체들에 공유된다는 것이다. 


3. [기사] Raccoon Stealer campaign circumvents Microsoft and Symantec anti-spam messaging gateways
[https://securityaffairs.co/wordpress/94339/malware/raccoon-stealer-evasion-technique.html]
Raccoon Stealer의 사이버 범죄자들은 ​​Microsoft 및 Symantec 스팸 방지 메시징 게이트웨이를 우회하기 위해 간단하고 효과적인 기술을 채택했다. Raccoon Stealer은 4월에 처음 발견되었으며 피해자의 신용 카드 데이터, 이메일 자격 증명, 암호 화폐 지갑 및 기타 민감한 데이터를 도용하기 위해 설계되었다. Raccoon은 사용하기 쉬운 자동화 된 백엔드 패널을 구현하는 MaaS(Malware-as-a-Service)로 판매되며, 운영 업체는 러시아어와 영어로 방탄 호스팅 및 연중무휴 고객 지원을 제공한다. 지하 커뮤니티에서 판매되는 로그 분석을 통해 전문가들은 Raccoon이 발견 당시 전 세계 10만 명 이상의 사용자를 감염시킨 것으로 추정할 수 있었으며, Cofense의 연구원은 최근 BEC(Business Email Compromise) 공격에서 이 기술을 사용하는 공격자를 관찰했다. Cofense가 발표한 분석에 따르면 공격자는 금융 기관을 목표로 하고 Dropbox에서 호스팅하는 .IMG 파일을 통해 제공되는 Raccoon Stealer 악성코드를 사용한 최신 캠페인에서 볼 수 있듯이 합법적인 서비스를 계속 이용하여 사용자를 속인다. 또한, 해당 악성코드는 사용자가 원하는 방식으로 배포 할 수 있으며, 이 캠페인에서 액터들은 Dropbox 공유에서 악의적인 .IMG 파일을 호스팅했다. 공격자는 금융 기관 직원의받은 편지함에 피싱 전자 메일을 전달했으며,이 메시지는 전신 송금 테마를 사용하여 피해자가 Dropbox URL을 열고 악성 파일을 다운로드하도록 속였다. Cofense에 따르면 가장 최근의 캠페인에서 메시지는 손상된 이메일 계정으로 전송되었으며 Symantec Email Security 및 Microsoft EOP 게이트웨이를 통과했다. 또한, 지난 공격에서 과거의 공격과 달리 공격자는 Microsoft Office 원격 코드 실행 취약점(CVE-2017-8570)을 악용하려고 시도했다. 


4. [기사] 새로운 마이크로소프트 패치가드(KPP)에서 우회 취약점 또 발견돼
[https://dailysecu.com/news/articleView.html?idxno=81516]
지난달 한 보안연구원이 패치가드(PatchGuard)로 불리는 마이크로소프트 커널 패치보호(KPP) 기능에 대한 우회 개념증명코드(PoC) 익스플로잇을 공개했다. ByePg로 명명된 이 패치가드 우회 기법은 7월에 공개된 InfinityHook 이후 올해 두 번째 패치가드 우회 기법이다. 마이크로소프트 윈도우XP에서 2005년 처음 도입된 패치가드는 앱이 커널을 패칭하는 것을 막는 보안 기능으로 윈도우 64비트 버전에서만 적용된다. 패치가드가 공개되기 전에는 많은 애플리케이션들이 윈도우의 커널을 수정할 수 있어 그들은 그들의 업무를 더 쉽게 할 수 있었고 민감한 함수에 접근이 가능했으며, 안티바이러스, 특정 드라이버들, 게임 치트툴, 악성코드 등이 그들만의 목적으로 커널 패칭을 사용했다. 2015년 윈도우10이 릴리즈된 후 가장 주목할만한 패치가드 우회는 2017년 사이버아크(CyberArk) 연구자들이 발견한 고스트훅(GhostHook)이다. 올해 7월에는 두 번째 우회가 발견되어 공개되었다. 라이엇 게임의 치트 방지 전문가 닉 페터슨(Nick Peterson)이 발견한 이 기술의 이름은 인피니티훅(InfinityHook)이며  NtTraceEvent API를 악용하여 커널을 패치했다. 지난달 세 번째 패치가드 바이패스가 공개되었으며, 이번에는 터키 소프트웨어 개발자인 캔 볼럭(Can Bölük)이 작성했다. ByePg라고 명명된 이 익스플로잇은 악성 앱이 커널을 패치할 수 있도록 HalPrivateDispatch Table을 탈취한다. ByePg는 패치가드와 하이퍼바이저-보호 코드 무결성(HVCI, Hybervisor-Protected Code Integrity)를 우회할 수 있기 때문에 훨씬 위험한 것으로 간주된다. 사이버아크, 페터슨 및 볼럭의 세 가지 우회 기술 모두 마이크로소프트가 이슈에 대한 수정을 거부한 후 공개되었다. 세 경우 모두에 대한 마이크로소프트의 답변은 세 가지 익스플로잇 모두 실행하려면 관리자 권한이 필요했기 때문에 보안 문제로 분류되지 않는다는 것으로 동일했다. 현재 ByePg는 아직 패치되지 않았다.


5. [기사] PoC exploit code for Apache Solr RCE flaw is available online
[https://securityaffairs.co/wordpress/94378/hacking/apache-solr-rce-exploit.html]
여름 동안 Apache Solr 팀은 원격 코드 실행 취약점을 해결했으며 작동하는 악용 코드는 온라인으로 공개되지 않았다. Apache Solr은 Java로 작성된 매우 안정적이고 확장 가능하며 내결함성이있는 오픈 소스 검색 엔진으로, 안정성, 확장성 및 내결함성이 뛰어나 분산된 인덱싱, 복제 및 로드 밸런싱 쿼리, 자동화된 페일 오버 및 복구, 중앙 집중식 구성 등을 제공한다. 해당 취약점은 jnyryan라는 사용자가 관리자에게 보고했으며, 기본 solr.in.sh 구성 파일의 ENABLE_REMOTE_JMX_OPTS 구성 옵션에 대한 안전하지 않은 설정이 포함된 Linux 용 Apache Solr(Windows는 영향을받지 않음)의 8.1.1 및 8.2.0 릴리스에 영향을 준다. 영향을 받는 릴리스에서 기본 solr.in.sh 파일을 사용하는 경우 인증없이 RMX_PORT(기본값 = 18983)에서 JMX 모니터링이 활성화되고 노출되며, 이 포트가 인바운드 트래픽을 위해 열린 경우 방화벽에서 Solr 노드에 대한 네트워크 액세스 권한이있는 모든 사용자가 JMX에 액세스할 수 있게 되어 Solr 서버에서 실행할 악성 코드를 업로드 할 수 있다. Tenable이 발표한 분석에 따르면 v7.7.2에서 v8.3까지의 모든 Solr 버전은 취약점의 영향을 받는다. 0월 30일, 사용자 s00py는 GitHub에 취약성 시스템의 원격 코드 실행을 위해 이 문제를 이용하는 PoC 익스플로잇 코드를 게시했으며, 이틀 후 사용자 jas502n는 취약점을 매우 간단하게 악용할 수 있는 두 번째 PoC 코드를 게시했다. 두 PoC 악용으로 인해 Solr팀은 11월 15일에 업데이트된 보안 권고를 게시했으며, 이 취약점은 CVE-2019-12409 식별자를 받았다. 

첨부파일 첨부파일이 없습니다.
태그 Raccoon Stealer  KPP  ByePg  Apache Solr  CVE-2019-12409