Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 12월 11일] 주요 보안 이슈
작성일 2019-12-11 조회 428

1. [기사] 사우디 장교 총격 사건 겪은 펜사콜라, 사이버 공격 이어져
[https://www.boannews.com/media/view.asp?idx=85100&page=1&kind=1]
사우디아라비아의 군 장교가 미국 해군 기지에서 세 명의 미국인을 총기로 살해한 충격적인 사건이 벌어지고 며칠 지나지 않아 사이버 공격이 발생했다. 플로리다주 펜사콜라시가 직접 밝힌 내용이며, 이 사이버 공격 때문에 펜사콜라 시는 이메일, 전화 통화, 온라인 지불 관련 업무 처리를 할 수 없는 상황이 됐다고 한다. 다만 아직 사우디 장교의 총격 사건과 사이버 공격 사이의 연관성이 명확히 드러난 것은 아니다. 현재 이 사건은 위 총격 사건과 더불어 FBI로 넘어간 상태이며, 펜사콜라는 여러 정보를 FBI에 제공하고 있다고 한다. 총격 사건에 대해 FBI는 테러를 염두에 두고 해당 사건을 조사 중이나, 아직 명확하게 ‘테러리즘’이라고 발표하지는 않고 있다. 이 사건이 테러로 밝혀질 경우 미국과 사우디 사이는 크게 삐걱거릴 수 있다고 전문가들은 보고 있으며, 사이버 공격까지 사건과 연루되었을 경우 두 나라는 순식간에 적대적인 관계로 변하는 것도 가능하다. 한편 사우디는 주도적으로 사이버전 행위를 하는 국가는 아니지만, 최근 들어 용병을 고용함으로써 이 부분을 보충해나가고 있는 분위기다. 용병을 고용해 사이버전을 진행하는 건, 현재까지 공개된 사이버전의 역사에서 드문 일이며, 이 때문에 사이버전의 양상이 바뀔 수도 있어 보안 커뮤니티의 관심이 쏠리고 있기도 하다.


2. [기사] 구글, 파일 접근 취약점 탐지 도구의 소스코드 공개해
[https://www.boannews.com/media/view.asp?idx=85097&page=1&kind=1]
구글이 오늘 파일 접근과 관련된 취약점을 식별하는 데 도움을 줄 수 있는 도구인 패스오디터(PathAuditor)의 소스코드를 공개했으며, 해당 도구는 구글 내부적으로 유용하게 사용해왔다고 한다. 패스오디터는 구글이 계속해서 지원과 관리하는 도구가 아니라는 것도 강조됐다. 구글은 패스오디터를 무료로 푸는 이유에 대해 파일 접근과 관련된 취약점들을 악용할 경우 공격자는 권한을 상승 시켜 임의 코드를 실행할 수 있게 되고, 요즘처럼 소프트웨어에 대한 의존도가 높아진 때에 파일 접근과 관련된 취약점을 빠르고 정확하게 찾아낼 수 있다는 건 대단한 능력이라고 설명했다. 패스오디터는 LD_PRELOAD와 함께 프로세스들에 로딩될 수 있는 공유 라이브러리의 일종이며, 파일 시스템과 연관성이 있는 libc 기능들을 감사한다. 권한이 없는 사용자가 파일이나 디렉토리를 변경할 수 있는지, 심볼릭 링크(symlink) 등을 활용해 비정상 조작이 가능한지 등을 점검한다고 한다. 구글을 깃허브에 툴의 소스코드와 사용 설명서 성격의 문건들 그리고 패스오디터로 찾아낼 수 있는 취약점의 예시들도 함께 공개했다. 


3. [기사] 하드웨어 비밀번호 관리 장비 조사했더니, 허술 그 자체
[https://www.boannews.com/media/view.asp?idx=85099&page=1&kind=1]
한 보안 전문가가 세 개의 하드웨어 기반 비밀번호 관리 프로그램에서 크리덴셜이 평문으로 저장되는 취약점을 발견했다. 조사를 진행한 보안 전문가는 필 에벨레이(Phil Eveleigh)이 조사한 제품은 렉존 패스워드 세이프(RecZone Password Saf, 패스워즈패스트(passwordsFAS, 로얄 볼트 패스워드 키퍼(Royal Vault Password Keeper)이다. 세 장비 모두 패스코드로 보호되어 있으며, 사용자가 사이트별 URL, 사용자 이름, 비밀번호를 추가할 수 있다. 해당 세 가지 장비는 키보드를 연결해 사용하는 게 매우 어렵고, 비밀번호를 간단하고 쉽게 설정해도 되게끔 설계되어 있다는 공통점이 존재한다. 에벨레이는 제일 먼저 데이터를 장비에 추가하는 것부터 분석을 시작했다. 렉존의 경우 라즈베리 파이를 통해 보드에 전력을 공급하는데, 그런 상태에서 라즈베리 파이를 통해 데이터를 열람할 수 있다. 또한, 해당 데이터(크리덴셜)는 전부 평문으로 저장되며 장비를 리셋시켜도 사라지지 않는다. 패스워드패스트는 라즈베리 파이로 시동을 거는데 성공했으며 데이터에 접근이 가능했지만, 데이터는 암호화된 채 저장되어 있었고, 장비마다 다른 암호화 키를 사용하는 것으로 나타났다. 로얄의 볼트 패스워드 키퍼는 SPI 플래시와 시모스(CMOS) 플래시로 두 개의 보드가 존재하며, 전자는 비어있고, 후자는 범용 프로그래머가 있으면 칩 내용을 읽을 수 있게 된다. 또한, 시모스 플래시 칩의 경우 수많은 사용자의 것으로 보이는 암호화된 데이터가 저장되어 있었으며, 데이터 내부에서 마스터 핀이 발견되었고, 이를 사용해 전부 복호화하는 게 가능하다. 


4. [기사] Snatch Ransomware force systems to Windows Safe Mode to bypass security solutions
[https://securityaffairs.co/wordpress/94902/malware/snatch-ransomware-disables-av.html]
연구원들은 감염된 컴퓨터를 안전 모드로 재부팅하여 보안 솔루션을 우회하고 시스템의 파일을 암호화하는 Snatch 랜섬웨어의 새로운 변종을 발견했다. 해당 악성코드는 윈도우즈 시스템이 안전 모드로 실행될 때 많은 보안 도구가 자동으로 실행 중지된다는 사실을 악용한다. Snatch 랜섬웨어의 배후에 있는 공격자(Snatch Team)는 대상 네트워크를 손상시키기 위해 액티브 오토매틱 공격 모델을 채택하고 있다. 공격자들은 노출된 서비스에 대한 자동 무차별 대입 공격을 시작한 다음 해당 구성원이 수행한 수동 작업을 통해 측면 이동을 위한 발판으로 활용했다. 또한, 대상 조직의 로그를 분석한 결과 위협 행위자는 서버의 Microsoft Azure 관리자 계정에 대해 무차별 공격을 한 다음 RDP를 통해 로그인한 것으로 나타났다. 미국, 캐나다 및 여러 유럽 국가를 포함한 전 세계 조직에 대한 각각의 공격에서 동일한 도구 모음을 사용하는 것을 발견했으며, 모든 피해 조직에는 RDP가 온라인으로 노출된 하나 이상의 컴퓨터가 존재했다. 그리고 공격자는 동일한 관리자 계정을 사용하여 대상 네트워크 로그를 도메인 컨트롤러 시스템을 손상시키고, 액세스를 유지하며, 네트워크의 활동을 모니터링하여 정보를 유출한다. 시스템이 안전 모드에서 실행되는 동안 파일을 암호화하기 위해 Snatch 랜섬웨어 구성 요소는 안전 모드에서 실행될 수 있으며 중지하거나 일시 중지할 수없는 SuperBackupMan이라는 Windows 서비스로 자체 설치된다. 재부팅 후 컴퓨터가 다시 부팅되면, 이번에는 안전 모드에서 악성코드는 Windows 구성 요소 net.exe를 사용하여 SuperBackupMan 서비스를 중지한 다음 Windows 구성 요소 vssadmin.exe를 사용하여 모든 볼륨 섀도 복사본을 삭제하고, 그 후 랜섬웨어는 감염된 시스템의 로컬 하드드라이브에 있는 문서를 암호화하기 시작한다. 


5. [기사] Phishing Attack Hijacks Office 365 Accounts Using OAuth Apps
[https://www.bleepingcomputer.com/news/security/phishing-attack-hijacks-office-365-accounts-using-oauth-apps/]
받는 사람의 사용자 이름과 암호를 대상으로 하지 않고 Microsoft OAuth API를 통해 받는 사람의 Office 365 계정 및 데이터에 액세스하는 새로운 방법을 사용한 피싱 캠페인이 발견되었다. 대부분의 Microsoft Office 365 피싱 공격은 Microsoft 로그인 랜딩 페이지를 가장하여 사용자의 로그인 이름과 암호를 탈취하도록 설계되었다. PhishLabs가 발견한 피싱 캠페인에서 공격자는 더는 사용자의 로그인 자격 증명을 대상으로 하지 않고, Microsoft Office 365 OAuth 앱을 사용하여 수신자의 계정을 도용한다. 이 공격 방법은 피해자의 Office 365 계정을 대상으로 한 효과적인 악성코드라는 점에서 독특하다. 또한, 해당 방법은 매우 지속적이며 대부분의 보안 수단을 완전히 우회하고, 탐지와 제거가 어렵다. OAuth 앱은 제3자가 요청하는 권한을 표시한 후 사용자에게 요청을 수락하도록 요청하는 '요청된 권한' 대화상자를 표시하여 권한을 얻는다. 사용자가 앱 요청을 수락하면 사용자와 관련된 보안 토큰이 앱 개발자에게 전송되어 자체 서버 및 애플리케이션에서 사용자의 데이터 및 서비스에 액세스할 수 있다. 사용자가 요청을 수락하면 공격자는 이제 대상의 Office 365 계정에 대해 액세스 권한을 부여한 데이터에 대한 액세스 권한 유지, 연락처 읽기, 로그인하여 프로필 읽기, 메일 읽기, 액세스 할 수 있는 모든 OneNote 전자 필기장 읽기, 편지함 설정과 읽기 및 쓰기, 액세스 권한이 있는 모든 파일에 대한 전체 액세스 권한을 가질 수 있다. 이러한 권한을 통해 공격자는 사용자의 OneNote 전자 필기장, 저장된 파일 및 전자 메일 및 연락처를 읽을 수 있는 기능에 완전히 액세스 할 수 있지만 실제로 전자 메일을 보낼 수는 없지만, 액세스 권한을 표적화된 공격을 위한 정찰로 사용할 수 있다. 

첨부파일 첨부파일이 없습니다.
태그 PathAuditor  Snatch  OAuth