Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 12월 18일] 주요 보안 이슈
작성일 2019-12-18 조회 431

1. [기사] SQL 서버 관리를 위한 도구, 범죄자들 도우미 될 수 있다
[https://www.boannews.com/media/view.asp?idx=85234&page=1&kind=1]
SQL 데이터 발견 및 항목화(SQL Data Discovery & Classification)은 마이크로소프트가 SQL 서버 2019(SQL Server 2019)에 탑재한 도구로, 편리한 데이터 관리를 위해 고안된 것이다. 그런데 이것이 공격자들의 정보 수집을 편리하게 해줄 수 있다는 연구 결과가 발표됐다. 보안 업체 임퍼바(Imperva)의 보안 엔지니어인 아비단 레이흐(Avidan Reich)에 의하면 SQL 데이터 발견 및 항목화 도구를 통해 공격자들은 어떤 정보가 민감하고 어떤 정보가 사소한 것인지 구분할 수 있게 된다고 설명한다. 하지만, 이 때문에 정보에 접근이 가능하게 되는 건 아니라고 강조했으며, 해당 도구의 작동 방식이 오히려 공격자를 이롭게 할 수 있다는 걸 지적하고 싶다고 말했다. SQL 데이터 발견 및 항목화 도구는 SQL 서버 관리 스튜디오(SQL Server Management Studio, SSMS)에 장착되어 있고, 사용자들은 이를 이용해 데이터베이스에 저장된 민감한 정보를 찾아내고 분류해 관리할 수 있다. 또한 ‘민감도 항목 추가(Add Sensitivity Classification)’라는 SQL 명령이나 SSMS GUI를 통해 데이터를 더욱 쉽게 관리할 수도 있다. 데이터의 항목이 결정되면, 그 사실이 감사 로그에 추가된다. 따라서 직원들은 이 정보에 누가 어떤 시간에 접근했는지 등을 꾸준히 관찰할 수 있다. 이는 규정 준수와 감사에 큰 도움이 된다고 레이흐는 설명한다. 레이흐는 SQL 데이터 발견 및 항목화 도구에서 ‘직무 분리’와 관련된 문제를 발견했다. 데이터베이스 관리자들에게만 데이터베이스 관리 업무에 필요한 도구만을 제공해야 하며, 데이터베이스를 설계, 관리하고, 데이터베이스 사용 현황이나 성능, 속도를 모니터링하는 등의 일을 다른 사람이 할 수 있게 되면, 그 자체로 데이터베이스는 큰 위험에 처하게 된다고 말했다.


2. [기사] 모바일 통한 디도스 공격, 갈수록 늘어나고 있다
[https://www.boannews.com/media/view.asp?idx=85236&page=1&kind=1]
지난 삼사분기 동안 발생한 디도스 공격이, 작년 삼사분기보다 86% 증가했으며, 도메인 이름 시스템(DNS)을 활용한 증폭 기술의 인기가 공격자들 사이에서 식을 줄을 모른다는 점도 눈에 띈다. 보안 업체 넥서스가드(Nexusguard)가 집계해 발표한 내용에 따르면 DNS 증폭 공격은 전체 DNS 공격의 45%를 차지했고, HTTP 플러드(HTTP Flood)와 TCP SYN 공격은 각각 14%와 7.7%의 점유율을 보였다. 또한 디도스 공격 트래픽의 원천으로서 모바일 장비의 활용률이 꾸준히 높은 수치를 기록하고 있다는 것도 주목할 만하다. 디도스 공격의 41%가 모바일 게이트웨이에서부터 출발하며, 해당 트래픽의 3/4은 애플의 iOS 장비들에서 비롯된다. 넥서스가드의 연구 관리자인 토니 미우(Tony Miu)는 모바일과 사물인터넷 장비들이 디도스 공격에 자주 활용되는 이유에 대해 '늘 켜져 있다'는 특징 때문이라고 설명했다. 디도스 공격 분야에 있어서 대규모 트렌드 변화는 아직 나타나고 있지 않으며, 공격의 대부분(86%)이 최대 90분까지 이어지고 90%는 1Gbps 이하를 기록했다. 또한, 보안의 측면에서 꽤 준수한 모습을 보여 왔던 애플의 장비들이 디도스 공격에 자주 활용된다는 점에서 넥서스가드는 탈옥으로 인해 애플이 설정한 보안 옵션들을 하나도 지키지 않은 iOS 장비들 때문이라고 말했다.


3. [기사] A WhatsApp bug could have allowed crashing of all group members
[https://securityaffairs.co/wordpress/95257/hacking/whatsapp-bug-group-crash.html]
WhatsApp은 악의적인 그룹 구성원이 동일한 그룹의 모든 구성원에 대해 메시징 앱을 중단시킬 수 있는 심각한 취약점을 해결했다. 공격자는 악의적으로 제작된 메시지를 대상 그룹에 보내 취약점을 유발할 수 있으며, 이 메시지로 인해 앱이 루프를 시작하고 장치가 중단된다. 상황을 복구하는 유일한 방법은 모든 그룹 구성원이 WhatApp을 재설치하고, 그룹을 제거하는 것이다. 해당 취약점은 Check Point의 연구원에 의해 발견되었으며, 이 문제는 전화번호가 잘못된 회원이 그룹에 메시지를 보낼 때 앱을 중단시키는 XMPP 통신 프로토콜의 구현에 영향을 미친다. 버그는 인스턴트 메시징을 위한 통신 프로토콜인 XMPP(Extensible Messaging a 상주하며, 파트너 'participant'가 'null'값을 수신하는 메시지를 보내려고 하면 'Null Pointer Exception'가 발생한다. WhatsApp 그룹의 사용자가 그룹에 메시지를 보낼 때마다 응용 프로그램은 매개 변수 참가자를 검사하여 보낸 사람을 식별하는데, 전문가는 이 매개 변수를 수정하기 위해 도구를 사용했으며, 발신자의 전화번호에서 참가자의 매개 변수를 숫자가 아닌 문자 (e.g. c@s.whatsapp.net.)로 바꾸어 버그를 유발할 수 있음을 발견했다. 버그는 SMS 앱을 다운시키고 WhatsApp을 다시 열어도 크래시 루프가 발생하고, 사용자는 그룹으로 돌아올 수 없으며 그룹에서 작성 및 공유된 모든 데이터가 사라진다. 공격은 발신자에게 영향을 미치지 않는다. WhatsApp은 버전 2.19.58을 릴리스하면서 이 문제를 해결했다.


4. [기사] Dacls RAT, the first Lazarus malware that targets Linux devices
[https://securityaffairs.co/wordpress/95270/apt/dacls-rat-lazarus-apt.html]
Qihoo 360 Netlab의 연구원들은 Lazarus APT 그룹이 Windows 및 Linux 장치를 모두 대상으로 사용하는 Dacls라는 새로운 RAT를 발견했다. Dacls는 Linux 시스템을 대상으로 하는 Lazarus 그룹에 연결된 최초의 악성코드이다. 전문가들은 다운로드 서버(thevagabondsatchel[.]com)가 과거 Lazarus APT 캠페인에 사용되었다는 점등을 통해 Dacls RAT와 Lazarus 그룹의 연결 증거를 찾았다. Windows 시스템에 대한 공격에서 Dacls RAT는 손상된 Windows 서버에 원격으로 플러그인을 동적으로 로드하는 반면 Linux 버전은 봇 프로그램에서 직접 플러그인을 컴파일한다. Linux.Dacls Bot에 의해 구현되는 주요 기능에는 명령 실행, 파일 관리, 프로세스 관리, 테스트 네트워크 액세스, C2 연결 에이전트 및 네트워크 스캔이 포함된다. 또한, Lazarus 그룹은  Dacls RAT 전차를 위해 Atlassian Confluence (CVE-2019-3396) 악용한 것으로 추측된다.


5. [기사] Chinese Rancor APT Refreshes Malware Kit for Espionage Attacks
[https://www.bleepingcomputer.com/news/security/chinese-rancor-apt-refreshes-malware-kit-for-espionage-attacks/]
중국과 연결된 해킹 그룹으로 추적된 Rancor은 2018년 12월부터 2019년 1월까지 캄보디아 정부 기관을 대상으로 하는 공격의 일환으로 DUDELL이라는 새로운 악성코드 변종을 배포했다. Palo Alto Networks Unit 42가 Rancor로 추적한 위협 그룹은 2017년 이후 캄보디아와 싱가포르를 포함하여 동남아시아를 대상으로 고도로 표적화된 사이버 스파이 캠페인을 운영한 것으로 알려져 있다. Unit 42는 2018년 12월 초와 2019년 1월 말 사이에 피해자 시스템에 Derusbi 또는 KHRat 악성 코드를 설치하기 위해 최소 두 차례의 공격이 시도되었으며, 이번에 발견된 DUDELL 샘플은 Rancor에 연결된 다른 악성 코드 샘플과 유사한 악성 행위의 특징을 가지고 있다. 이 악성 프로그램 다운로드기는 2단계 악성 코드 페이로드를 다운로드하여 실행한다는 최종 목표를 가지고 대상 컴퓨터에서 악성 매크로를 실행하도록 설계된 Microsoft Excel문서의 유인 형태로 제공되었다. DDKONG 악성 프로그램은 손상된 호스트의 프로세스 종료, 폴더 내용 나열, 파일 다운로드 및 업로드, 명령 실행, 스크린숏을 할 수 있으며, 공격자가 감염된 시스템에 원격으로 액세스할 수 있도록 리버스 쉘 역할을 할 수 있다. DUDELL은 리버스 쉘 기능과 함께 제공되는 KHRAT 페이로드와 기능을 강화하기 위해 추가 모듈을 로드하는 Derusbi 백도어 트로이 목마를 제공하는 과정 또한 관찰되었다.

첨부파일 첨부파일이 없습니다.
태그 WhatApp  Lazarus   Dacls RAT  Rancor   DUDELL