Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 8월 4일] 주요 보안 이슈
작성일 2020-08-04 조회 187

1. [기사] 노드JS를 공략하는 새로운 기법, ‘숨겨진 특성 남용’
[https://www.boannews.com/media/view.asp?idx=90242&page=1&mkind=1&kind=1]
조지아공과대학의 보안 전문가들이 노드JS(Node.js) 기반 애플리케이션들을 공략하는 방법을 개발했다. 이 공격 기법은 ‘숨겨진 특성 남용(Hidden Property Abusing)’이라는 이름이 붙었다. 원격의 공격자들이 새로운 값을 노드JS 프로그램들에 주입하고, 이를 내부 데이터인 것처럼 위장시키는 것이 핵심이라고 한다. 입력된 데이터가 객체로 전환된 후 노드JS는 이 객체들을 다른 정상 객체들인 것처럼 취급하는데, 이게 바로 '숨겨진 특성 남용' 공격이 가능한 이유이다. 또 다른 이유는 노드JS 애플리케이션의 서버와 클라이언트 간 통신이 자바스크립트 객체들의 형태로 이뤄진다는 것이다. 따라서 공격자가 추가 특성이 붙은 객체들을 전송하게 된다면 애플리케이션에 대한 공격이 가능하게 된다. 노드JS는 디펜던시에 대한 의존도가 높다. 즉, 한 개의 패키지가 취약하기만 해도 수많은 노드JS 요소들이 취약해질 수 있어 위험하다.


2. [기사] 시큐어 부팅 사용하는 시스템의 부트홀 취약점, 패치가 더 문제
[https://www.boannews.com/media/view.asp?idx=90241&page=1&mkind=1&kind=1]
리눅스와 윈도우 시스템에서 발견된 부트홀(BootHole) 취약점에 대한 패치가 부팅되지 않는 문제를 일으키고 있다. 부트홀 취약점은 CVE-2020-10713으로, 성공적으로 익스플로잇 되면 공격자가 관리자 권한으로 악성 코드를 실행할 수 있게 된다. 부트홀 취약점 패치는 취약한 버전을 안전한 버전으로 대체하고, 시큐어 부트 폐지 목록을 최신화해서 예전의 취약한 버전이 실행되지 않도록 해야 한다. 이 목록을 최신화한다는 건, 여러 S/W 개발사 및 H/W 제조사들과 공동으로 진행해야 하므로 상당히 까다로운 일이 된다. 현재 부팅이 되지 않는 리눅스 배포판 개발사들은 문제를 인지하고 새로운 패키지들을 마련하고 있다. 또한, 시스템 복구 방법에 대한 방법을 급하게 안내하고 있기도 하다.


3. [기사] 국방과 우주항공 산업 노리던 ‘이력서’ 공격, 북한일 가능성 높아
[https://www.boannews.com/media/view.asp?idx=90259&page=1&mkind=1&kind=]
얼마 전부터 평범한 이력서처럼 보이지만, 사실은 고급 정보 수집을 위한 악성 템플릿이 삽입된 문서가 항공 산업과 국방 산업 내에 돌아다니기 시작했다. 보안 업체 맥아피(McAfee)가 발견한 이 캠페인은 노스스타 작전(Operation North Star)이라는 이름이 붙었다. 맥아피는 자사 블로그를 통해 이 작전이 2017년과 2019년 맥아피가 발견한 또 다른 공격 캠페인들과 여러 가지 면에서 흡사하다고 밝혔다. 그러면서 북한의 히든 코브라(Hidden Cobra)가 의심된다고 지목했다. 히든 코브라는 북한의 해킹 공격을 광범위하게 아우르는 용어로, 라자루스, 킴수키, APT37 등의 악성 사이버 행위들을 전부 포함한다. 노스스타 작전은 3월 31일부터 시작된 것으로 보이며 최근까지도 이어져 왔다고 한다. 특히 국방과 항공 산업에서 고급 기술을 가진 인력들이 표적이 된 사례가 많았다고 한다. 로켓, 미사일과 관련된 북한 정부의 투자가 이런 부분에서도 이뤄지고 있는 것을 볼 수 있다.


4. [기사] GandCrab 랜섬웨어 유통업체를 체포한 벨라루시 당국
[https://securityaffairs.co/wordpress/106701/malware/gandcrab-distrubutor-arrested.html]
지난주, 벨라루스의 내무장관은 악명 높은 GandCrab 랜섬웨어를 배포한 혐의로 한 남자를 체포했다고 발표했다. 이번 체포는 영국과 루마니아의 사법당국의 도움을 받아 이뤄진 수사 결과다. 그는 갠드크랩 랜섬웨어 서비스(IaaS)에 가입해 자신의 악성코드를 만들어 스팸 캠페인을 벌이고 있는 것으로 알려졌다. 그는 약 1,200달러 상당의 비트코인 지불을 요구했으며, 얼마나 많은 피해자가 지불했는지는 알려지지 않았다고 한다. 관계자들은 인도, 미국, 우크라이나, 영국, 독일, 프랑스, 이탈리아, 러시아에서 100개 이상의 국가에서 컴퓨터를 감염시킨 것으로 보고 있다. 또한, 그가 암호 해독기 유통에도 관여했으며, 같은 해킹 포럼에 다른 사용자들을 위한 악성코드를 작성했다고 덧붙였다.


5. [기사] 유죄를 인정한 FastPOS PoS 악성 코드 작성자
[https://securityaffairs.co/wordpress/106625/breaking-news/fastpos-pos-malware-2.html]
Onassis로 알려진 Chiochiu(30)가 악명 높은 악성 프로그램 FastPOS PoS를 만든 죄를 인정했다. Chiochiu는 신용카드와 개인 신상정보를 도용하고 판매하는 사이버 범죄 조직 Infraud의 일원이었다. Infraud의 주요 웹사이트는 2010년 설립된 범죄 포럼으로 infraud.cc과 infraud.ws에서 처음 운영되었다. Chiochiu는 포럼에서 FastPOS 맬웨어를 판매했다. 이 악성코드는 수집된 데이터를 신속하게 빼내는 특징을 갖고 있으며, memory scraper 구성요소와 키 로거를 포함하는 모듈식 구조로 되어 있다. 감염된 시스템에 카드 데이터가 캡처되면 로컬로 저장되지 않고, 일반 텍스트로 직접 C&C 서버로 전송된다. Chiochiu는 12월 11일에 형을 받을 예정이라 한다.

첨부파일 첨부파일이 없습니다.
태그 Node.js  CVE-2020-10713  Hidden Cobra  FastPOS