Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 9월 21일] 주요 보안 이슈
작성일 2017-09-21 조회 2582

1. [기사] 북한 추정 해커조직, 포털사이트 다음 취약점 노려 사이버공격
[http://www.boannews.com/media/view.asp?idx=57093&page=1&kind=1]

북한 추정 해커조직이 포털사이트 다음을 이용한 취약점 공격을 감행한 것으로 드러났다. 뿐만 아니라 입사지원서를 사칭해 가상화폐 거래소를 노린 공격도 지속적으로 발견되고 있다. 지난 19일 북한 추정 해커조직에서 국내 대형 포털사이트인 다음 이메일의 img 태그 XSS 취약점을 이용한 공격이 포착됐다. 해당 취약점을 이용해 해커는 메일 로그인 세션 쿠키정보를 탈취하고, 피싱 사이트로 리다이렉션하고 있다. 이번에 발견된 북한 추정 공격은 피싱 화면만 봐서는 일반 피싱 공격과 크게 다르지 않다. 하지만 추적을 피하기 위한 방법과 코딩 등이 이전과는 다른 패턴을 보이고 있는 것으로 분석됐다. 또한 이들의 목적에 따라 다양한 추가 공격이 가능해 지속적인 모니터링이 요구된다. 특히, 이번 사건의 경우 해커가 메일 로그인 세션 쿠키정보를 탈취한다는 점에서 주목되고 있다. 해커가 메일 로그인 세션 쿠키정보를 탈취할 경우 사용자의 메일을 볼 수 있다. 이는 특정인을 타깃으로 정찰과 감시를 통한 정보탈취 목적일 가능성이 높다는 얘기다. 이번 사건이 드러남에 따라 그동안 포털사이트 다음의 허술한 취약점 관리도 도마 위에 올랐다. 다음의 XSS 취약점은 본지에서도 여러 차례 지적한 바 있으며, 사전에 충분히 예방할 수 있다는 점에서 문제로 지적되고 있다. 이와 관련 익명의 보안전문가는 “XSS 취약점은 사전에 충분히 차단할 수 있는 취약점이기 때문에 코딩하는 사람이 페이지에서 자바스크립트 실행 가능 여부를 좀더 꼼꼼히 체크하고, XSS 취약점이 필터링될 수 있도록 해야 한다”고 말했다. 


2. [기사] IR CCTV 카메라를 사용하여 공중에서 컴퓨터 데이터 도용 할 수 있어
[http://thehackernews.com/2017/09/airgap-network-malware-hacking.html]
[http://www.securityweek.com/infrared-cameras-allow-hackers-jump-air-gaps?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://www.bleepingcomputer.com/news/security/attackers-can-use-hvac-systems-to-control-malware-on-air-gapped-networks/]
[https://arstechnica.com/information-technology/2017/09/attackers-can-use-surveillance-cameras-to-grab-data-from-air-gapped-networks/]

이스라엘 연구팀은 해커들이 에어 갭 네트워크와 데이터를 송수신하기 위해 적외선(IR) 기능을 갖춘 보안 카메라를 악용할 수 있는 악성 코드를 개발했다. 이 연구는 Negev의 Ben-Gurion 대학과 이스라엘의 Shamoon Engineering 대학에서 수행했다. 그 목표는 에어 갭 네트워크에 설치된 맬웨어가 암호, PIN 및 암호화 키와 같은 중요한 데이터를 추출할 뿐만 아니라 외부 세계에서 적외선을 통해 명령을 받는다는 것이었다. 보안 카메라에는 일반적으로 야간 시력 기능을 제공하는 적외선 LED가 장착되어 있다. 침입자가 이러한 카메라에 연결된 네트워크에 악성 코드를 설치할 경우 악성 코드는 IR LED를 제어하고 데이터 LED를 사용하여 데이터 비트를 전송할 수 있다. 데이터 전송 속도는 보안 카메라 및 데이터 캡처에 사용된 카메라에 따라 다르다. 연구진이 수행한 실험에 따르면 수십 미터의 거리에서 20 Bit/sec의 속도로 데이터를 추출할 수 있다.


3. [기사] NIST, “비밀번호 자주 바꾸면 해킹에 더 취약하다”
[http://www.boannews.com/media/view.asp?idx=56986&skind=O]

NIST는 사용자가 스스로 요청할 때나 침해의 증거가 있을 때만 새로운 비밀번호를 만들어야 한다고 권고했다. NIST는 주기적으로 비밀번호를 변경하는 것이 침해를 막지 못한다고 판단했다. 그러나 이와 함께 NIST는 비밀번호가 최소 8개의 문자로 구성돼야 한다고 설명했다. 이상적으로 말하자면, 설정하려는 비밀번호가 이전에 침해된 적 있는 비밀번호인지 확인하는 것이 좋다. 즉, 해커의 단어 사전에 이미 포함된 비밀번호인지, 반복적이거나 연속적으로 조합된 문자인지(‘aaaaaa’ 혹은 ‘1234abcd’ 같은 조합), 이용하려는 서비스명이나 사용자명 등 해당 웹사이트에서 파생되는 맥락적인 단어는 아닌지 확인해야 한다. 해커는 일명 ‘사전 공격(dictionary attacks)’을 펼치는 경우가 많다. 지금까지 침해된 비밀번호 목록을 쭉 훑어보면서 어떤 게 먹히는지 확인하는 것이다. 그러므로 변경하려는 비밀번호가 이런 목록에 포함되는지 확인하는 것 역시 추가적으로 권고된다. 만약 비밀번호가 예전에 침해된 적 있다면(‘12345’라든지 ‘StarWars’ 같은 것 말이다) 해커 역시 자신의 사전에 그 단어를 갖고 있다고 봐도 무방하다.


4. [기사] Viacom, 안전하제 않은 아마존 서버에서 민감한 데이터 및 비밀 접근 키 정보를 남겨
[http://thehackernews.com/2017/09/viacom-amazon-server.html]
[http://www.securityweek.com/aws-bucket-leaks-viacom-critical-data?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]

Upiac의 보안 연구원은 Viacom의 내부 액세스 자격 증명과 기타 중요한 데이터가 포함 된 Amazon Web Services S3 클라우드 스토리지 버킷에 공개적으로 액세스 할 수 있다고 밝혔다. Cyber ​​Risk Research의 한 연구원이 위험에 노출된 Amazon Web Services (AWS) 버킷을 발견했다. 그는 기술 데이터의 불규칙한 백업을 나타내는 72 개의 .tgz 파일을 발견했으며, 파일은 민감한 데이터를 포함하고 있다. 노출된 데이터를 살펴본 후 보안 연구원은 퍼핏을 실행하는 서버와 공용 인터넷에 액세스 할 수 있는 권한이 있다고 밝혔다. 즉, Viacom의 비밀 클라우드 키가 노출되어 해커가 미디어 회사의 클라우드 기반 서버에 접근할 수 있다. 따라서 공격자는 세계 최대의 방송 및 미디어 회사의 IT 인프라를 활용하면서 다양한 공격을 시작할 수 있었다.


5. [기사] 미국, 카스퍼스키 제품 사용 금지 결정
[http://securitydaily.org/us-senate-voted-ban-use-kaspersky-products-federal-government/]

미국 정부에서 더이상 카스퍼스키랩 제품의 사용을 금지하기로 결정했다. 미국의 이런 결정은 국가 안보를 위협하는 러시아의 공격에 대비한 것으로 보인다. 카스퍼스키는 전세계에 4억 명의 사용자를 보유한 네트워크 보안 회사이다. 지난 주 트럼프 정부는 민간 정부 기관에 네트워크 정리를 요구하는 결정을 내렸고 이제 카스퍼스키 제품을 사용할 수 없다.


6. [기사] optionbleed 취약점으로 아파치 서버 데이터 유출
[http://securityaffairs.co/wordpress/63218/hacking/optionsbleed-vulnerability.html]
[https://www.bleepingcomputer.com/news/security/optionsbleed-bug-leaks-apache-server-memory/]

아파치 웹 서버가 HTTP OPTIONS 요청에 응답하여 민감한 데이터를 유출시킬 수있는 취약점이 Apache HTTP Server에서 발생했다. 프리랜서 기자이자 보안 연구원인 Hanno Böck은 'Optionbleed'이라는 취약점을 발견했다. Apache HTTP Server(httpd)의 특정 시스템이 HTTP OPTIONS 요청에 응답하여 잠재적으로 중요한 데이터를 누출시킬 수 있다. 그는 HTTP 메소드를 분석하면서 OPTIONS 메소드를 사용하여 요청이 지원되는 HTTP 목록 대신 "Allow"헤더를 통해 손상된 데이터를 반환하고 있음을 발견했다. 하트 블록과 같은 메모리 내용이 유출될 수 있다는 점을 고려하면 익스플로잇 대상 시스템을 구성할 때에는 보안에 유의해야 한다. 연구원이 Alexa Top 1 Million 웹 사이트에서 Optionbleed 결함을 테스트 한 결과 손상된 헤더만 공격을 허용했다. Apache 개발자 Jacob Champion의 지원으로 Böck은 Optionsbleed 취약점이 특정 구성에만 영향을 미친다는 것을 확인했다. 또한 연구원은 "Apache는 특정 HTTP 메소드에 대한 액세스를 특정 사용자에게만 허용하는 구성 지시문 제한을 지원한다. 또한 서버에 등록되지 않은 HTTP 메소드의 .htaccess 파일에 Limit 지시문을 설정하면 손상 및 오류가 발생한다." 고 밝혔다. 만약 고의적으로 .htaccess 파일을 만들면 이 시스템이 동일한 시스템의 다른 호스트에서 비밀 데이터를 추출할 수 있다고 덧붙였다. 

첨부파일 첨부파일이 없습니다.
태그 IR CCTV  optionbleed