1. [기사] 이스라엘의 모바일 포렌식 회사 Cellebrite, 모든 iPhone 장치를 잠금 해제할 수 있는 기술 설계
[http://securityaffairs.co/wordpress/69599/hacking/cellebrite-technology-unlock-iphone.html]
2년 전에 FBI는 San Bernardino 테러리스트 소속 아이폰 5c 잠금 해제를 위해 제 3자 회사에 100만 달러를 지불한 사건이 있었습니다. 하지만 이스라엘 모바일 포렌식 회사인 Cellebrite가 최신 iPhone X를 포함하여 거의 모든 iPhone을 잠금 해제 할 수있는 방법을 알아 낸 이후로 연방 정부 기관이 iPhone 잠금 해제 문제로 Apple과 싸울 필요가 없어졌습니다. 미국 법 집행 기관의 주요 보안 업체인 Cellebrite는 iOS 11 및 이전 버전을 실행하는 거의 모든 Apple기기를 잠금 해제할 수 있는 새로운 해킹 도구가 있다고 주장합니다. 해킹하기 위해 사용하는 방법이나 기술은 언급이 되지 않아 알 수 없는 상태입니다. 이 해킹 도구는 수억 명의 Apple 사용자에게 영향을 줄 가능성이 있어 Apple은 정기적으로 소프트웨어 업데이트와 패치를 제공합니다. Cellebrite의 해킹 도구가 iOS 11의 최신 업데이트에서 작동하는지 여부는 알 수 없기 때문에 사용자는 기기를 최신 상태로 유지하는 것이 좋습니다.
2. [기사] SAML 취약점으로 인해 공격자가 다른 사용자로 로그인 할 수 있습니다
[https://www.bleepingcomputer.com/news/security/saml-vulnerability-lets-attackers-log-in-as-other-users/]
보안 연구원은 악의적인 공격자가 피해자의 암호를 알지 못해도 합법적인 사용자로 인증 할 수있는 새로운 SAML 취약점에 대해 자세히 설명하는 보안 권고를 발표하였습니다. 이 결함은 당사자간에 인증 및 권한 부여 데이터를 교환하는 데 자주 사용되는 XML기반 마크업 언어인 SAML(Security Assertion Markup Language)에 영향을 줍니다. SAML은 사용자가 하나의 단일 ID를 사용하여 계정에 로그인할 수 있게 하는 SSO(Single-Sign-On)솔루션에 사용됩니다. 따라서 SAML 응답 요청의 중간에 삽입 된 XML 주석을 처리하는 방법으로 인해 결함이 발생하게 되는 것입니다. 연구원에 따르면 공격자가 사용자 이름 필드에 주석을 삽입하여 사용자 이름을 손상시키는 경우 공격자가 합법적인 사용자의 계정에 액세스 할 수 있다고합니다. 공격을 피하기 위해서는 중요한 네트워크에서 사용자 계정을 수동으로 검사하여 공격자가 내부 네트워크에 계정을 등록하는 것을 방지해야 합니다. 또는 허용 된 전자 메일 주소 도메인 이름의 화이트리스트를 구성하여 누가 네트워크에 등록 할 수 있는지 확인함으로써 제한할 수 있습니다.
3. [기사] IoT 디바이스를 프록시 서버로 전환하는 데 초점을 맞춘 새로운 Mirai Variant
[https://www.bleepingcomputer.com/news/security/new-mirai-variant-focuses-on-turning-iot-devices-into-proxy-servers/]
보안 연구원은 새로운 미라이 악성코드 변종을 발견했습니다. 이 변종은 악의적인 트래픽을 릴레이하는데 사용되는 프록시 서버 네트워크로 바꿔버리는 목적으로 IoT 및 네트워크 장비를 감염시킵니다. 지난 주 포티넷이 발견하고 연구한 미라이(Mirai)변종은 일관성이 보장 된 최초의 미라이(Mirai) 변종이며, 프록시 기능은 DDoS 옵션과 동일한 중요도에 놓여있습니다. 포티넷은이 변종을 미라이 OMG (Mirai OMG)라고 명명합니다. 이 변종 은 맬웨어의 소스 코드 일부에서 발견되는 OOMGA 문자열을 기반으로 합니다. Mirai OMG는 고전적인 Mirai 확산 기술에 여전히 의존하기 때문에 모든 IoT 장비의 기본 암호를 변경하여 사용자는 범죄로 인해 장치를 사용하지 못하게되는 것으로부터 보호할 수 있습니다.
4. [기사] 위협적인 대규모 DDoS공격에 악용될 수도 있는 Memcache 서버
[https://www.bleepingcomputer.com/news/security/memcache-servers-can-be-abused-for-insanely-massive-ddos-attacks/]
공격자는 Memcache서버를 악용하여 막대한 양의 리소스를 사용해 대규모 DDoS 공격을 시작할 수 있다고 밝혀졌습니다. 이러한 유형의 DDoS 공격은 Memcache개발자가 자사 제품에 안전하지 않은 방법으로 UDP프로토콜을 구현함으로써 가능해졌습니다. 게다가 Memcache 서버는 기본 구성에서 UDP 포트를 외부 연결에 노출합니다. 보고서에 따르면, 공격자는 11211포트로 Memcached servers에 아주 작은 byte사이즈의 요청을 보냅니다. UDP프로토콜은 올바르게 구현되지 않았기 때문에 비슷하거나 더 작은 패킷으로 응답을 주는 대신 요청보다 수천배가 더 큰 패킷으로 응답을 합니다. 이에 패킷의 원본 IP주소는 스푸핑될 수 있고 공격자는 Memcached servers를 속여 큰 크기의 응답 패킷을 다른 IP주소(DDoS공격대상)로 전송할 수 있습니다. Memcache 증폭 계수는 51,200개로 엄청난 증폭 요소를 가질 수 있습니다. 이러한 유형의 DDoS공격은 반사형 DDoS로 불립니다. 보안 전문가는 Memcache servers 소유자가 UDP 포트를 사용하지 않도록 설정하고 UDP 포트를 사용하지 않을 경우에는 방화벽 뒤에있는 사설 네트워크에 서버를 배치 할 것을 권고 합니다.
5. [기사] Evrial, 클립보드를 사용하여 비트코인을 훔치는 최신 악성 코드
[http://securityaffairs.co/wordpress/69587/breaking-news/evrial-malware-steals-bitcoin.html]
Evrial은 ElevenPaths의 연구원에 의해 발견된 "쉬운 돈"을 얻기 위해 클립 보드를 제어하는 cryptocoin malware stealer입니다. 해당 악성코드는 브라우저, FTP 클라이언트, 피진 (Pidgin)에서 암호를 도용 할 수있는 .NET 악성 코드 샘플로 구성되었으며 복사 된 암호 해독 주소를 원하는 주소로 변경하기 위해 즉시 클립 보드를 수정할 수도 있습니다. Bitcoin 전송을 위해서는 보통 대상 주소를 복사하여 붙여 넣으면 됩니다. 즉, 공격자는 클립 보드 작업을 신뢰하는 사용자가 받는 사람의 주소가 공격자에게 속한 주소로 자동 변경된 것을 모른 채로 복사 된 암호화된 주소로 새 트랜잭션을 보낼 때까지 기다립니다. 멀웨어는 백그라운드에서 Bitcoin, Litecoin, Ethereum 및 Monero 주소뿐만 아니라 Steam 식별자와 Webmoney WMR 및 WMZ 단위를 비롯한 여러 유형의 주소에 대해 이 작업을 수행할 수 있습니다. 공격자는 모든 돈을 여러 주소로 옮겨 지불 내역을 불명확하게 하기 때문에 추적하기가 어렵습니다.
