정보보호 전문기업 두루안이 함께 합니다.
The Hackers News 발췌분
New USBCulprit Espionage Tool Steals Data From Air-Gapped Computers (2020-06-04)
l 새로 발표된 카스퍼스키의 연구에 따르면, 'Cycldek', 'Goblin Panda', 'Conimes'로 알려진 APT는 민감한 데이터 유출하기 위한 스파이 활동을 위해 “네트워크 연결 불가(Air-gapped) 시스템”을 타깃으로 하는 새로운 능력을 개발했는데, 새로 공개된 도구 중 한 개의 이름은'USBCulprit'이고 USB 미디어를 이용하는 방식입니다.
l 이들은 베트남, 태국, 라오스의 정부 기관에 대한 공격에 이 방식을 사용 하였습니다. 두 개의 활동 클러스터에서 두 가지 다른 변종 (BlueCore 와 RedCore)을 밝혀냈는데, 코드와 인프라 모두에서 유사하지만 RDP를 통해 시스템에 연결된 사용자에 대한 세부 정보를 캡처하는 키로거와 RDP 로거라는RedCore만의 특징을 포함하고 있습니다.
l이 취약점은 특정 확장자 (*.pdf;*.doc;*.wps;*docx;*ppt;*.xls;*.xls;*.pptx;*.rtf)로 문서를 수집하여 연결된 USB 드라이브로 내보낼 수 있습니다. 또한, 악성코드는 감염된 USB 드라이브를 다른 시스템에서 인식할 때 마다 “네트워크 연결 불가(Air-gapped) 시스템”이 있는 다른 시스템으로 이동할 수 있도록 선택적으로 스스로를 이동식 드라이브에 복사하도록 프로그램 되어 있습니다.
l 뉴스보기
Critical 'Sign in with Apple' Bug Could Have Let Attackers Hijack Anyone's Account (2020-05-30)
l 애플은 최근 인도의 취약성 연구자인 Bhavuk Jain에게 자사의 'Sign in with Apple' 시스템에 영향을 미치는 매우 중요한 취약점을 보고한 것에 대해 10만 달러의 버그 현상금을 지급했습니다.
l 지난해 애플의 WWDC 컨퍼런스에서 출시된 'Sign in with Apple' 기능은 사용자가 실제 이메일 주소(애플 ID로도 사용됨)를 공개하지 않고도 타사 앱으로 계정을 등록할 수 있는 프라이버시 보존 로그인 메커니즘으로, 'Apple로 로그인'을 통해 사용자를 인증하는 동안, 서버는 타사 애플리케이션이 로그인 사용자의 신원을 확인하는 데 사용하는 비밀 정보가 포함된 JSON 웹 토큰(JWT)을 생성해왔습니다.
lBhavuk은 애플이 요청을 시작하기 전에 사용자들에게 애플 계정에 로그인할 것을 요청했지만, 같은 사람이 인증 서버에서 다음 단계에서 JSON Web Token(JWT)을 요청하는지 검증하지 않았다는 것을 발견했습니다. 따라서, 메커니즘 중에 존재하는 검증 누락은 공격자가 피해자에게 속하는 별도의 Apple ID를 제공할 수 있게 하여, 공격자가 피해자의 ID로 제3자 서비스에 로그인하는 것이 유효한 JWT 페이로드(Payload)를 생성하도록 애플 서버를 속일 수 있었습니다.
l현재 이 취약점은 패치 된 상태이고 애플은 서버 로그에 대한 조사를 실시했으며, 이 취약점은 어떠한 계정도 악용되지 않는다는 사실을 확인했습니다.
l 뉴스보기
New Noise-Resilient Attack On Intel and AMD CPUs Makes Flush-based Attacks Effective (2020-05-30)
l Modern Intel과 AMD 프로세서는 시스템 노이즈에 복원력을 갖는 플러시 기반 캐시 공격을 만드는 새로운 형태의 사이드 채널 공격에 취약점이 발견되었는데, 인도공대(IIT)의 Biswabandan Panda과 Anish Saxena 두 명이 발표한 논문 'Dabangg: 두려움 없는 플러시 기반 캐시 공격의 시간'에서 발표된 것입니다.
l "Dabangg" 취약점은 Intel CPU에서 데이터를 유출하기 위해 악용한 Flash+Reload 및 Flash+Flush 공격을 기반으로 하지만 조금 더 변형되어 멀티코어 시스템에서도 공격의 정확성을 향상시키는 것을 목표로 하고 있습니다. 또한 MacOS와 같은 비 리눅스 운영 체제에도 원활하게 작동합니다.
l 위 취약점 역시 flush-based attack이므로 clflush 명령과 캐시 미스를 모니터링하고, 공격을 방지하기 위한 하드웨어 변경 등을 사용하여 막을 수 있으며, 연구진은 2020년 6월 15일 이후 Github에 개념 증명 소스코드를 공개할 예정입니다.
l 뉴스보기
KISA보안공지
Apple 제품군 보안 업데이트 권고 (2020-06-03)
스미싱 형태의 가짜 본인인증페이지 주의 권고 (2020-05-29)
기타 동향
삼성 키보드처럼 유지 보수 중단된 앱들, 보안 위협 된다 (2020-06-01)
l 개발자들이 더 이상 관리하지 않는 앱, 큰 보안 구멍 될 가능성 높음.
l 하지만 이런 앱들을 사용자들은 여전히 설치하고 있음. OS 차원에서 알려줘야 함.
l 사용자들은 사용하지 않는 앱 주기적으로 찾아 지우고, 업데이트 해야 함.
l 뉴스보기
깃허브에서 발견된 멀웨어, 개발자들의 공급망을 감염시켜 (2020-05-29)
l 깃허브에서 발견된 옥토퍼스 스캐너 멀웨어, 한 프로젝트를 집요하게 노리고 있었음.
l 개발자의 리포지터리에 저장된 프로젝트 요소들을 감염시킴으로서, 백도어를 광범위하게 퍼트릴 수 있게 됨.
l 개발자, 보안 전문가, 사용자 모두가 오픈소스 커뮤니티에 참여해 취약점 정보와 첩보를 활발히 공유해야 함.
l 뉴스보기
외출 금지 기간 동안 DNS 트래픽이 수상하게 늘었다 (2020-05-28)
l 코로나 때문에 외출이 금지된 기간 동안 DNS 트래픽이 크게 증가함.
l 집 안에 갇힌 사람들이 인터넷을 갑자기 많이 사용해서? 증가 패턴은 디도스와도 비슷.
l 정확한 이유 알려면 광범위한 트래픽 가시성 확보와 분석이 필요함.
l 뉴스보기