정보보호 전문기업 두루안이 함께 합니다.
The Hacker News 발췌분
A New Fileless P2P Botnet Malware Targeting SSH Servers Worldwide (2020-08-19)
l 사이버보안 연구진은 2020년 1월부터 SSH 서버를 적극적으로 공략해 온 GoLang에서 작성된 정교한 다기능 P2P봇넷 "FritzFrog"을 공개했습니다. 현재까지 500개 이상의 서버를 침입해 미국과 유럽의 유명 대학과 철도 회사를 감염시켰다고 Guardicore Labs가 보고서에서 밝혔습니다.
l "FritzFrog"은 SSH 로그인에 대한 무차별적인 시도를 통해 표적 시스템에 침투한 것으로 발견된 또 다른 GoLang 기반의 리눅스 백도어인Rakos와 일부 유사성을 공유하지만, 파일리스(fileless) 봇넷으로 메모리 내 페이로드를 조립하고 실행하며, brute-force 공격 수행에 보다 적극적으로 임하는 동시에, 목표물을 고르게 분산시켜 효율적이라는 특징을 갖고 있습니다.
l멀웨어는ifconfig와 NGINX로 실행되며, 명령 응답을 암호화 및 인코딩하는 것 외에도, libexec이라는 별도의 프로세스를 실행하여 모네로 코인을 채굴하고 SSH의 authorized_keys 파일에 공개 키를 추가하여 향후 피해자에 대한 접근을 위해 백도어를 남겨 다시 암호에 의존하지 않고도 로그인 할 수 있습니다.
lGuardicore는 IoCs 공유와 함께 서버가 "FritzFrog"에 감염됐는지 확인하는 탐지 스크립트를 공개했습니다. 강력한 패스워드를 선택하고 훨씬 안전한 공개키 인증을 사용하십시오. SSH 포트를 변경하거나 서비스를 사용하지 않는 경우SSH 액세스를 완전히 비활성화하는 것을 고려하십시오.
l 뉴스보기
Researchers Exploited A Bug in Emotet to Stop the Spread of Malware (2020-08-17)
l 여러 봇넷 주도의 스팸 캠페인과 랜섬웨어 공격의 배후로 악명 높은 이메일 기반의 악성코드인 "Emotet"의 결함을 역이용하여 사이버보안 연구원들이 킬스위치를 활성화하고 악성코드가 6개월 동안 시스템에 감염되는 것을 막았습니다.
l "Emotet"의 공격 방법은 system32 디렉터리에서 임의로 선택한 exe 또는 dll 시스템 파일 이름을 사용하여 각 공격 대상 시스템의 멀웨어를 저장하기 위한 파일 이름을 생성하는 것입니다. 즉, XOR 키로 파일 이름을 암호화했고, 이 키는 희생자의 볼륨 일련 번호로 설정된 윈도우 레지스트리 값에 저장되어왔습니다.
lBinary Defense가 개발한 kill-switch의 첫 번째 버전은 "Emotet"이 위와 같은 변경사항을 공개한 지 약 37시간 만에 작동했으며, 각각의 피해자에 대해 레지스트리 키 값을 생성하고 각 값에 대한 데이터를 null로 설정하는 PowerShell 스크립트를 채택했습니다. 이렇게 하면 악성코드가 레지스트리에서 파일 이름을 확인할 때 빈 exe 파일인".exe"를 로드하게 되어 대상 시스템에서 악성코드가 실행되지 않게 됩니다.
l또한"EmoCrash"라고 불리는 kill-switch의 즉석 버전에서 악성코드의 설치 루틴에서 발견된 버퍼 오버플로 취약성을 역이용하여 설치 과정 중에 "Emotet"을 충돌시킴으로써 사용자들이 감염되는 것을 효과적으로 막을 수 있었습니다. 이 스크립트는 레지스트리 값을 재설정하는 대신 사용자의 볼륨 일련 번호에 대한 설치 레지스트리 값을 생성하기 위한 시스템 아키텍처를 식별하여832byte의 버퍼 저장에 사용하는 방식입니다.
l 뉴스보기
KISA보안공지
Cisco 제품 취약점 보안 업데이트 권고 (2020-08-20)
기타 동향
알렉사 취약점의 패치가 발표되긴 했지만 IoT의 근본 문제는 여전 (2020-08-20)
l 지난 주 발견된 알렉사 취약점, 이번 주 패치 나옴.
l IoT 제조사들에게 완전무결한 제품을 바랄 수는 없지만, 즉각적인 패치는 바랄 수 있음.
l IoT 생태계, 제조사와 소비자 모두의 무관심 속에 점점 더 위험해지고 있음.
l 뉴스보기
현대 방어 체계의 본질을 꿰뚫어 버리는 HTML 스머글링 공격법 (2020-08-19)
l HTML 스머글링을 통한 새로운 공격 기법, 많은 조직 괴롭히는 중.
l HTML 스머글링은 현존하는 방어 체계를, 취약점 익스플로잇 없이 피해갈 수 있게 해줌.
l ‘탐지가 되어야만 움직이는’ 현재 방어 체계의 약점을 꿰뚫는 공격.
l 뉴스보기
오픈소스의 대명사와 같은 플랫폼 깃허브, 안전하게 사용하려면? (2020-08-19)
l 깃허브, 오픈소스가 대세가 된 현 시점에서 가장 중요한 플랫폼.
l 그러나 깃허브 플랫폼이 보안 플랫폼이 아니라는 것을 자주 잊는 듯.
l 깃허브에도 안전한 사용 규칙 있으니, 이를 준수하는 게 중요.
l 뉴스보기