Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 6월 12일] 주요 보안 이슈
작성일 2019-06-12 조회 97

1. [기사] 다크웹의 진화, 현재는 ‘표적 공격’에 집중된 모습 보여줘
[https://www.boannews.com/media/view.asp?idx=80299]
써리대학교(University of Surrey)의 마이크 맥과이어(Mike McGuire) 박사는 최근 한 조사를 통해 “10개의 다크웹 매장 중 네 군데에서 500대 기업을 겨냥한 ‘표적 공격 도구’를 제공하고 있다”는 사실을 알아냈다. 맥과이어는 자신의 다크웹 탐험 경험을 주제로 Into the Web of Profit: Behind the Dark Net Black Mirror Threats Against the Enterprise를 발표했다. 이 발표를 통해 다크웹에서 표적 공격이 보다 광범위하게 퍼지는 이유가 서비스형 악성코드가 퍼지고 있기 때문이라고 밝혔다. 또한, 진입장벽도 낮아졌는데 다크웹에서 비교적 간단한 툴은 150달러 정도면 살 수 있고, 특정 ATM 기기를 위한 전용 툴의 경우 1500달러를 들여야 구매가 가능하다. 보고서에 따르면 악성코드 시장이 크기 시작한 것은 데브옵스 방식으로 프로그램을 개발하고 유통하기 때문에 커스터마이징이 쉽다고 언급됐다. 


2. [기사] 오라클 웹 로직의 취약점 통해 암호화폐 채굴 코드 퍼져
[https://www.boannews.com/media/view.asp?idx=80298&page=1&mkind=&kind=1&skind=D&search=title&find=]
최근 패치된 오라클 웹 로직(Oracle WebLogic)에서의 취약점이 암호화폐 채굴을 하려는 사이버 범죄자들 사이에서 인기가 높아지고 있다고 보안 업체 트렌드 마이크로(Trend Micro)가 발표했다. 문제의 취약점은 CVE-2019-2725로, ‘치명적’이라는 등급을 받았다. 지난 4월 패치가 됐으나, PoC가 공개되며 사이버 범죄자들 사이에서 많이 사용되고 있다. 만약 공격 성공 시, 인증되지 않은 상태로 원격에서 코드를 실행하게 된다. CVE-2019-2725를 익스플로잇한 악성 코드가 실행되면 파워셸을 통해 인증서가 다운되며, CertUtil이라는 도구로 인증서 내 악성코드가 디코딩된다. 디코딩이 완료된 명령어가 실행되면 또 다른 파워셸 스크립트가 다운로드되고 메모리 내에서 실행된다. 이 스크립트 역시 다시 한번 6개 종류의 파일들을 다운로드받고 실행시킨다. 연구원에 따르면 악성코드에 사용되는 난독 화 기술이 아직 미완성이며, 공격자들이 실험하고 있는 것 같다고 한다.

 

3. [기사] FBI Warns that Hackers use Secure HTTPS Websites to Trick Users and to Steal Sensitive Logins
[https://gbhackers.com/fbi-secure-https-websites/]
FBI는 위협 행위자들이 보안 HTTPS 웹사이트를 사용하여 사용자를 속이고 민감한 로그인 자격 증명, 은행 정보 및 기타 개인 정보를 입수한다고 경고했다. 2018년 3분기 PhishLabs 경고 보고서에 따르면, 모든 피싱 사이트의 약 49%가 SSL/TLS 인증서를 사용한다. 2017년 25%, 2018년 2분기 35%에 비해 증가한 수치이다. SSL은 인증서는 EV(Extended Validaton), OV(Organiztion Validated), DV(Domain validation)으로 불리는 3가지 유형이 있다. 위협 행위자들은 악의적으로 조작된 페이 로드 배포에 평판이 좋은 회사의 인증서를 사용한다고 한다. 따라서 인증서 투명성은 이러한 인증서 기반 위협을 해결하는 것을 목표로 하고 있다. FBI는 인증서 투명성을 확보하고 안전하게 사용하기 위해 온라인 페이지 스캐너를 확인하라고 권고했다. 또한 악의적인 웹 사이트를 여는 것을 주의하라고 덧붙였다.

 

4. [기사] Major Vulnerabilities in HSMs Discovered
[https://hackercombat.com/major-vulnerabilities-in-hsms-discovered/]
컴퓨터 메모리에 저장된 데이터의 기밀성에 영향을 주는 새로운 취약점이 존재한다. 이를 사용하면 OpenSSH 서버에서 서명 키를 추출할 수 있다. RAMBleed라고 불리는이 공격은 Rowhammer 취약점을 기반으로 하며 RAM (Random Access Memory) 모듈의 기밀성을 위반할 수 있다. Rowhammer는RAM에로드 된 정보 격리를 테스트한 실험적 연구로 시작됐으며, 메모리 비트의 전하를 바꿀 수 있는 전기적 간섭을 사용한다. 하지만 RAMBleed는 동일한 원칙을 사용하지만 Rowhammer와 달리 함수를 수정하는 대신 정보를 읽는다. 따라서 데이터를 도용하기가 더 적합하다. 연구원 실험 결과 OpenSSH 7.9를 실행하는 서버에서 RSA-2048 알고리즘의 키를 읽을 수 있었다.'라고 한다. 성공률은 초당 0.3bit의 속도이며 82%의 정확도를 지닌다. 이를 방어하는 방법은 메모리 암호화가 활성화된 시스템이면 가능하며 Intel의 SGX (Software Guard Extensions), ARM의 TrustZone 또는 AMD의 SEV (Secure Encrypted Virtualization)와 같은 TEE 기능을 사용해야 한다고 한다. 


5. [기사] TalkTalk hacker Locked Up For Four Years
[https://hackercombat.com/talktalk-hacker-locked-up-for-four-years/]
다니엘 켈리는 TalkTalk 데이터를 해킹한 혐의로 구금될 것이라는 경고를 받았고, 4년간 수감됐다. 그 후 지난 5월 11건의 해킹 관련 범죄에 대해 유죄를 인정한 후 Old Bailey 앞에 모습을 드러냈다. 다니엘 켈리는 재판에서 대학 컴퓨터 강좌에서 쫓겨난 후 보복을 생각했다고 진술했다. 지난 2015년 10월 사이버 범죄자 모임에 가임하여 고의적인 해킹, 6건의 협박 등의 불법행위를 했다. 법원은 켈리가 비트코인 임원 5명을 상대로 TalkTalk을 해킹하고 협박했다고 밝혔다. 그의 활동으로 인해, TalkTalk은 수천만 파운드를 손실을 보았고, 반면 중소기업들은 피해를 완화하기 위해 수천 파운드를 소비해야 했다. 또한, 아스퍼거 증후군과 우울증을 앓고 있는 피고는 11만5천 파운드 이상을 요구했다고 한다. 검사는 피고인이 보낸 이메일의 내용에서 그가 협박하려고 했던 사람들에게 휘두른 힘으로부터 즐거움과 흥분을 이끌어낸 것은 명백하다고 언급했다. 

첨부파일 첨부파일이 없습니다.
태그 다크웹  CVE-2019-2725  SSL 인증서  HSMs  TalkTalk