최근 보안업체 Cybellum에서  DoubleAgent 공격에 관한 보고서가 나와 논란입니다. MS사에서 제작한 "Application Verifier" 유틸리티를 악용할 경우 사실상 거의 모든 프로세서를 후킹할 수 있으며, 임의 코드를 실행할 수 있다는 것입니다. 특히나, 시중에 나온 백신들도 이 공격에 취약하기 때문에 심각하다는 의견입니다. 


Application Verifier는 프로그램의 동작을 감시하여 메모리 누수나 잘못된 포인터 지정 등 런타임 결함을 찾아내는 프로그램으로서 기능 특성상 프로세서에 DLL 인젝션(DLL Injection)을 수행합니다. 여기에 백신 프로그램도 예외가 없는 것이죠. 

만약 악의적인 DLL을 인젝션한다면 임의 코드를 통해 백신이 말웨어와 같이 행동하게 할 수도 있습니다. 


다만, 애초에 Application Verifier 를 실행하기 위해 최고 관리자 권한이 필요하기 때문에 이번 취약점은 우려할 수준은 아니라고 합니다. 

왜냐하면 최고 관리자 권한을 획득했다면 사실상 시스템을 장악한 것인데, 많은 부분에서 이미 권한이 있는 상황에서는 위 방법처럼 어렵게 수행하지 않고도 악성행위가 가능하니 큰 의미를 둘 필요는 없다는 것이 백신업체들의 주장입니다. 


즉, 이번 취약점이 윈도우의 관리자 권한까지 탈취할 수 있었다면 충분히 위협이 될 수 있겠지만, 권한 탈취와 별개이기 때문에 파급력은 적다는 것입니다.


저도 위험성을 과장한 경향이 있다고 생각합니다. 사실 권한 탈취가 어려운 것이지. 이미 탈취 한 이후에는 쉽게 조작이 가능합니다. 


어쨌든 백신 업체에서는 이미 패치가 진행중이며, 일부 소수 업체들만 아직 Fix 를 개발 중이라고 합니다. 

기술 참고문서 : http://blog.alyac.co.kr/1030



[보안뉴스] 백신 제품을 멀웨어로 둔갑시키는 더블에이전트 공격 - http://mcaf.ee/uciqn3

페이스북 버그바운티 제도에 참가하기 위한 모의해킹 과정에서 누군가가 설치해 놓은 백도어를 발견했다는 기사입니다.

오렌지 차이(Orange Tsai)라는 닉네임을 사용하는 중국의 보안전문가는 최근 페이스북의 모의침투를 시도했다고 합니다.

성공적으로 취약점을 도출해 냈고 1만 달러의 상금을 받았으나, 자료를 조사하는 과정에서 심각한 백도어가 발견되어 서둘러 페이스북에 제보하였다고 하는데, 이 백도어는 페이스북 서버에 접근하는 관리자의 로그기록을 모두 수집하는 형태였습니다. 

즉, 관리자의 계정정보가 유출될 가능성이 다분했습니다.

 

문제는 이미 수 많은 로그기록이 쌓여있고, 외부로 유출한 흔적이 있어 악용의 여지가 다분했다고 하는데요.

페이스북은 또 다른 버그바운티 참가자의 소행이라고 밝힌 상태입니다.

 

기사에서는 페이스북에 침투하기까지의 과정이 간략하게 나와있어서 참고자료로 유용합니다.

해당 보안전문가의 블로그 포스팅을 참조하시면 사진과 함께 더욱 자세한 침투과정을 열람하실 수 있습니다.

http://devco.re/blog/2016/04/21/how-I-hacked-facebook-and-found-someones-backdoor-script-eng-ver/

 

[보안뉴스] 페이스북 침투테스트 하다가 미스터리 백도어 발견! - http://mcaf.ee/1kt8en

리눅스 부트로더인 GRUB2에서 황당한 버그가 발견되었다는 내용의 기사입니다. 리눅스 운영체제를 부팅할 때 필수프로그램으로써 유명 리눅스에도 모두 기본 탑재되어 있습니다. 


버그가 발생한 부분은 복구모드로 진입했을 때 물어보는 ID 항목에서 백스페이스를 28번 누르면 인증없이도 복구 콘솔로 진입이 가능하며, 콘솔 내에서는 높은 권한을 갖기 때문에 파일을 접근하고 수정할 수 있게 됩니다. 현재까지 나온 GRUB2 최신버전에도 이 버그가 존재했었고, 현재는 패치가 되어 리눅스 버젼별로 업데이트된 보안패치를 내놓고 있습니다. 


다만, 원격에서 이를 수행할 수 있는 것이 아니라 기기에 직접 접근해야 하기 때문에 기존 구형시스템에 대한 피해는 크지 않을 것으로 판단됩니다. 


[CNET KOREA] 리눅스 황당버그 "백스페이스 28번 누르면 뚫린다?" - http://mcaf.ee/bapi16



블로그와 카페 첨부파일로 주로 유포되는 애드웨어를 통해 파밍 악성코드가 유포 중인 정황을 확인했다는 뉴스 기사입니다. 파일 다운로드 프로그램이긴 하나 이 과정에서 약관에 따라 수 많은 애드웨어가 동시에 설치되는 이른바 끼워팔기식 프로그램 설치 방식을 사용하는 과정에서 보안에 취약한 한 서버로 부터 변조에 의해 정상적인 애드웨어가 아니라 파밍 악성코드가 유포된 것입니다. 


특정 시간대에만 악성코드를 유포하였고 파일을 다운받아 실행하는 일반적인 경로로 감염되기 때문에 지금까지 탐지를 회피해 왔었습니다. 파밍용 악성코드는 host 파일을 변조하여 사용자가 악성 피싱사이트로 자동 이동되도록 하고, 금융정보, 계정정보 탈취를 시도하기 때문에 매우 위험합니다. 


악성코드 유포자 뿐만아니라 애드웨어 개발자도 책임은 피하기 어려워 보입니다. 

[보안뉴스] 애드웨어 서버 해킹해 파밍 악성코드 유포중 - http://mcaf.ee/dlazu2



지금까지의 랜섬웨어는 파일을 암호화 한 뒤 복호화 해주는 댓가로 가상화폐를 요구하는 형태였습니다. 하지만, 더 나아가 파일을 인터넷에 유포하겠다고 협박하는 새로운 종류의 랜섬웨어 '키메라' 가 발견되었다는 기사 내용입니다. 


사용자를 협박하여 불안하게 하는 프로그램을 스케어웨어(Scareware) 라고 따로 분류하기도 하는데, '키메라'는 이 스케어웨어와 랜섬웨어가 결합된 형태인 것입니다. 

아직까지 사용자의 개인파일이 키메라에 의해 유포되었다는 사례가 발견되지 않았으나, 추후에라도 충분히 악용될 수 있는 상황입니다. 


현재는 독일지역에서만 국지적으로 유포되고 있으며, 일반적인 유포경로와 암호화 방식은 일반 랜섬웨어와 큰 차이가 없기 때문에 특별히 추가적으로 보안조치를 해주어야 하는 부분은 아니지만, 감염될 경우 기존 랜섬웨어보다 더 큰 피해가 발생할 수 있을 것으로 예상됩니다. 


앞으로 랜섬웨어가 이런 형태로 진화할 수도 있을 것 같습니다. 


[보안뉴스] 새로운 랜섬웨어 ‘키메라’...개인파일 인터넷 공개 협박 - http://mcaf.ee/hq1vlu

랜섬웨어는 이용자의 파일을 몰래 암호화하여, 이를 다시 복호화 해주는 댓가로 금전을 요구하는 형태의 악성코드로써 대부분 비실명 계좌인 비트코인을 통해 돈을 주고받고, 복호화에 필요한 키는 별도의 해외서버를 통해 관리함으로써 철저히 제작자 신분을 감추고 있습니다. 또한, 취약한 암호화 기술이 아니라 실제 보안이 필요한 환경에서 주로 사용하는 강력한 암호화 방식을 사용합니다.  


최근 PC 랜섬웨어가 다수 발견됨에 따라 모바일 환경에서도 랜섬웨어 피해 사례가 속출하고 있습니다. 실제로 지식인을 통해 모바일 랜섬웨어 감염사례를 심심치 않게 볼 수 있는데요. 해외가 아닌 국내에서 감염사례가 급증하는 것은 증가하는 모바일환경 이용자수와 연관있어 보입니다. 


이 기사는 해외 보안업체에서 제작한 보고서를 토대로 모바일 악성코드 중 랜섬웨어류가 가장 사용되었다는 내용으로써 생활에 필수가 된 스마트폰을 통해서 사용자의 많은 정보들을 캐 낼 수 있다는 점을 경고하고 있습니다. 


현재 여러 보안업체에서도 유사한 결과의 보고서가 많이 공개되는 것으로 보아서 더 이상 좌시하기 힘든 수준으로 보이나, 그 기술도 날로 교묘해지고 있어 모바일 이용자 숫자가 증가함에 따라 피해도 기하급수적으로 커질 가능성이 높아 보입니다. 


보안업체에서는 랜섬웨어 탐지 솔루션과 파일 복호화 방법에 대해 꾸준히 노력중이나 사실 이미 암호화된 파일 중에서는 키가 공개된 일부 파일에 대해서만 가능할 뿐, 100% 모든 파일 복호화할 수 있는 방법은 아직까지 발견된바 없습니다.


당분간은 보안업체와 랜섬웨어 제작자간의 두뇌싸움이 계속되겠네요. 


[보안뉴스] 모바일 멀웨어 가운데 가장 위협적인 건 ‘랜섬웨어’ - http://mcaf.ee/tfcmzb

공공와이파이의 보안문제는 이전부터 꾸준히 제기되어 왔던 문제입니다. 이 기사에서는 ARP 스푸핑 공격을 실제로 시도하여 성공했다는 내용입니다. 

ARP 스푸핑은 관련 툴들이 많이 개발되어 일반인들도 쉽게 시도할 수 있는 기법이나, 성공할 경우 상대방의 패킷을 엿볼 수 있게되어 파급력이 크기 때문에 공유기 보안에서 반드시 고려해야할 사안입니다. 실제로 보안이 미흡했던 공공 와이파이 도입 초기에는 국 내외에서 공격 사례가 많이 있었습니다. 


일반적으로 통신사와 제휴를 맺고 와이파이 서비스를 제공하는 대형 프렌차이즈, 공공시설의 와이파이는 ARP 스푸핑에 대한 대비가 기본적으로 되어 있으나, 근래들어 관련 업종에서도 개인사업자가 부쩍 늘어 개인의 공유기를 사용하면서 보안에 대해 체계적으로 관리받지 못하는 공공와이파이도 늘어난 실정입니다. 


이 경우 관리자 입장에서 보안을 제대로 관리하지 못할 경우 위와 같은 ARP 스푸핑에 취약해 질 수 밖에 없습니다. 결과적으로 이 피해는 와이파이를 사용하는 손님에게 까지 영향이 있을 것입니다.


그렇다고 통신사와의 계약을 강요할 수는 없습니다. 개인적인 바램이지만 공유기 제조업체 측에서 사업자를 위한 별도의 공유기모델을 제작해 합리적인 가격에 판매하고, 신규 취약점에 대한 꾸준한 A/S를 약속받을 수 있었으면 좋겠습니다. 이렇게 되면, KISA에서는 이 모델에 대한 보안성 검사 및 모델 리스트를 제작해 사업자에게 제공하고, 사후 지원에 대한 감시를 할 필요가 있을 것입니다.



[보안뉴스] 카페서 와이파이 쓰다 스마트폰 가로채기 당한다? - http://mcaf.ee/ejghpc


최근 편리함과 효율성을 앞세워 CCTV 에 랜기능을 탑재하고 있습니다. 이미 보편화되어 그 수가 무시할 수 없는 수준인데, 이를 악용해 DDoS 공격에 활용하고 있다고 합니다. 일반 PC처럼 OS가 탑재되어 있기 때문인데, 특히 리눅스 계열의 CCTV 900대 정도에서 DDoS 신호가 발생하는 것을 감지하였고, 실제 CCTV를 분석해본 결과 탤넷이나 SSH 기능이 활성화 되어있어 원격에서 조종할 수가 있었다고 합니다. 


초기 설정을 그대로 사용하는 행동이나 쉬운 비밀번호로 설정하는 행동이 이런 결과를 초래할 수 있다고 하는데, 실제로 CCTV 뿐만 아니라 NAS에서도 일부 패킷이 감지되었다고 합니다. 추측하기로는 무작위 대입법을 이용했을 것이라고 하네요. 


사실 이러한 문제는 과거에서 부터 계속 언급되어왔던 부분입니다. 앞으로 이러한 형태에 IoT 가전이 많이 증가할텐데, 기기마다 별도의 초기 비밀번호를 부여(현 통신사 공유기 정책)한다거나 자동 업데이트 기능 탑재 등의 보안 대책을 수립에 대해 진지하게 고민해 보아야 할 시점이 아닌가 싶습니다. 여기에는 무엇보다도 제조사나 유통사의 지속적인 지원이 바탕이 되어야 겠지요.


[IT World] CCTV 카메라도 DDoS 공격에 이용…기본값 설정 사용이 허점 - http://mcaf.ee/7bo9d8

비교적 강력한 암호화 기술로 알려진 SHA-1이 더 이상 안전하지 않은 것 같습니다. 일반적으로 강력한 암호화 기술들은 해시값을 가지고 있어도 실제 평문을 알아내기 위해서는 브루트 포싱 방식을 사용해야 하며, 찾았다고 해도 충돌에 의해 실제 평문이 아니라 다른 평문값이 나올 수 있는 특징이 있습니다.


특히나, 평문을 찾아내기 위해서는 소요되는 시간이 너무나 오래 걸려 사실상 복호화가 불가능하다고 알고 있었습니다. 


하지만, 연구자들은 해시값 자체를 키 값으로 사용하는 기존 서명시스템에서는 기존의 평문이 어떻든, 동일한 해시값을 갖는 또 다른 평문을 찾아내기만 하면 도용이 충분히 가능하다는 것을 이용하였습니다. 


여기다가 아마존의 클라우드 컴퓨팅과 비트코인 채굴에나 쓰일법한 고속 연산이 가능한 그래픽카드까지 활용해 평문을 찾아내기 위한 시간을 획기적으로 단축하였습니다. 기술이 발전하면서 기존의 예상했던 교체 예상시기를 훨씬 앞당겼다고 하네요. 


범죄자 입장에서는 서명 도용을 통해 상당한 돈을 벌 수 있다는 점으로 볼 때 추후 악용될 가능성이 매우 높습니다. 


다행히 SHA-2, 3에는 해당되지 않는다고 하니 기존의 교체 권고기간을 앞당겨 서서히 교체해 나가야 겠습니다. 


[보안뉴스] 각종 인증서 기본이 되는 SHA-1에 충돌 공격 비상 - http://mcaf.ee/urc2h7


레노버에서 노트북에 설치한 기본 탑재 SW 중에 슈퍼피시(Superfish)가 보안상 심각한 위험을 초래할 수 있는 애드웨어로 판단되어 논란이 일었습니다. 레노버 사용자 포럼에서 레노버 노트북 사용 중에 자꾸 광고가 나타나고, 슈퍼피시 라고 하는 루트 인증서가 컴퓨터내 설치되어 있다는 게시물이 등록되면서 부터 슈퍼피시의 존재가 알려졌습니다. 


보안전문가가 슈퍼피시에 대한 조사를 해 본 결과 사용자의 데이터를 훔쳐보면서 광고를 띄우고 SSL 연결을 변조하는 형태의 위험한 애드웨어 종류인 것으로 밝혀졌습니다. 특히나 가짜 인증서를 생성하여 올바른 SSL 연결이 이루어지지 않아 MITM(중간자 공격)에 취약할 수 있다고 합니다. 이 경우 사용자가 주고받는 데이터를 외부에서 감시할 수 있고 공인인증서와 암호를 알아내 금전적 피해까지 발생할 수 있습니다. 


레노버는 이 사실을 인정하고 15년 1월 분 부터 슈퍼피시의 선탑재를 중단하였으며, 이전 기종에 대한 슈퍼피시 제거 프로그램을 배포하고 있습니다. 


SW 선 탑재는 PC 제조사의 수익을 위해 SW 회사와 계약을 맺는 방식으로써 주변에서 흔히 사용하는 방법입니다만, 해당 SW가 보안 취약점이 존재하거나 사용자가 인지하지 못한 상황에서 악성코드와 별 차이없는 행동을 수행한다면 단순 유틸리티 프로그램을 넘어서 해커에게는 악성 유포경로도 사용할 수 있다는 것을 단적으로 보여주는 예입니다. 


특히 상당 수 레노버 노트북 기종이 영향을 받는 것으로 나타나 후폭풍도 상당할 것이라 예상됩니다. 


슈퍼피시 설치 여부를 확인하는 웹사이트 


[블로터닷넷] 레노버, 노트북에 악성 SW 깔아 팔다 덜미 - http://mcaf.ee/d7hqt

[전자신문] 분노한 레노버 PC 고객들...'슈퍼피시' 후폭풍 - http://mcaf.ee/4xrzf


+ Recent posts