8월, 2020의 게시물 표시

0xNews - 미국 정부에서 북한 해커의 전세계 은행을 대상으로 하는 공격에 대한 경고

이미지
0xNews - 미국 정부에서 북한 해커의 전세계 은행을 대상으로 하는 공격에 대한 경고 다수의 미국 정부 기관에서 공동 발표 https://us-cert.cisa.gov/ncas/alerts/aa20-239a 비글 보이즈 BeagleBoys 라는 해커그룹이 지속적으로 공격 수행 악의적인 원격 접속 도구를 사용하여 국제 은행에서 수백만 달러 탈취 수행 탐지 후 추적 해당 해커 그룹은 2020년 2월부터 공격을 시도한 것으로 파악 미국 사이버 사령부는 U.S. Cyber Command 현재 진행 중인 은행 탈취 계획에서 30개 이상 국가의 은행을 대상으로 하는 것으로 분석 미국 사이버 사령부 트위터 공개 글 링크 https://twitter.com/US_CYBERCOM/status/1298692580339847172 이번 조사의 미국 정부 기관 리스트 CISA Cybersecurity and Infrastructure Security Agency 재무부 Department of the Treasury 연방 수사국 FBI Federal Bureau of Investigation 사이버 사령부 U.S. Cyber Command 등 합동 조사와 분석 수행 북한인 이번 해커 그룹을 통해 2020년 2월 이후 여러 국가의 은행을 표적으로 국제 사기 송금과 ATM 현금 인출 등의 공격 수행 ATM 현금 인출은 한번의 은행 공격 성공 후 해당 은행에 연결된 수십개 국가의 다른 지점에서 ATM 기계를 통한 현금 인출 성공 비글 보이즈는 2016년 방글라데시 은행을 대상으로 8100만 달러 탈취 성공 은행에서 자연스럽게 사용하는 SWIFT 조작을 통해 송금 하지만 미국 뉴욕 연방 준비 은행 Federal Reserve Bank of New York 에서 방글라데시 은행의 이체의 이상을 탐지 후 내용 전달 10억 달러 이체 시도 후 나머지는 중단 2016년 북한 해킹 사건 뉴스 링크 https://money.com/north-korea-bank-robbery-new-york-fe

0xNews - APT 해커 그룹의 Autodesk 3D Max 관련 공격 캠페인 campaign 확인

이미지
0xNews - APT 해커 그룹의 Autodesk 3D Max 관련 공격 캠페인 campaign 확인 Bitdefender 연구팀 발표 https://labs.bitdefender.com/2020/08/apt-hackers-for-hire-used-for-industrial-espionage/ 해당 사이트에 연결된 PDF 발표 자료 https://www.bitdefender.com/files/News/CaseStudies/study/365/Bitdefender-PR-Whitepaper-APTHackers-creat4740-en-EN-GenericUse.pdf APT 해커 그룹이 금전적 이익을 취할 목적으로 이전부터 많이 활동 하지만 기밀 정보 유출을 위해 해커를 고용하는 것은 완전히 별개의 문제 이번 발표는 조심스럽게 조직된 캠페인의 모든 특징을 가진 스파이 공격 사례 발견 특수하게 제작된 Autodesk 3D Max 용 플러그인을 사용하여 침투 실행 또한 조사 결과 조직의 보안 솔루션에 대해 악성 페이로드를 테스트하기 위해 사용하는 C&C Command & Control 인프라가 한국에 있는 것으로 확인 APT 해커 그룹은 이전부터 존재 이전은 금융과 법률 분야를 대상으로 했지만 건축과 부동산 분야에 대한 공격을 한 사례는 이번이 처음으로 관측 7월 StrongPity 라는 유사한 캠페인이 문서 유출을 위한 백도어를 설치하기 위해 감염된 소프트웨어 설치 프로그램을 유포한 것을 발견 StrongPity 공격 관련 Bitdefender 해당 사이트 링크 https://labs.bitdefender.com/2020/06/strongpity-apt-revealing-trojanized-tools-working-hours-and-infrastructure/ 이번에 발견된 캠페인은 Autodesk 3ds Max 의 설정 손상 악성코드 실행하며 감염된 파일을 실행할 때 윈도우 시스템의 다른 MAX 파일로 전파될 수 있음 PhysXPlugMfx MAXScr

0xNews - 많이 사용되는 iOS SDK 에서 정보 유출 관련 문제점 발견

이미지
0xNews - 많이 사용되는 iOS SDK 에서 정보 유출 관련 문제점 발견 보안회사 snyk 연구팀 발표 https://snyk.io/blog/sourmint-malicious-code-ad-fraud-and-data-leak-in-ios/ 중국 모바일 광고 기술 회사인 Mobvista 가 소유한 모바일 프로그래밍 방식 광고 플랫폼인 Mintegral 에 문제 발견 해당 SDK 로 1200개 이상 앱이 제작된 것으로 파악 해당 SDK 에는 URL 정보, 기기 식별자, IP 주소, 운영체제 버전, 그 외 사용자 정보 수집이 SDK 구성 요소에 포함 해당 SDK 로 만들어진 앱을 통해 원격 로그인 서버를 통해 민감 정보를 유출 이번 악성 iOS SDK 는 SourMint 로 명명 연구팀은 악성코드는 앱을 통한 URL 기반 요청을 기록 사용자 활동 감시 가능 이런 활동은 제 3자 서버에 기록 잠재적으로 개인 식별 정보 PII Personally Identifiable Information 와 기타 민감 정보가 포함되어 감시 수행 또한 SDK 는 광고에 대한 사용자 클릭을 사기로 판단 경쟁사의 광고나 경우에 따라 응용 프로그램의 개발자나 사용자로부터 잠재적으로 수익 방해 SourMint 를 사용하여 감염된 앱의 이름은 공개되지 않음 연구팀은 iOS 버전의 Mintegral SDK v.6.3.5.0 에서 코드가 발견 이번 SourMint 의 SDK 첫번째 버전은 2019년 7월 17일로 확인 하지만 안드로이드 버전의 SDK 에는 영향을 받지 않은 것으로 파악 연구팀은 SourMint 를 이용하여 만들어진 애플리케이션을 분석 실제 동작을 숨기려는 여러 안티 디버그 보호 기능이 포함되어 있는 것을 확인 또한 Mintegral SDK 가 앱 내 모든 광고 클릭을 중간에 가로채는 것 외 이런 정보를 사용하여 광고 클릭에 대한 정보를 부정하게 이용하는 증거를 발견 경쟁사 광고가 실행되는 경우 역시 마찬가지로 작동 snyk 연구팀에서 만든 이번 문제점의 설명과 실행에 대한 영

0xNews - 아파치 Apache 웹 서버에서 취약점 CVE 3개 발견

0xNews - 아파치 Apache 웹 서버에서 취약점 CVE 3개 발견 Google Project Zero 연구팀 발견 https://bugs.chromium.org/p/project-zero/issues/detail?id=2030 CVE-2020-9490 CVE-2020-11984 CVE-2020-11993 등 CVE 취약점 3개 발견 연구팀 발견 후 아파치 파운데이션측에서는 최신버전 2.4.46 업데이트 제공 https://httpd.apache.org/download.cgi#apache24 CVE-2020-11984 https://nvd.nist.gov/vuln/detail/CVE-2020-11984 CVSS 3.x 9.8 critical apache mod_uwsgi 모듈에서 버퍼 오버플로우로 인한 원격 코드 실행 취약점 발생 또한 이를 통해 잠재적으로 공격자가 해당 아피치 사용자와 서버에서 실행되는 응용 프로그램의 권한에 따라 데이터에 대해 접속 후 보거나 수정하거나 삭제 가능 CVE-2020-11993 https://nvd.nist.gov/vuln/detail/CVE-2020-11993 CVSS 3.x 7.5 high apache mod_http2 모듈에서 디버깅이 활성화될 때 트리거되며 취약점 발생 잘못된 연결에서 로그인문이 작성되어 동시에 로그풀 사용으로 인해 메모리 손상 발생 CVE-2020-9490 https://nvd.nist.gov/vuln/detail/CVE-2020-9490 CVSS 3.x 7.5 high apache HTTP/2 모듈에 취약점 존재 특별히 만들어진 캐시 다이제스트 Cache-Digest 헤더를 사용하여 메모리 손상으로 인해 충돌과 DoS 발생 캐시 다이제스트는 서버 푸시 문제를 해결하는 것을 목표로 하는 웹 최적화 기능 중 일부 이를 통해 서버는 미리 클라이언트에서 미리 응답 전송 가능 또한 새로 캐시된 컨텐츠를 서버로 전달 가능 클라이언트의 캐시에 이미 있는 리소스를 전달하는데 대역폭이 낭비되지 않도록 함 따라서

0xTools - 스캐너 scanner OpenVAS - greenbone 9.0 에서 password 변경

이미지
Kali Linux 2020.03 업데이트 후 openvas 에서도 greenbone security 9.0 으로 버전 통합이 된 것처럼 보이면서 사용법이 이전과 많이 변경되었다. 일단 kali 에서는 openvas 라는 이름으로 시작되는 명령어들이 gvm 이라는 이름으로 시작되는 명령어로 변경되었다. 또한 kali 운영체제 안에 구동되기 때문에 root 권한으로 실행할 때 문제 없던 것들도 _gvm 계정 생성과 함께 해당 계정으로 귀속되어 정상적으로 작동되지 않는다. 이번 블로그 글은 이런 작지만 중요한 변경 문제들에 대한 내용이다. 0xTools - 스캐너 scanner OpenVAS - greenbone 9.0 에서 password 변경 앞서 언급한대로 gvm 이라는 계정이 추가되면서 해당 계정으로 openvas 관련 권한들이 통합된 것으로 추측된다. 추측되는 이유는 다음에 계속 설명한다. 이제 openvas 때와 같이 admin 에 대한 비밀번호 변경을 수행 후 웹 UI 환경에 접속하려고 하면 정상적으로 되지 않는다. gvm 이 아닌 _gvm 계정이기 때문에 명령어 입력에 주의 이제 웹 UI 에서의 변경된 비밀번호로 정상 접속 되는 것을 확인할 수 있다. 위 명령어 입력 전 gvmd 로 시작하는 명령어와 옵션을 입력 후 웹 UI 접속 실행을 먼저 해본 후 다시 실행해 보면 알 수 있을 것이다.

0xTools - 스캐너 scanner OpenVAS - update 문제 처리

이미지
Kali LInux 가 2020.03 update 하면서 내부에 크고 작은 변화와 함께 기존 툴에서도 환경 변화의 영향을 미쳤다. 그 중 하나로 이번 블로그의 제목과 같이 OpenVAS 문제 처리를 작성하였다. Kali 를 사용하는 사용자마다 차이가 있겠지만 1. 새로 나오는 버전을 다운해서 신규 구축 2. 기존 버전에서 꾸준히 업데이트 사용하면서 관리와 운영 등 크게 두 분류로 구분된다. 이번 블로그의 내용은 앞서 언급한 대로 기존 사용자가 업데이트 하면서 문제 아닌 문제가 발생하게된 OpenVAS 의 처리? 대응? 에 대한 내용이다. Kali Linux 2020.03 을 다운로드 후 사용하는 사용자는 보지 않아도 된다. 0xTools - 스캐너 scanner OpenVAS - update 문제 처리 패키지 이름을 자세히 보았다면 알겠지만 openvas 이름이 변경된 것을 알 수 있다. 그리고 보다 민감한 사용자라면 이번 업데이트를 통해 openvas 가 삭제되어서 이상한 것을 느낀 사용자도 있을 것이다. 즉, 이번 업데이트와 함께 openvas 에서도 변화가 일어나서 완전 삭제 후 사용자의 신규 설치를 유도한 것으로 추측된다. 위 이미지와 같이 openvas 패키지를 확인하지 못했다면 일단 재설치부터 하자. # apt-get install openvas 재설치 후 openvas 탭을 눌러서 확인해 보면 알 수 있듯이 openvas 로 시작하는 명령어가 없어진 것을 알 수 있다. 명령어는 gvm 으로 변경됐다. openvas 때를 기억해서 setup 명령어를 실행해 보면 다음 이미지와 같이 나오는 것을 확인할 수 있다. 물론 아닌 사용자도 있지만, 앞서 언급했듯이 이번 내용은 kali linux 를 설치 후 꾸준히 업데이트 하는 사용자 기준이기 때문에 다음 이미지와 같이 나올 가능성이 높다. gvm 은 postgresql 을 사용하는데 원인은 해당 SQL 프로그램이 각기 다른 버전 2개가 설치되어서 발생된 것이다. 이제 이런 버전 문제를 처리하자. 순서는 p

0xNews - 4G VoLTE 암호화 해독을 통한 공격 발견

이미지
0xNews - 4G VoLTE 암호화 해독을 통한 공격 발견 2020년 초 4G LTE 취약점 공개 - IMP4GT  이후 원격 공격자가 VoLTE 음성 통화에 사용되는 암호화를 깰 수 있는 새로운 공격 기법 성공 ReVoLTE 라고 명명 https://revolte-attack.net/ 해당 공격에 대한 PDF 논문 https://revolte-attack.net/media/revolte_camera_ready.pdf 이 공격은 VoLTE Voice over LTE 프로토콜에 대한 취약점이나 버그를 악용하지 않음 대신 실제로 대부분의 통신 제공 업체가 LTE 모바일 네트워크에 대한 약한 지점 weak implementation of the LTE mobile network 에 대해 공격자가 대상을 지정해서 암호화된 전화를 도청함 VoLTE 프로토콜은 사물 인터넷 IoT 기기나 에ㅜ어러블 기기를 포함 휴대폰이나 데이터 단말기를 위한 표준 고속 무선 통신으로 일반적으로 4G LTE 라고 많이 지칭되는 무선 접속 기술 이번 공격의 핵심은 대부분 이동 통신 사업자가 하나의 무선 연결 내에서 두 번의 후속 통화에 대해 동일한 키 스트림을 사용 전화와 동일한 기지국, 즉 이동 전화 타워 사이의 음성 데이터를 암호화한다는 것 결과적으로 새로운 ReVoLTE 공격은 취약한 기지국에서 동일한 키 스트림을 재사용 공격자가 다음 시나리오에서 VoLTE 기반 음성 통화의 컨텐츠를 해독 가능하게 함 예측 가능한 키 스트림 keystream 의 재사용은 새로운 것이 아니며 이전 다른 연구팀에서 최초 지적했지만 이번 ReVoLTE 공격은 이번 이론을 실제 공격으로 성공한 사례 키 스트림 재사용에 대한 최초 언급한 Raze & Lu 의 발표 사이트 https://www.researchgate.net/publication/328927054_On_Key_Reinstallation_Attacks_over_4G5G_LTE_Networks_Feasibility_and_Negative_I

0xNews - MS 윈도우 2020년 8월 정기 업데이트 - 제로데이 2개 패치

0xNews - MS 윈도우 2020년 8월 정기 업데이트 - 제로데이 2개 패치 MS 윈도우 Windows 2020년 8월 정기 업데이트 실시 총 120개 소프트웨어 취약점 패치 해결 이 중 17건의 취약점은 중요 https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Aug 제로데이 패치 1 CVE-2020-1380 지정 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1380 현재에도 많은 공격을 받는 취약점 스크립팅 엔진의 라이브러리 jscript9.dll 에 취약점 존재 원격 코드 실행 RCE Remote Code Execution 버그 IE 9 이후 모든 버전의 Internet Explorer 에서 기본적으로 실행 해당 취약점은 카스퍼스키랩 Kaspersky Labs 발견된 후 보고 IE 은 여전히 윈도우에 기본적으로 설치되어 있기 때문에 위험 이 취약점은 JScript 의 Use-After-Free 취약점 IE 의 동적 메모리를 손상 공격자가 현재 사용자의 컨텍스트의 RCE 실행 가능 따라서 현재 사용자가 관리자 권한으로 로그인하고 있다면 공격자는 관리자 권한으로 시스템 제어 가능 공격자는 IE 렌더링 엔진을 호스팅하는 응용 프로그램이나 MS 오피스 문서에 초기화에 안전이라고 표시된 ActiveX 컨트롤을 포함할 수도 있음 또한 사용자가 제공한 컨텐츠나 광고를 허용하거나 호스팅하는 손상된 웹 사이트를 활용하여 공격 수행 가능 이번 취약점의 패치와 함께 PoC Exploit 코드 함께 공개 카스퍼스키랩 보안 블로그 상세 내용 공개 https://securelist.com/ie-and-windows-zero-day-operation-powerfall/97976/ 제로데이 패치 2 CVE-2020-1464 지정 https://portal.msrc.microsoft.com/en-U

0xNews - 삼성 모바일 폰 취약점 발견 - DEFCON 컨퍼넌스 2020 발표

이미지
0xNews - 삼성 모바일 폰 취약점 발견 - DEFCON 컨퍼넌스 2020 발표 포르투갈 보안업체 Char49 의 삼성의 Find My Mobile Android 취약점 발표 https://char49.com/tech-reports/fmmx1-report.pdf 삼성 스마트폰 내 있는 내 모바일 기기 찾기 기능을 악용하여 다음 리스트의 악용 가능 사용자에게 심각한 영향을 미침 전화 잠금을 통한 영구적인 DoS 유발 공장 초기화를 통한 휴대폰 정보 완전 삭제 - SD 카드 포함 IMEI 를 통한 개인 정보 침해 강제 위치 추적 통화나 SMS 로그 접속 등 가능함을 확인 패치가 적용되지 않은 삼성 겔럭시 S7 S8 S9+ 등이 그 대상 삼성의 Find My Mobile 서비스를 사용하면 삼성 기기 소유자가 스마트폰이나 태블릿을 원격에서 찾거나 잠그기 가능 기기에 저장된 데이터 백업과 로컬 데이터 삭제 등 수행 연구팀은 추가적으로 대상 기기에 설치된 악성 앱에 의해 악용될 수 있는 4개의 취약점 확인 백엔드 서버에서 통신 정보 탈취 피해자를 스누핑하는 MiTM 공격 생성 가능 확인 이 취약점은 앱이 URL 을 로드하기 위해 기기의 SD 카드에 특정 파일이 있는지 확인하기 때문에 발생 악의적인 사용자가 잠재적으로 서버와의 통신을 탈취하는데 사용할 수 있음 URL 을 공격자가 제어하는 서버로 지정하고 등록을 유도 공격자는 IP주소를 통한 대략적인 위치, IMEI, 기기 브랜드, API 수준, 백업 앱, 기타 에러 정보 등을 확인 이를 위해 기기에 설치된 악성앱은 보호되지 않은 두개의 브로드캐스트 수신기  broadcast receivers 를 활용하는 익스플로잇 체인을 사용 Find My Mobile 앱에는 삼성 서버로 전송된 명령을 공격자가 제어하는 다른 서버로 리디렉션하고 악성 명령 실행 결과적으로 공격이 성공하면 앞서 언급한 공격 가능 리스트의 공격을 수행 가능 DEFON 발표 전체 영상 링크 링크는 이번 삼성 모바일 폰에 대한 케이스부터 시작

0xNews - 시트릭스 Citrix 에서 심각한 취약점 발견

0xNews - 시트릭스 Citrix 에서 심각한 취약점 발견 Citrix 패치 업데이트 정보 사이트 링크 https://support.citrix.com/article/CTX277457 XenMobile 라는 기업의 직원이 모바일 기기를 원격으로 관리하고 보호할 수 있도록 지원하는 제품 CEM Citrix Endpoint Management 에서 영향을 미치는 새로운 보안 취약점 패치 발표 CEM 은 회사의 모바일 기기 관리 MDM Mobile Device Management 와 모바일 애플리케이션 관리 MAM Mobile Application Management 기능 제공 이를 통해 회사는 비즈니스 정보를 보호하기 위해 업데이트와 보안 설정이 적용되도록 직원이 설치할 수 있는 앱 제어 이번 취약점 패치는 하나의 중앙 관제소에서 모든 앱, 기기, 플랫폼을 관리하는데 사용되는 XenMoblie 서버의 온 프레미스 인스턴스에 영향을 미치며 총 5개 취약점에 대해 패치 발표 패치 진행은 이미 클라우드 버전에는 적용 완료 하이브리드 권한 사용자는 모든 온 프레미스 인스턴스에 업그레이드를 적용 권고 https://www.citrix.com/blogs/2020/08/11/citrix-provides-security-update-on-citrix-endpoint-management/ 패치가 적용되지 않은 대상에 성공적으로 악용될 경우 새로 식별된 보안 취약점으로 인해 인증되지 않은 공격자가 영향을 받는 XenMobile Server 에 대한 관리 권한 탈취 가능 Citrix 에서는 현재 해당 취약점에 대한 익스플로잇이나 공격 성공 사례를 받은 바 없지만 보안 패치는 빨리 진행하는 것을 권고 이번 취약점 5개 CVE 리스트 CVE-2020-8208 CVE-2020-8209 CVE-2020-8210 CVE-2020-8211 CVE-2020-8212 위 5개 취약점 중 두가지 취약점 CVE-2020-8208, CVE-2020-8209 등은 다음 서버 버전에 영향을 미침 Xen

0xNews - 웹 브라우저에서 제로데이 0-Day 취약점 발견

0xNews - 웹 브라우저에서 제로데이 0-Day 취약점 발견 PerimeterX 연구팀 발표 https://www.perimeterx.com/tech-blog/2020/csp-bypass-vuln-disclosure/ 윈도우, Mac, 안드로이드용 크로니움 Chromium 기반 웹 브라우저에서 제로데이 0-Day 취약점 발견 이번 취약점은 Chrome, Opera, Edge 등 웹 브라우저에도 영향을 미침 CVE-2020-6519 지정 CVSS 3.x 스코어 6.5 https://nvd.nist.gov/vuln/detail/CVE-2020-6519 이 취약점은 대상 웹 사이트에서 악성 코드를 임의로 실행하는 콘텐츠 보안 정책 CSP Content Security Policy 을 완전히 우회함으로서 발생 이번 발표를 한 연구팀 분석 결과 다음 리스트 대상으로 테스트 진행, 일부에서 해당 취약점에 취약한 것으로 확인 Facebook Wells Fargo Zoom Gmail WhatsApp Investopedia ESPN Roblox Indeed TikTok Instagram Blogger Quora 구글의 크롬 브라우저는 Chrome 84 v.84.0.4147.89 에서 해당 취약점 수정 CSP 는 XSS Cross-Site Scripting 이나 데이터 인젝션 공격을 비롯한 특정 유형의 공격을 탐지하고 완화하는데 도움이 되는 추가 보안 계층 CSP 규칙을 사용하면 웹 사이트는 서버에서 받은 컨텐츠에 대한 브라우저의 신뢰를 악용하도록 설계된 특정 스크립트를 차단하기 위해 특정 클라이언트측 검사를 수행하도록 피해자의 브라우저에 명령할 수 있음 CSP 가 웹 사이트 소유자가 데이터 보안 정책을 시행하고 악성 스크립트 실행을 방지하는데 사용하는 기본 방법 중 하나 CSP 우회는 사용자 데이터를 효과적으로 위험에 노출될 수 있음 이는 브라우저가 실행가능한 스크립트의 유효한 소스로 간주하도록 하는 도메인을 지정하여 수행 CSP 호환 브라우저는 허용 목록에 있는 도메인에

0xNews - TeamViewer 윈도우용에서 취약점 발견

이미지
 0xNews - TeamViewer 윈도우용에서 취약점 발견 Praetorian 연구팀 발표 https://www.helpnetsecurity.com/2020/08/06/cve-2020-13699/ 취약점 발견한 연구원 https://jeffs.sh/CVEs/CVE-2020-13699.txt 공격자가 TeamViewer 내 취약점을 악용하여 시스템 암호 탈취 가능 이에 패치된 최신 버전 공개 CVE-2020-13699 지정 이번 취약점의 큰 특징은 피해자가 공격자가 만든 악성 웹 페이지를 접속하도록 유도 후 최소 1회만 접속하게 하면 공격자는 피해자의 특별한 행동을 하지 않아도 자동으로 공격이 가능 TeamViewer 는 사용자가 안전하게 원격으로 시스템에 접속하고 공유하거나 인터넷을 통해 타인에게 PC 의 제어권을 넘겨서 사용할 수 있도록 지원해 주는 소프트웨어 현재 TeamViewer 는  Windows, macOS, Linux, Chrome OS, iOS, Android, Windows RT Windows Phone 8, BlackBerry 등의 운영체제에서 사용할 수 있음 이번 취약점은 사용자 지정 URI 처리기를 인용하는 방식에 존재 공격자가 소프트웨어가 공격자의 시스템에 NTLM 인증 요청을 릴레이하도록 실행 공격자는 웹 페이지에서 TeamViewer 의 URI 체계를 활용 피해자의 시스템에 설치된 애플리케이션을 속여 공격자가 소유한 원격 SMB 공유에 대한 연결 시작 이는 차례로 SMB 인증 공격을 트리거 시스템의 사용자 이름과 암호의 NTLMv2 해시 버전을 공격자에게 유출 탈취한 자격 증명을 사용하여 피해자의 컴퓨터나 네트워크 리소르를 인증 가능 취약점을 성공적으로 악용하려면 공격자는 웹 사이트에 악성 iframe 를 인젝션 후 다음  피해자가 악의적으로 제작된 URL 을 방문하도록 유도 피해자가 클릭하면 TeamViewer 가 자동으로 윈도우 데스크톱 클라이언트를 시작하고 원격 SMB 공유를 오픈 이제 피해자의 윈도우 OS 는 SMB 공유를

0xNews - 이더넷 케이블의 취약점을 활용한 공격 기법 발견 - BlackHat USA 2020 발표팀

이미지
 0xNews - 이더넷 케이블의 취약점을 활용한 공격 기법 발견 - BlackHat USA 2020 발표팀 Armis 연구팀의 BlackHat 2020 USA 발표 https://www.blackhat.com/us-20/briefings/schedule/#etheroops-exploring-practical-methods-to-exploit-ethernet-packet-in-packet-attacks-20658 Armis 연구팀 발표 https://www.armis.com/etheroops/ Ethernet Packet in Packet 공격으로 Etheroops 로 명명 이더넷 케이블이 연결된 네트워크를 대상으로 취약점 악용 이더넷 Ethernet IEEE 802.3 은 내부 네트워크 내에서 패킷을 전송하는데 사용되는 기본 프로토콜 중 하나로 1980년대 부터 현재까지 사용 이런 이더넷 케이블에서 사용하는 일반적으로 연결되는 시스템 외 무선랜 접속 시스템 또한 그 대상 무선 wifi 가 무선 라이터 등에 연결된 후 기기에서 이더넷 케이블로 연결되기 때문에 무선 wifi 로 연결된 기기 또한 충분히 공격 대상이 될 수 있음 이 Packet-in-Packet 공격은 비트 오류가 전송 중에 무작위로 발생하면 공격자가 이를 활용하고 악용이 가능하다는 점을 이용 특정 방식으로 발생할 때 완전히 제어된 패킷을 인젝션할 수 있다는 사실을 확인 1. 방화벽이나 NAT 등을 통해 무해한 패킷 전송 2. 비트 블립 Bit-Flips 혹은 케이블 불량 Bad Cables 발생 공격자는 주로 비트 플립이 발생을 유도하지만 간혹 케이블 불량도 발생 3. 체크섬 조작 혹은 내부 MAC 주소 찾기 OSI7 계층 중 2계층 데이터 프레임의 프레임 헤더에서 체크섬 손상을 통해 식별 첫번째 가상 공격 시나리오로 공격자는 목표에 악성 링크를 전송 자신이 만든 악성 웹 사이트를 강제 접속하도록 유도 사용자는 공격자가 만든 서버에 아웃 바운드 패킷을 전송 전체 네트워크 내 접속하는 다수의 상대

0x-News - CPU 프로세서에서 새로운 사이드 채널 공격 발견

이미지
 0x-News - CPU 프로세서에서 새로운 사이드 채널 공격 발견 이전에 발표된 Meltdown 과 Foreshadow 와 같은 최신 CPU 프로세서에 대한 이전에 공개된 여러 추측 실행 공격의 근본 원인은 프리 패치 효과로 잘못 귀속된 후 하드웨어 공급업체가 불완전한 완화와 대책을 발표한 것이 큰 원인 the Graz University of Technology 와 CISPA Helmholtz Center for Information Security 등 연계 연구팀 논문 PDF 발표 https://arxiv.org/pdf/2008.02307.pdf 이번 사이드 채널 공격은 커널 주소가 처음에 캐시되는 정확한 이유를 확인하고 몇가지 새로운 공격 기법 제시 이전에 확인되지 않은 근본적인 문제를 악용하여 공격자가 민감 정보를 스니핑 sniffing 할 수 있도록 함 마이크로 아키텍처 공격은 실제로 커널에서 사용자 공간 레지스터의 추론적 역참조로 인해 발생 이는 최신 하드웨어 완화를 통해 Intel, ARM, IBM, AMD 등 유명 제조업체의 프로세서에도 영향을 미침 이번 연구 결과는 최근 제작된 CPU 외 이전에 만들어진 CPU 라고 해도 영향이 없다고 할 수 없음 연구팀은 지난 4년 동안 여러 학술 논문에서 보고된 효과와 결과를 분석 논문의 이론 자체가 잘못되어 대응책 또한 잘못된 가정과 결과로 이어진다는 것을 발견 프리패치 prefetch 효과는 실제로 메모리 접속으로 인한 소프트웨어 프리패치 명령 또는 하드웨어 프리패치 효과와 관련이 없으며 대신 커널에서 사용자 공간 레지스터의 추론적 역참조로 인해 발생 프리패치 효과에 대한 논문 PDF https://gruss.cc/files/prefetch.pdf 프리패치 효과의 실제 근본 원인을 분석하는 것 외 연구의 다른 주요 결과 1. 보다 제한된 컨텍스트에서의 주소 변환 공격 특정 시나리오에서 레지스터 값의 직접적인 유출 비 L1 데이터를 대상으로 하는 종단간 Foreshadow exploit 포함하여 근본적

0xStudyList - 오픈소스 라이센스에 대한 이해를 위한 가이드

이미지
0xStudyList - 오픈소스 라이센스에 대한 이해를 위한 가이드 이번 블로그 글은 제목처럼 다양하게 사용되는 오픈소스 그 중에서 오픈소스 라이센스에 대한 글이다. 모든 오픈소스가 말 그대로 무료라고 이해가 되고 통용이 되는데 그렇지 않다. 학생이라면 당연히 무료이기 때문에 좋아할 것이고 기업이라면 비용 지출이 없다는 이유로 좋아할 것이다. 하지만 이런 잘못된 선택과 사용으로 인해 문제가 발생할 수 있다. 이에 오픈소스 첫화면, 메뉴얼 등에서 언급되는 문구에 대한 가이드를 번역, 작성해 본다. 각 국가별 법적인 내용과 판례 등 사례와 기준이 다양하기 때문에 포괄적인 개념에서 이해하면서 글을 보기를 희망한다. 1. 소프트웨어 라이센스 저작권에 대한 기본 사항 저작권, 흔히 말하는 CopyRight 는 개인에게 자신의 저작물이 복사되거나 악용되는 것을 방지할 수 있는 법적 권리를 부여한다. 저작권이 있는 컨텐츠의 가장 일반적인 예로는 영화, 음악, 예술 작품과 같은 것이지만 특정 유형의 소프트웨어도 보호할 수 있다는 사실을 아는 것도 중요하다. 특허와 저작권 사이에도 차이가 있으므로 TLO Technology Licensing Office 에서는 일반적으로 개인이 자신의 필요에 가장 적합한 것을 결정하고 어떤 유형의 라이센스가 더 적용 가능한지에 대한 조언을 제공하는데 도움을 준다. 이런 것은 유통 전략에도 도움이 될 수 있다. TLO Technology Licensing Office 란 회사에서 특허와 저작권 등을 보유하여 이런 것들을 사고 팔아 이득을 취하는 회사, 조직, 단체 등을 이야기 한다. 인터넷 등에서 살펴보면 특허 괴물이라는 이름으로 지칭되는 회사를 찾아볼 수 있는데, 이런 회사들이 TLO 라고 이해하면 된다. 2. 오픈소스 라이센스란 이를 설명하는 좋은 방법은 기본적으로 특정 조건을 따르는 한 소프트웨어를 상업적으로 사용할 수 있는 계약이라는 것이다. 이 문서는 개발자를 법적으로 구속할 것이며 그것 없이는 소프트웨어가 게시된 위치에 관계없이 작

0xNews - 4가지 새로운 HTTP request 스몰딩 Smuggling 공격 발견

이미지
0xNews - 4가지 새로운 HTTP request 스몰딩 Smuggling 공격 발견 SafeBreach 연구팀의 BlackHat USA 2020 발표 https://www.blackhat.com/us-20/briefings/schedule/#http-request-smuggling-in-2020--new-variants-new-defenses-and-new-challenges-20019 SafeBreach 사이트 추가 링크 https://safebreach.com/Post/SafeBreach-Experts-Showcasing-Research-with-New-Exploits-at-Black-Hat-2020 HTTP request smuggling 은 웹 서버와 HTTP 프록시 서버가 처음 문서화된 이후 15년이 지난 후에도 취약한 방식이 있음을 확인 HTTP request smuggling 혹은 HTTP 비동기화 Desyncing 공격은 웹 사이트가 하나 이상의 사용자로부터 수신한 HTTP request 시퀸스를 처리하는 방식을 방해하는데 사용되는 기술 HTTP request smuggling 과 관련된 취약점은 일반적으로 프론트엔드, 로드밸런서, 프록시와 백엔드 서버가 HTTP request 의 경계를 다르게 해석 악의적인 행위자가 모호한 것을 보낼 수 있게 유발 정상적인 사용자의 request 앞에 추가되는 request 추가 이런 공격을 통해 자격증명 탈취 후 사용자에게 responses 에 인젝션 실행 피해자의 request 에서 데이터를 탈취 공격자 제어 서버로 정보를 유출 가능 HTTP request smuggling 기법은 2005년 최초 발표, 입증 발표 당시 PDF 링크 https://www.cgisecurity.com/lib/HTTP-Request-Smuggling.pdf 이후 해당 기법에 대한 개선된 기능 개발을 통한 공격 영역의 확장 Watchfire 연구팀의 해당 기술에 대한 DEFCON 발표 PDF 링크 https://media.d

0xStudyList - 사전에 보안을 제어할 수 있는 OWASP Top 10 개발자 가이드 2018

이번 블로그 글은 OWASP Top 10 Proactive Security Controls 라는 이름으로 알려진 내용을 번역, 수정한 것을 먼저 알립니다. 또한 하단 내용은 전체 내용 중 중요 내용만 요약한 것이니 참고하시기 바랍니다. OWASP Proactive Controls 사이트 링크 https://owasp.org/www-project-proactive-controls/ 0xStudyList - 사전에 보안을 제어할 수 있는 OWASP Top 10 개발자 가이드 2018 소프트웨어 개발자가 알아야할 시큐어 코딩 가이드 소프트웨어 개발자가 보안 프로그램을 개발하기 위해 집중해야 하는 보다 중요한 영역을 설명하고자 OWASP 에서 나온 내용이며 공개 되기 전, 사전에 보안성을 더 높이고자 하기 위한 가이드 본 블로그 업데이트 전 최신 버전 OWASP Top 10 Proactive Controls 2018 위에서 언급한 사이트 링크를 보면 알겠지만 PDF, PPT, Doc 등 문서에 대한 영문 문서 배포 중 각 문서가 공개된 Github 사이트 링크 https://github.com/OWASP/www-project-proactive-controls/tree/master/v3 모든 소프트웨어 프로젝트 개발 시 고려해야할 보안 기술 목록 포함 일반적으로 알려진 OWASP Top 10 은 웹 취약점으로 일종의 위험, 위협에 대한 목록이라면 이번 OWASP Top 10 사전 예방 제어는 방어 기술이나 통제에 중점 목록의 기준은 일반적인 업계의 표준, 적용 가능한 법률, 과거 취약점의 역사에서 파생된 보안 요구 사항을 정의하는 것 등으로 시작 중요도에 따라 10개 목록 작성 C1: Define Security Requirements - 보안 요구 사항 정의 C2: Leverage Security Frameworks and Libraries - 보안 프레임워크와 라이브러리 활용 C3: Secure Database Access - 안전한 DB 접속 C4: Encode

0xNews - 중국의 변종 바이러스 Taidoor 경고

0xNews - 중국의 변종 바이러스 Taidoor 경고 미국 연방수사국 FBI Federal Bureau of Investigation 산하 기관0 사이버보안과 인프라보안 기관 CISA Cybersecurity and Infrastructure Security Agency 발표 https://us-cert.cisa.gov/ncas/analysis-reports/ar20-216a 중국 국가의 지원을 받는 해커 그룹에서 만들어 각국 정부, 기업, 연구소 등을 대상으로 한 12년 된 바이러스 변종 공격 경고 Taidoor 라는 이름의 맬웨어 Malware 2008년 최초 벌견 시스템을 손상 시키며 공격자는 감염된 시스템에 은밀하게 원격 접속 중국 공격자들이 프록시 서버와 함께 맬웨어 변종을 사용 피해자 네트워크에 대한 접속 유지와 네트워크에서 정보 착취를 계속 하는 것으로 파악 미국 사이버 사령부 US Cyber Command 에서는 VirusTotal 에 Taidoor RAT 샘플 4개 공개 50개 이상 안티 바이러스 회사가 추가적인 공격 캠페인이나 공격에 관여했는지 확인할 수 있도록 정보 공개 VirusTotal 에 공개된 맬웨어 정보 링크 https://www.virustotal.com/en/user/CYBERCOM_Malware_Alert/ 해당 맬웨어는 2012년 트렌드마이크로 연구팀에서 분석 악의적인 PDF 첨부 파일이 포함된 소셜 엔지니어링 이메일 공격 수행 대만 정부를 대상으로 공격 수행한 것으로 파악 트렌드마이크로 연구팀이 공개한 분석 보고서 PDF 링크 https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp_the_taidoor_campaign.pdf 2013년 FireEye 에서는 악의적인 이메일 첨부 파일은 Taidoor 악성 코드를 직접 삭제하지 않고 대신 '다운로더'를 삭제하여 인터넷에서 기존 Taidoor 악성 코드를 가져 온