openLab

0xNews - 안드로이드의 페이스북 메신저 앱 버그 발견 구글 프로젝트 제로 Google's Project Zero bug-hunting team 공개 https://bugs.chromium.org/p/project-zero/issues/detail?id=2098 2020년 10월 6일 해당 버그 최초 발견 90일 정보 공개 제한 기간이 지난 현재 정보 공개 해당 버그는 페이스북에 보고 후 안드로이드용 페이스북 메신저 v.284.0.0.16.119 외 이전 버전 포함 영향을 받음 이번 버그는 앱에 로그인한 공격자가 동시에 통화를 시작 후 웹 브라우저와 같은 다른 메신저 클라이언트와 앱에 로그인한 대상에게 특수 제작된 메시지를 발송하는 것이 허용된 것을 확인 페이스북 보안 담당자는 이런 행동으로 기기가 발신음이 울리는 동안 발신자가 전화를 받는 사람이 응답하거나 통화 시간이 초과될 때까지 오디오 수신을 시작하는 시나리오를 준비하고 대기 https://about.fb.com/news/2020/11/bug-bounty-program-10th-anniversary/ 구글 프로젝트팀은 이번 버그는 WebRTC 의 SDP Session Description Protocol 에 있음을 확인 이 프로토콜은 두 엔드 포인트간 스트리밍 미디어 교환을 위한 표준화된 형식을 정의 공격자는 여기에 특수 제작된 메시지를 전달 가능 SDPUpdate 를 사용하여 전화를 받기 전 수신자의 기기에 연결 WebRTC 를 통한 음성과 영상 통화는 일반적으로 수신자가 통화 수락 버튼을 클릭하기 전까지 오디오 전송을 하지 않음 하지만 벨이 울리는 동안 SDPUpdate 를 통해 메시지가 다른 단말 기기로 전송되면 즉시 오디오 전송을 시작 공격자는 수신자 주변 모니터링 가능 이 버그 공격을 성공하기 위해 공격자인 발신자는 특정 사람에게 전화를 걸 수 있는 권한을 이미 확보해야 함 즉 발신자와 수신자가 해당 기능을 사용하고 있는 페이스북 친구여야 가능 또한 공격이 성공하기 위해서 공격자는 F

0xNews - 애플 Big Sur MacOS 앱 중 일부에서 방화벽과 VPN 우회 허용 발견 트위터 사용자 Maxwell 정보 공개 https://twitter.com/mxswd/status/1318305284524183552 일부 애플 Apple 앱은 일부 네트워크 확장과 VPN 앱 우회 가능 일예로 실행 중인 NEFilterDataProvider 와 NEAppProxyProviders 를 우회하여 인터넷에 직접 접속 가능 11월 12일 MacOS 최신버전 공개한 이후 해당 문제점은 그대로 방치 중 트위터 사용자 Patrick Wardle 추가 내용 공개 https://twitter.com/patrickwardle/status/1327726496203476992 애플 앱 중 애플 전용 50개 앱과 프로세스 검사 Little Snitch 와 Lulu 와 같은 방화벽에서 제외 처리 확인 애플은 2019년 Network Kernel Extensions 에 대한 지원 중단한 여파로 분석 이전 MacOS 는 포괄적인 방화벽이 KEXT Network Kernel Extension 통해서 구현 하지만 현재 애플은 더 이상 사용되지 않은 kexts 를 사용하여 네트워크 확장 기능을 제공함으로써 확인되지 않은 다른 앱/데문 등이 필터링 매커니즘을 우회할 것이라 예측 NEFilterDataProvider 를 사용하면 새로운 네트워크 흐름을 수신할 때 데이터를 전달 혹은 차단하도록 선택 Mac의 네트워크 트래픽을 모니터링하고 제어 가능 혹은 시스템에 outbound / inbound 방향으로 더 많은 데이터를 통과하거나 차단을 결정하도록 요청 결과적으로 NEFilterDataProvider 를 우회함으로써 VPN 이 애플 애플리케이션을 차단하기 어렵게 만듬 NEFilterDataProvider 에 대한 애플의 공식 문서 링크 https://developer.apple.com/support/kernel-extensions/ 또한 Little Snitch 와 Lulu 가 모든 o

0xNews - Cisco CSM Cisco Security Manager 에서 RCE 취약점 발견 CodeWhite 연구팀 공개 https://twitter.com/frycos https://gist.github.com/Frycos/8bf5c125d720b3504b4f28a1126e509e 이번 취약점은 시스코 Cisco CSM Cisco Security Manager 의 웹 인터페이스에 영향을 미치는 12가지 취약점에 대한 PoC 함께 발표 인증되지 않은 공격자가 원격 코드 실행 RCE Remote Code Execution 수행 가능 하지만 발표 전 7월경 시스코 보안팀에 관련 내용 보고 시스코의 PSIRT Product Security Incident Response Team 에서 답변 완료 하지만 취약점에 대해 특별한 언급은 없었다고 밝힘 Cisco CSM Cisco Security Manager 은 조직이 네트워크에서 엑세스 정책을 시행하고 방화벽과 침입 방지 시스템을 관리와 구성할 수 있도록 지원하는 종단간 엔터프라이즈 솔루션 시스코에서는 MD5 해시 알고리즘, DES, 3DES 암호화 알고리즘 사용 중단과 함께 AnyConnect Web Security WSO 에 대한 지원 포함 다양한 보안 기능이 강화된 CSM 4.22 11월 공개 CISCO AnyConnect Web Security WSO 에 대한 내용 링크 https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect40/administration/guide/b_AnyConnect_Administrator_Guide_4-0/configure-web-security.html 이번에 발표된 취약점을 통해 공격자는 가장 높은 권한을 가진 사용자 계정 "NT AUTHORITY \ SYSTEM" 의 컨텍스트에서 임의의 파일을 업로드와 다운로드 가능 또한 악의적인 요청을 만들 수 있음 공격자가 특정 디렉

0xNews - 트로이 목마가 설치된 보안 소프트웨어가 서플라이 체인을 통해 한국 지역 공격 ESET 보안연구팀 발표 https://www.welivesecurity.com/2020/11/16/lazarus-supply-chain-attack-south-korea/ 히든 코브라 Hidden Cobra 로 명명 북한 해커 그룹으로 추정되는 라자루스 그룹 Lazarus Group 에서 공격한 것으로 추정 적합한 보안 소프트웨어를 남용하게 하여 디지털 인증서를 탈취 대상 시스템에 원격 관리 도구 RAT Remote Administration Tools 배포 한국의 서플라이 체인 supply chain 공격 전파 차단 이번 공격의 특징은 범위가 금융권 사이트로 제한 모든 거래와 프로세스를 보호하기 위해 은행에서 개인과 기업에게 발급하는 디지털 인증서와 같은 인터넷 뱅킹 관련 설치 프로그램을 통합하고 관리하도록 설계된 프로그램인 WIZVERA VeraPort 를 악용 2011년 트로이 목마 공격, DDoS 공격 등 지난 10년 동안 한국의 금융기관 공격 사례 중 가장 최근 사례 합법적이지만 손상된 웹 사이트에서 악성 코드를 전달하기 위해 보안 소프트웨어 설치 기술을 사용하는 것 외 공격자는 불법적으로 획득한 코드 서명 인증서 code-signing certificates 를 사용 악성 코드 샘플에 서명 이 중 하나는 미국 지사에 발급 Dream Security USA 라는 한국 보안 회사 이번 캠페인을 발표한 연구팀은 VeraPort 를 사용하는 웹 사이트를 대상으로 하는 것으로 파악 또한 설치할 소프트웨어 목록과 관련 다운로드 URL 이 포함된 base64 로 인코딩된 XML 구성 파일이 함께 제공 공격자가 VeraPort 사용자에게 제공할 소프트웨어를 손상시켜 교체 WIZVERA VeraPort 구성에는 다운로드된 바이너리가 실행되기 전에 디지털 서명을 확인하는 옵션이 포함 대부분의 경우 이 옵션이 기본적으로 활성화 하지만 VeraPort 는 디지털 서명이 누구에게

0xNews - 새로운 DNS 공격 방식 발견 미국 캘리포니아 대학과 중국 칭화 대학의 연합 그룹 발표 https://www.cs.ucr.edu/~zhiyunq/SADDNS.html DNS 캐시 중독 공격 Cache Poisoning Attacks 으로 일련의 보안 취약점 발견 SAD DNS 공격 Side-channel AttackeD DNS 이라고 명명 공격자가 정상적인 특정 도메인으로 향하는 트래픽을 자신이 제어하는 서버로 다시 라우팅하도록 강제 경로 외부 공격을 수행하도록 제어 이를 통해 도청과 변조 등 수행 가능 이번 공격은 심각한 보안 영향을 미치는 최초의 무기화 가능한 네트워크 사이드채널 공격 공격자는 경로를 벗어난 악의적인 DNS 레코드를 DNS cache 에 인젝션하여 공격 수행 CVE-2020-25705 지정 ACM 컴퓨터 및 통신 보안 컨퍼런스 CCS 2020 발표 CCS 2020 발표에 대한 뉴스 업데이트 https://www.sigsac.org/ccs/CCS2020/ RESEARCH-ARTICLE OPEN ACCESS https://dl.acm.org/doi/10.1145/3372297.3417280 온라인 발표 영상 링크 이번 취약점의 영향 대상 Linux 3.18-5.10 Windows Server 2019(버전 1809) 이상 MacOS 10.15 이상 FreeBSD 12.1.0 이상 DNS resolvers 는 일반적으로 네트워크에서 응답 성능을 향상시키기 위한 수단 특정 기간 동안 IP 주소 쿼리에 대한 응답을 캐시 그러나 이 매커니즘은 특정 웹 사이트의 IP 주소 DNS 항목을 가장 해당 웹 사이트를 방문하려는 사용자를 공격자가 선택한 다른 사이트로 리디렉션 캐시를 감염시키는데 악용 가능 CloudFlare 의 DNS Cache Poisoning 에 대한 설명 링크 https://www.cloudflare.com/ko-kr/learning/dns/dns-cache-poisoning/ 이러한 공격의 효과는 기존 DNS 레코드에 암

0xNews - 토리스마 라는 스파이웨어를 사용하는 북한 해커 집단 정보 공개 McAfee 연구팀 발표 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/operation-north-star-a-job-offer-thats-too-good-to-be-true/ 호주, 이스라엘, 러시아, 인도에 기반을 둔 ISP Internet Service Providers 와 국방 관련 계약 업체 등을 대상으로 하는 IP 주소를 대상으로 삼는 공격 토리스마 Torisma 라는 스파이웨어 도구를 사용 피해자의 지속적인 사용을 모니터링 Operation North Star 코드명 지정 올해 7월 이 공격 캠페인을 발견 소셜 미디어 사이트, 스피어 피싱, 허위 구인 광고가 포함된 가짜 문서 배포 등을 통해 국방 분야에서 일하는 조직의 직원을 대상 조직 내 네트워크 침투 발판으로 함 이 공격은 이전에 발표된 여러 북한 해커 그룹들과 비슷한 인프라와 TTPs Techniques, Tactics, and Procedures 에 기인 이는 미국 정부가 모든 북한 국가 지원 해킹 그룹을 설명하기 위해 사용하는 포괄적 용어 https://us-cert.cisa.gov/northkorea   이번 스파이웨어는 미국의 국방, 항공 우주 계약자에 대한 악의적인 공격을 가해 핵무기 프로그램을 지원하고 자금을 조달하기 위해 위협 행위자들의 무기를 활용하는 강력한 제재 국가인 북한의 추세를 이어가고 있는 증거 중 하나 초기 분석에서는 임플란트가 그 가치를 평가하기 위해 기본적인 피해자 정보를 수집하도록 의도된 것으로 분석 Operation North Star 에 대한 최근 조사에서는 손상된 시스템에 숨겨져 있도록 설계된 기술 혁신의 정도를 보여줌 이 캠페인으로 유명한 미국 방위 계약업체 웹 사이트의 정상적인 채용 컨텐츠를 유용하여 표적 피해자를 유인 악성 스피어 피싱 이메일 첨부 파일을 상대로 하여금 열게 함 이를 통해 미국과 이탈리아의 정상 웹 사이트 손

0xNews - 더 강력해진 북한 스파이웨어 김수키 Kimsuky 공개 미국 정부가 북한 정부 지원으로 운영되는 해커그룹의 글로벌 정보 수집 입무에 대한 권고 발표 후 변경 발견 경고 https://us-cert.cisa.gov/northkorea 김수키 Kimsuky 혹은 Black Banshee 나 Thallium 라 불리는 APT 공격 https://malpedia.caad.fkie.fraunhofer.de/actor/kimsuky 2012년경부터 활성화된 것으로 파악 이번에 발견된 것은 악성코드 방지분석 도구인 정보 도용자 information stealer 포함 현재까지 문서화되지 않은 악성 코드와 연결 악성코드는 다양한 기능과 이전 스파이웨어 프레임워크와 상당히 겹치는 새로운 서버 인프라 정보 해당 해킹그룹은 주로 한국의 중요 기업이나 정부기관을 대상으로 한 공격 캠페인을 비롯 전 세계적으로 공격적인 사이버 공격을 수행한 악명 높은 역사를 가지고 있음 최근 몇년 동안은 미국, 러시아, 유럽 여러 국가를 대상으로 공격 범위를 확장 중 cybereason 보안팀 추가 발표 https://www.cybereason.com/blog/back-to-the-future-inside-the-kimsuky-kgh-spyware-suite 2020년 10월 27일 미국은 연방 수사국 FBI, 국방부 departments of Defense, 국토안보부 Homeland Security 등 공동 발표 김수키에 대한 전술, 기술, 절차 등에 대한 상세 정보 공개 https://us-cert.cisa.gov/ncas/alerts/aa20-301a https://attack.mitre.org/groups/G0094/ 기본적으로 스피어피싱과 사회공학적 트릭을 활용 피해자 네트워크에 대한 초기 접속 권한 획득 다양한 분야의 전문가, 싱크탱크, 암호화폐 산업이나 조직, 한국 정부 기관 등으로 식별된 개인 정보를 구체적으로 특정하여 공격 대상을 특정 BabyShark 악성코드가 포

0xNews - 구글에서 윈도우 Windows 제로데이 0-Day 취약점 공개 구글 프로젝트제로 Project Zero 발표 https://bugs.chromium.org/p/project-zero/issues/detail?id=2104 패치되지 않고 악용되는 MS 윈도우 Windows 제로데이 0-Day 권한 상승 Privilege Escalation 취약점 공개 CVE-2020-17087 지정 권한 상승 EoP Elevation of Privileges 취약점 샌드박스 이스케이프를 위해 악용될 수 있는 윈도우 커널 암호화 드라이버 cng.sys 의 windows 7 이상에서 존재하는 버퍼 오버플로 Buffer overflow 취약점 취약점은 cng!CfgAdtpFormatPropertyBlock 함수에 존재 16bit 정수 자르기 integer truncation issue 로 인해 발생 취약점을 발표한 구글 프로젝트제로는 해당 취약점으로 인한 공격 사례와 증거를 파악 후 공개기한 7일이 지난 후 이번에 공개 결정 이번 취약점은 기본 시스템 구성에서도 커널 데이터를 손상시키고 취약한 윈도우 기기를 충돌시키는데 사용할 수 있는 PoC 추가 공개 PoC 테스트 cpp 파일 링크 https://bugs.chromium.org/p/project-zero/issues/attachmentText?aid=472684 이번 취약점 발표와 함께 주목할 부분은 지난 번 구글에서 수정한 구글 크롬 Chrome 브라우저의 제로데이 취약점 CVE-2020-15999 와 연결되는 익스플로잇 체인으로 되어 있음 CVE-2020-15999 는 브라우저에서 악성코드를 실행하기 위해 Freetype 글꼴 라이브러리의 힙 버퍼 오버플로 Heap Buffer overflow 포함 이번에 공개된 윈도우 제로데이 취약점은 공격자가 구글 크롬의 샌드박스 보호를 벗어나 윈도우에서 코드를 실행할 수 있도록 함 이를 샌드박스 이스케이프라고 함 이번 취약점은 11월 중에 MS 에서 패치를 발표할 것으로