openLab

0xNews - MS Azure 클라우드 사용자 대상 공격 경고 미국 보안회사 클라우드 스트라이크 Crowdstrike 발표 https://www.crowdstrike.com/blog/crowdstrike-launches-free-tool-to-identify-and-help-mitigate-risks-in-azure-active-directory/ 솔라윈드 SolarWinds 를 통한 스파이 활동 조사 중 공격 관련 로그 발견 공격 시도는 12월 15일 MS 위협 인텔리전스 센터 Microsoft's Threat Intelligence Center 에 보고 제 3자 리셀러의 MS 애저 Azure 계정이 몇 달전 17시간 동안 MS 클라우드 API 에 비정상적인 호출을 하고 있음을 확인 해당 애저 계정은 클라우드 스트라이크를 포함한 애저 고객에 대한 MS Office 도 처리 이번 공격은 이메일을 읽으려는 시도 확인 MS 오피스 365 이메일 서비스를 사용하지 않기 때문에 결과적으로 실패 솔라윈드 공급망 공격의 여파로 솔라윈드 Orion 네트워크 모니터링 소프트웨어의 악성 업데이트를 통해 백도어 Sunburst 배포 공개 이후 MS, Cisco, VMware, Intel, NVIDIA, US 정부 등 해당 Orion 설치된 것을 확인 별도의 해킹 그룹은 Orion 소프트웨어를 악용 Supernova 라는 별도의 백도어를 설치했다는 증거 발견된 일주일 후 관련 정보 취합 후 공개 러시아 정부 지원을 받은 해커가 클라우드 액세스 서비스를 관리하는 MS 러셀러를 활용하는 최소 한 곳 이상의 민간기업에 대한 이메일을 탈취 러시아 정부 해커가 MS 클라우드 고객 정보를 탈취했다고 주장하는 워싱턴 포스트의 새로운 보고서와 관련 내용이 일치 https://www.washingtonpost.com/national-security/russia-hack-microsoft-cloud/2020/12/24/dbfaa9c6-4590-11eb-975c-d17b8815a66d_st

0xNews - 솔라윈드 SolarWinds 코드베이스 분석을 통한 백도어 인젝션 확인 ReversingLabs 연구팀 발표 https://blog.reversinglabs.com/blog/sunburst-the-next-level-of-stealth 스파이 활동의 배우헤 있는 운영자사 소프트웨어 빌드를 손상 시켰을 가능성에 대한 일부 확인 2019년 10월 솔라윈드 SolarWinds Orion 플랫폼의 코드 서명 인프라 code signing infrastructure 정보를 통해 소프트웨어 릴리스 프로세스를 통해 악성 백도어를 제공 연구팀은 영향을 받은 라이브러리의 소스코드는 기존 소프트웨어 패치 릴리스 관리 시스템을 통해 컴파일, 서명과 전달된 악성 백도어 코드를 포함하도록 직접 수정된 것으로 분석 FireEye 는 2020년 3월과 6월 사이 발표 SolarWinds Orion 소프트웨어 업데이트에 백도어 코드 SolarWinds.Orion.Core.BusinessLayer.dll 혹은 SUNBURST 인젝션 감시 수행 후 대상에서 임의의 명령을 실행하는 방법에 대해 발표 FireEye 는 현재까지 해당 공격에 대한 행위자를 특정하지 않음 하지만 여러 언론 보도를 통해 러시아의 해외 정보 서비스와 관련된 해커 그룹인 APT29 혹은 Cozy Bear 가 공격 캠페인을 주도한 것으로 파악 https://www.washingtonpost.com/national-security/russian-government-spies-are-behind-a-broad-hacking-campaign-that-has-breached-us-agencies-and-a-top-cyber-firm/2020/12/13/d5a53b88-3d7d-11eb-9453-fc36ba051781_story.html SolarWinds Orion 소프트웨어에 악성코드가 들어간 상태에서 배포된 버전은 2019.4.5200.9083 으로 추적 하지만 연구팀은 2019년 10월 출시된 이전 버전은인

0xNews - Wi-Fi 를 통해 전산실과 분리된 컴퓨팅 공간에서의 데이터 추출 가능 AIR-FI 로 명명 2.4GHz Wi-Fi 대역에서 전자기 방출을 생성하는 DDR SDRAM 버스 악용 이미 손상시킨 시스템에 특별히 설계된 맬웨어 Malware 배포 수행 가능 공격자가 제어하는 원격 서버에 데이터를 보내기 전 스마트폰, 노트북, IoT 기기와 같은 근처 Wi-Fi 지원 기기에서 디코딩하여 인터넷이 분리된 전산실에서도 정보를 외부로 전달 가능 AIR-FI: Generating Covert Wi-Fi Signals from Air-Gapped Computers 이름으로 논문 발표 https://arxiv.org/abs/2012.06884 논문에서는 AIR-FI 는 에어갭 Air-Gapped 컴퓨터에서 Wi-Fi 관련 하드웨어가 없어도 외부로 정보 전달이 가능 공격자는 DDR SDRAM 버스를 이용하여 2.4GHz Wi-FI 대역에서 전자기 방출을 생성 이 위에 이진 데이터를 인코딩 에어갭 컴퓨터는 네트워크 인터페이스가 없는 시스템 환경을 지칭 데이터 유출 위험을 감소하기 위해 민감한 데이터가 관련된 환경에서는 필수적인 환경 이에 이러한 시스템에 대한 공격을 수행하기 위해서는 전송과 수신 시스템 모두 물리적으로 근접한 위치에 있어야 하며 통신 링크를 설정하기 위해 악성코드에 감염된 상태여야 함 그러나 이번 AIR-FI 는 신호를 생성하기 위해 Wi-Fi 송신기에 의존하지 않고 커널 드라이버, 루트와 같은 특수 권한 혹은 데이터 전송을 위한 하드웨어 리소스에 대한 접속을 유도하지 않음 또한 은밀한 채널은 격리된 가상머신 내에서도 작동 공격자가 해킹에 성공하여 잠재적인 수신가 역할을 할 수 있는 Wi-Fi 지원 장치 목록은 매우 많음 AIR-FI 를 통한 전송을 감지하고 디코딩하여 인터넷을 통해 데이터를 유출할 수 있는 맬웨어를 설치하는 것 이는 Wi-Fi 칩의 펌웨어를 손상시켜 에어갭 네트워크에 함께 배치된 Wi-Fi 지원 기기를 감염하는 것을 목표로 함 이를

0xNews - 밸브 Valve 온라인 게임 내 취약점 발견 Check Point 보안연구팀 발표 https://research.checkpoint.com/2020/game-on-finding-vulnerabilities-in-valves-steam-sockets/ 이번 취약점은 공격자가 원격으로 상대방의 게임 클라이언트를 강제로 충돌 승리를 강요하거나 핵 분노 종료 nuclear rage quit 수행 밸브 Valve 게임 서버 충돌을 통해 게임 완전 종료 가능 또한 공격자는 원격으로 타사 개발자 게임 서버를 장악하여 임의 코드 실행 수행 가능 밸브 Valve 는 게임 소프트웨어 배포 플랫폼인 스팀 Steam 과 하프라이프, 카운터 스트라이크, 팀 포트리스 등 유명한 미국 게임 개발회사이자 유통사 이번 취약점은 네가지 CVE-2020-6016 CVE-2020-6017 CVE-2020-6018 CVE-2020-6019 밸프의 GNG Game Networking Sockets 혹은 게임용 기본 전송 계층 Basic transport layer for games 등을 제공하는 오픈소스 네트워크 라이브러리인 스팀 소켓 라이브러리에서 발견 스팀 소켓 라이브러리는 암호화, 향상된 안전성, P2P peer to peer 통신 지원하는 TCP / UDP 기능 혼합 또한 타사 게임 개발자를 위해 Steamworks SDK 일부로도 제공 스팀 서버와 게이머 시스템에 설치된 클라이언트 모두에서 발견된 취약점 Steamworks SDK 사이트 링크 https://partner.steamgames.com/doc/sdk 이 중 CVE-2020-6016 은 패킷 재조립 메커니즘의 특정 결함 C++의 반복자 구현의 특이한 점은 여러 악성 패킷을 대상 게임 서버로 전송 힙 기반 버퍼 언더플로우를 트리거하여 결과적으로 서버가 중단되거나 충돌 발생 유도 2020년 9월 2일 밸브에 해당 내용 전달 후 9월 17일 게임 클라이언트와 서버에 업데이트 완료 하지만 일부 타사 게임 개발자는 현재까지

0xNews - 다양한 장비의 네트워크 기기에 내장된 TCP/IP 스택에서 취약점 발견 Forescout 보안연구팀 발표 https://www.forescout.com/research-labs/amnesia33/ AMNESIA 33 명명 인터넷에서 일반적으로 사용되는 4개의 오픈소스 TCP/IP 프로토콜 스택(uIP, FNET, pico TCP, Nut/Net 등)에 영향을 미침 이런 오픈소스 TCP/IP 프로토콜은 다양한 IoT 기기, 임베디드 장치와 의료 기기, 산업제어 시스템 등 다양하게 사용 중 Forescout 영상 이번 취약점의 핵심은 부적절한 메모리 관리로 인해 발생 https://kb.cert.org/vuls/id/815128 이를 성공적으로 악용하면 메모리 손상 해당 기기 손상 악성코드 실행 DoS 공격 수행 핵심 정보 탈취 DNS 캐시 포이즈닝 가능 해당 네트워크 취약점을 사용하는 곳이 의료 기관이나 발전소 등이라면 보다 파괴적인 공격과 피해 발생도 가능 이번 취약점은 Black Hat Europe Security Conference 에서 발표 https://www.blackhat.com/eu-20/briefings/schedule/index.html#how-embedded-tcpip-stacks-breed-critical-vulnerabilities-21503 미국 CISSA ICS-CERT 는 이번 취약점 발표 위험성 경고 취약점과 관련된 위협을 완화하기 위한 기본 예방 조치를 식별하기 위한 보안 권고 발표 https://us-cert.cisa.gov/ics/advisories/icsa-20-343-01 연구팀은 이번 취약점을 활용하는 약 158개의 공급업체의 수백만대의 기기가 AMNESIA 33 의 취약점에 노출된 것으로 분석 원격 코드 실행 RCE Remote Code Execution 을 통한 취약점을 가진 기기의 제어를 통해 내부 공격 가능 등 다양한 공격 시나리오 추측 가능 이번 취약점은 영역을 벗어난 메모리 쓰기, 오버플로우 취

0xNews - 아이폰 공격이 가능한 웜 Worm Wi-Fi 익스플로잇 공개 구글 프로젝트 제로팀 발표 https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html 제로 클릭 Zero-Click 으로 명명 원격 공격자가 Wi-Fi 를 통해 주변에 있는 아이폰을 완벽하게 제어 가능한 취약점 공개 Wormable Wi-Fi iOS 에 대한 취약점 모든 사진을 보고 이메일을 읽고 개인 메시지 복사 가능 또한 기기에서 일어나는 모든 일을 실시간 모니터링 가능 CVE-2020-3843 지정 2020년 5월 iOS 13.5 와 macOS Catalina 10.15.5 보안 업데이트로 인해 일부 해결 이번 취약점 관련 애플 보안 업데이트 링크 https://support.apple.com/en-us/HT211170 데모 동영상 1 애플은 원격 공격자가 예기치 않은 시스템 종료 혹은 커널 메모리 손상 유발 가능 확인 더블 프리 문제 double free issue 는 메모리 관리 업데이트로 해결 이번 취약점은 애플이 airdrop, airplay 등에서 사용하기 위해 개발한 네트워크 프로토콜 AWDL Apple Wireless Direct Link 와 관련 Wi-Fi 드라이버의 버퍼 오버 플로우 buffer overflow 오류로 인해 발생 제로 클릭 익스플로잇은 iPhone 11 Pro, Raspberry Pi 등 두 개 다른 Wi-Fi 어댑터로 구성된 설정을 사용 임의의 커널 메모리 읽기와 쓰기를 원격으로 수행 이를 활용하여 커널 메모리에 쉘코드 페이로드 인젝션 사용자 데이터를 확보하기 위해 프로세스의 샌드박스 보호를 벗어나게 됨 공격자는 airdrop BTLE 프레임워크를 대상으로 하여 전화기에 저장된 100개의 무작위로 생성된 연락처 목록에서 연락처의 해시값을 무작위 대입 수행 AWDL 인터페이스 활성화로 인해 AWDL 버퍼 오버플로 발생 기기에 대한 접속 허용 사진, 이메일