openLab

0xNews - iPhone 제로데이 익스플로잇을 사용하여 NSO 그룹 활동 적발 CitizenLab 발표 https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/ 이전에 공개되지 않은 애플 Apple iMessage 의 제로 클릭 zero-click 익스플로잇을 사용 이스라엘 감시 공급업체 NSO 그룹에 의해 iOS 보안 보호를 우회 바레인 활동가 9명 대상으로 감시 활동 적발 이번 발표를 통해 4개의 표적이 LULU 로 추적 바레인 정부로 추정되는 공격자에 의해 해킹된 것으로 파악 이번 익스플로잇 체인을 FORCEDENTRY 로 명명 17개 미디어 조직으로 구성된 컨소시엄의 광범위한 조사를 통해 이번 인권 침해 감시 활동 적발 NSO 그룹의 페가수스는 군사급 스파이웨어로 이를 활용하여 타국가의 장군급, 민간 인권 활동가 등을 감시하기 위해 사용 워싱턴 포스트는 해당 활동에 대한 잠재적인 오용 가능성이 있음을 인지한 후 각 국가 대상 사용자에게 사용 중지 권고와 사용 차단 등을 수행 https://www.washingtonpost.com/world/2021/07/21/shalev-hulio-nso-surveillance/ 이번 공격에 사용된 제로 클릭은 최신 iOS 버전에 대해서도 성공적으로 작동 애플의 iOS 14 에 구축한 BlastDoor 라는 새로운 소프트웨어 보안 기능을 우회 iMessage 를 통해 전송된 신뢰할 수 없는 데이터는 필터링을 통해 침입 방지 가능 구글 Project Zero 에서 BlastDoor 에 대한 발표 사이트 링크 https://googleprojectzero.blogspot.com/2021/01/a-look-at-imessage-in-ios-14.html 메모리에 안전하게 사용할 수 있는 언어라 하는 스위프트 Swift 로 작성된 코드 기반에 고전적인 메모리 손상 취약점을 도입하기 훨씬 더 어려워짐 Blast

0xNews - 리눅스 시스템 공격을 위한 상위 15개 취약점 리스트 트렌드마이크로 발표 https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/linux-threat-report-2021-1h-linux-threats-in-the-cloud-and-security-recommendations 리눅스 Linux 위협 환경에 대한 심층 분석을 위해 허니팟, IoT 센서, 시스템 등에서의 수집한 데이터를 분석 2021년 상반기 리눅스 운영체제에 영향을 미치는 주요 위협과 취약점 분석 리눅스 기반 클라우드 환경은 거의 1,500만건의 맬웨어 이벤트를 탐지 코인 채굴기와 랜섬웨어가 전체 맬웨어의 54% 웹셀은 29% 공격 점유율 기록 같은 기간 동안 10만개의 고유 리눅스 호스트에서 보고된 5천만개 이상 이벤트 분석 알려지지 않은 외부 환경에서 적극적으로 악용되거나 PoC 가 있는 것으로 알려진 15개 취약점 정리 CVE-2017-5638 CVSS score: 10.0 Apache Struts 2 RCE Remote Code Execution 취약점 CVE-2017-9805 CVSS score: 8.1 Apache Struts 2 REST plugin XStream RCE 취약점 CVE-2018-7600 CVSS score: 9.8 Drupal Core RCE 취약점 CVE-2020-14750 CVSS score: 9.8 Oracle WebLogic Server RCE 취약점 CVE-2020-25213  CVSS score: 10.0 WordPress File Manager (wp-file-manager) plugin RCE 취약점 CVE-2020-17496  CVSS score: 9.8 vBulletin 'subwidgetConfig' 인증되지 않은 RCE unauthenticated RCE 취약점 CVE-2020-11651 CVSS score: 9.8 SaltS

0xNews - 중국 스파이 그룹에서 많이 사용하고 있는 ShadowPad 맬웨어 SentinelLabs 발표 https://labs.sentinelone.com/shadowpad-a-masterpiece-of-privately-sold-malware-in-chinese-espionage/ 윈도우용 백도어 ShadowPad 를 통해 2017년 이후 중국 스파이 그룹 5개 이상에서 사용되는 것으로 확인 공격자가 ShadowPad 를 통해서 공격자는 개발이나 유지 관리 비용이 크게 절감 다른 스파이 그룹도 이 ShadowPad 에 대한 접속과 개발 권한을 얻은 후 자체 백도어 개발 중단 일부 미국 보안 회사는 ShadowPad 분석을 통해 현존하는 중국 스파이 웨어 중 판매되는 것 중 최대 걸작으로 평가 2015년 PlugX 의 모듈형 악성코드 플랫폼의 성공으로 인해 다양한 플랫폼형 공격 모듈, 맬웨어 개발 ShadowPad 는 이전 넷사랑, CCleaner, ASUS 등 사용하는 고급 탐지와 지속적인 기술 발전을 통해 스스로 방어 레벨을 올릴 수 있도록 설계 ShadowPad 와 관련된 최근 공격은 홍콩, 인도, 파키스탄과 기타 중앙 아시아 국가의 국가 기관 등을 대상 주로 APT41 에서 공격한 것으로 판단 핵심 공격 임플란트는 Tick, RedEcho, RedFoxtrot, Operation Redbonus, Redkanku, Fishmonger 등으로 명명된 클러스터와 같은 여러 중국 스파이 그룹 사이에 공유되고 사용된 것으로 확인 Fishmonger 배후의 공격자는 현재 이 백도어와 Spyder 라는 또 다른 백도어를 장기 모니터링을 위한 기본 백도어로 사용 FunnySwitch, BIOPASS RAT, Cobalt Strike 등을 포함한 초기 감염을 위한 다른 1단계 백도어를 배포 현재까지 확인 결과 홍콩, 대만, 인도, 미국 등의 COVID-19 연구 중인 대학, 정부 기관, 미디어 회사, 기술 회사, 의료 기관 등을 대상으로 공격 수행 확인 맬웨어

0xNews - Realtek WiFi SDK 취약점으로 인해 수백만개 IoT 기기 영향을 받음 독일 IoT Inspector 발표 https://www.iot-inspector.com/blog/advisory-multiple-issues-realtek-sdk-iot-supply-chain/ 대만 Realtek WiFi 모듈과 함께 제공되는 3개의 SDK 에서 4개의 CVE 취약점 경고 https://www.realtek.com/images/safe-report/Realtek_APRouter_SDK_Advisory-CVE-2021-35392_35395.pdf 현재 확인된 취약점 SDK 리스트 Realtek SDK v2.x Realtek "Jungle" SDK v3.0 / v3.1 / v3.2 / v3.4.x / v3.4T / v3.4T-CT Realtek "Luna" SDK v1.3.2 이하 버전 이를 통해 공격자가 대상 기기를 완전히 손상시키고 최고 수준의 권한으로 임의 코드 실행하기 위해 악용 가능 확인된 4개의 CVE 리스트 CVE-2021-35392 - CVSS 8.1 SSDP NOTIFY 메시지의 안전하지 않은 제작으로 인한 'WiFi Simple Config' 서버의 힙 버퍼 오버플로 Heap buffer overflow 취약점 CVE-2021-35393 - CVSS 8.1 UPnP SUBSCRIBE/UNSUBSCRIBE 콜백 헤더의 안전하지 않은 구문 분석으로 인한 'WiFi Simple Config' 서버의 스택 버퍼 오버플로 Stack buffer overflow 취약점 CVE-2021-35394 - CVSS 9.8 'UDPServer' MP 도구의 다중 버퍼 오버플로 Multiple buffer overflow 취약점와 임의 명령 주입 command injection 취약점 CVE-2021-35395 - CVSS 9.8 일부 지나치게 긴 매개변수의 안전하지 않은 복

0xNews - 증폭 DDoS 공격을 통해 방화벽과 미들박스 무력화 가능 메릴랜드 대학교, 콜로라도 대학교, 볼더 대학교 등 연계 그룹에서 USENIX 보안 심포지움에서 발표 https://www.usenix.org/conference/usenixsecurity21/presentation/bock 미들박스와 검증 인프라에서 TCP 프로토콜의 약점을 통해 모든 대상에 대한 반사 reflected DoS 의 증폭 amplification 가능한 백터를 통해 무기화 이용 가능 확인 연구팀 발표 상세 사이트 링크 https://geneva.cs.umd.edu/posts/usenix21-weaponizing-censors/ 연구팀은 볼류메트릭 volumetric 공격이라 명명 방화벽, 침입 방지 시스템, 딥 패킷과 같은 TCP 비준수 네트워크 내 미들박스를 활용 검사 상자 DPI deep packet inspection 수십만개의 IP 주소가 DNS, NTP, Memcached 를 능가하는 증폭 공격 요소로 활용되어 네트워크 트래픽을 증폭 시킴 이번 연구는 USENIX 에서 Distinguished Paper Award 수상 미들박스 구성 요소의 오류를 공격자가 악용하여 TCP 프로토콜을 통해 DDoS 반사 증폭 공격을 수행하는 기술에 대해 기술한 최초의 기술 반사 증폭 공격은 Reflected amplification attacks 공격자가 넘쳐나는 패킷으로 대상 서버나 네트워크를 압도하기 위해 잘못 구성된 개방형 서버에 대한 스푸핑된 요청으로 UDP 프로토콜의 연결없는 특성을 활용 서버와 해당 서버를 중단시키거나 렌더링하는 DoS 공격 유형 일반적으로 취약한 서비스의 응답이 스푸핑된 요청보다 클 때 발생 이러한 요청을 활용하여 수천개의 요청을 보내 대상에서 발생된 크기와 대역폭을 크게 확대할 수 있음 US-Cert 의 증폭 DoS 위협에 대한 경고 https://us-cert.cisa.gov/ncas/alerts/TA14-017A DoS 증폭은 IP 기반 네트워크

0xNews - LED 전원 표시기에서의 기기 소리를 통해 정보 복구 이스라엘 벤 구리온 대학 연구팀 발표 https://www.nassiben.com/glowworm-attack Glowworm 공격이라 명명 도청자가 광학 분석을 통해 소리를 복구하는데 사용할 수 있는 광학 tempest 공격 기기의 전원 표시기에서 다양한 정보를 출력하는 LED 를 통해 얻은 측정값을 통해 정보 탈취 가능 연구팀은 실험 설정과 함께 제공되는 광학 오디오 변환 OAT Optical-Audio Transformation 는 기기의 전원 표시기 LED 에서 전기 광학 센서를 지시하여 얻은 광학 측정에서 음성을 분리하여 소리를 검색할 수 있음 tempest 는 전자, 전자기계 정보 처리 기기에서 생성되는 의도하지 않은 정보를 포함하는 방출의 코드명 Glowworm 은 2020년 동일한 연구팀이 시연한 Lamphone 라는 유사한 공격을 기반으로 하며 머리 위에 매달려 있는 전구가 포함된 피해자의 방에서 소리를 복구할 수 있음 위 두 방법 모두 전기 광학 센서를 통해 빛에서 소리를 검색 Lamphone 공격은 음파가 전구를 때리는 결과인 전구의 미세한 진동을 이용하는 사이드채널 공격 Glowworm 은 전기 회로가 설계된 방식을 이용하는 tempest 공격 스피커에서 재생되는 음향 정보에 응답하여 움직이지 않은 USB 허브 스풀리터와 같은 기기에서 사운드 복구 가능 공격의 성공 여부는 연결된 스피커에서 재생되는 소리와 LED 전원 표시기의 강도 사이의 광학적 상관 관계에 달려 있음 이는 전원 라인에 직접 연결될 뿐만 아니라 기기의 LED 전원 표시기의 강도가 스피커에 의해 영향을 받음 복구된 사운드의 품질은 도청자가 사용하는 기기의 품질에 비례함 실제 테스트 시나리오에서의 위협 모델은 Zoom, Google Meet, MS Teams 와 같은 기상 회의 플랫폼에서 참가자가 생성한 방을 목표로 하고 공격자는 인접한 건물의 방에 위치하여 공격할 수 있도록 함 스피커의 LED 전원 표시등

0xNews - Cloud DNS 서비스 버그로 인해 DNS 트래픽 감시 경고 인프라 보안 회사 Wiz 발표 https://www.wiz.io/blog/black-hat-2021-dns-loophole-makes-nation-state-level-spying-as-easy-as-registering-a-domain 이번 발표는 올해 Black Hat USA 2021 보안 컨퍼런스에서 발표 발표 https://www.blackhat.com/us-21/briefings/schedule/#a-new-class-of-dns-vulnerabilities-affecting-many-dns-as-service-platforms-23563 아마존, 구글과 같은 관리형 DNS 제공업체를 통과하는 전 세계 동적 DNS 트래픽의 일부를 가로챌 수 있는 취약점 발견 해당 취약점을 통해 다음 정보를 취합할 수 있음 내부와 외부 IP 주소 컴퓨터 이름 직원 이름과 위치 조직의 웹 도메인에 대한 세부 정보  내부 네트워크 트래픽에서 유출된 트래픽은 공격자가 공격을 성공하기 위해 필요한 정보를 제공 얻게된 정보를 취합하면 회사, 조직, 공공 기관, 정부 등에서 나온 정보도 얻을 수 있는 것으로 확인 악용하기 위한 프로세스의 핵심은 DNS 네임서버와 동일한 이름으로 아마존 Amazon Route53 DNS 서비스 혹은 구글 Google Cloud DNS 도메인에 등록하는 것 IP주소와 클라우드의 테넌트 Tenant 간 격리를 효과적으로 해제하여 핵심 정보에 접근할 수 있는 기본적인 시나리오 구축 즉, 동일한 이름으로 AWS 네임 서버 내부 Route53 플랫폼에 새로운 도메인을 생성 호스팅 영역이 내부 네트워크를 가르키도록 함으로써 Route53 고객 엔드포인트의 동적 DNS 트래픽이 하이재킹 Hijacking 악의적으로 생성된 공격자 네임 서버와 동일한 이름의 서버 정보에 대한 네트워크 맵핑을 통해 정보 탈취 가능 연구팀은 이번 취약점 확인을 위해 동적 DNS 트래픽에서 포츈 500대 기

0xNews - 수백만개 라우터에 영향을 미치는 새로운 인증 우회 버그 발견 Tanable 발표 https://www.tenable.com/security/research/tra-2021-13 CVE-2021-20090 지정 CVSS 9.9 웹 인터페이스의 경로 탐색 path traversal 취약점 arcadyan, ASUS, Buffalo 등 라우터 펌웨어에서 해당 취약점 확인 라우터 펌웨어 분석 사이트 링크 https://medium.com/tenable-techblog/bypassing-authentication-on-arcadyan-routers-with-cve-2021-20090-and-rooting-some-buffalo-ea1dd30980c2 미라이 Mirai 변종 봇넷을 사용하려는 공격자들이 보다 다양한 DDoS 공격 등을 수행하기 위해 홈 라우터를 하이재킹 후 악용 중 8월 3일 Tenable 에 의해 해당 취약점 공개 Asus, Beeline, British Telecom, Buffalo 등이 포함된 17개 공급업체의 최소 20개 모델이 영향을 받음 최소 10년 동안 판매된 모델과 제품이 이번 취약점에 노출 공격자가 취약점을 성공적으로 악용하면 인증 장벽을 우회 이후 라우터 설정 변경을 요청하는데 사용하는 유효한 토큰 요청을 포함한 민감 정보에 접근 가능 Juniper Threat Labs 발표 중국 후베이성 우한에 위치한 IP 주소에서 이번 취약점을 악용한 공격 패턴 식별 확인 https://blogs.juniper.net/en-us/security/freshly-disclosed-vulnerability-cve-2021-20090-exploited-in-the-wild 추적 결과 영향을 받는 라우터는 2021년 3월 초 Palo Alto Networks 의 Unit42 에서 공개한 기술을 이용 https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/ CVE-2021-2

0xNews - MS IIS 서버 대상 ASP.NET 익스플로잇 공격 경고 Sygnia 발표 https://www.sygnia.co/praying-mantis-targeted-apt Praying Mantis 혹은 TG2021 이라는 이름의 APT 공격 그룹이 수행하는 것으로 분석 미국 주요 공공기관이나 민간 기관을 대상으로 인터넷에 연결된 MS IIS 서버 공격 경고 MS IIS 서버 공격을 통해 네트워크에 침투하여 사이버 침입 공격 수행 해당 공격 그룹은 IIS 서버를 대상을 위한 맞춤 제작된 공통 코어를 중심으로 구축된 맞춤형 악성 코드 프레임워크 사용 이 공격도구는 완전 휘발성이며 영향을 받는 시스템의 메모리에 반사적으로 로드 감염된 대상에 거의 흔적을 남기지 않음 또한 추가적으로 은밀한 백도어와 여러 사후 악용 모듈을 사용 네트워크 스캔이나 권한 상승, 네트워크 사이드 이동을 통한 추가 공격 경로 확보 수행 로그인 메커니즘을 적극적으로 방해하여 상업용 EDR Endpoint Detection and Response 시스템을 성공적으로 회피 탐지를 피하기 위한 노력과 결과를 통해 ASP.NET 웹 애플리케이션 서버 공격 수행 공격 성공 후 서버에서 수신한 HTTP 요청 탈취나 임의 처리 사용자 지정 DLL 을 로드하도록 설계된 NodellSWeb 이라는 정교한 임플란트 실행 서버 초기 시작 프로그램이나 백도어를 차단 현재까지 분석 결과 다음 취약점 이용 CVE-2021-27852 - Checkbox Survey RCE Exploit VIEWSTATE 역직렬화 Deserialization 익스플로잇  Alteserialization 불안전한 역직렬화  CVE-2019-18935 CVE-2017-11317 등의 Telerik-UI 익스플로잇 미국 서부 주요 시장 두 곳에서 공공과 민간 기관 대상 표적 공격이 수행된 것을 확인하여 이번 공격 캠페인 존재 확인 지속적인 포렌식 활동과 사고 대응은 유사한 공격자의 공격을 식별하고 효과적으로 방어하는데 필수