openLab

0xNews - MS Azure 2.4TBps DDoS 공격 차단 발표 MS Azure 발표 https://azure.microsoft.com/en-us/blog/business-as-usual-for-azure-customers-despite-24-tbps-ddos-attack/ 8월 마지막 주에 2.4TBps DDoS 공격 차단 발표 2020년 2월 AWS 에서 2.3TBps 공격에 의해 서비스 중지된 경우를 의식해 공개 발표 https://aws.amazon.com/ko/blogs/security/aws-shield-threat-landscape-report-now-available/ 게시물을 통한 UDP 반사 Reflection 가 마지막 10분 동안 발생 애저 Azure 에서 이전 모든 네트워크 볼륨 이벤트보다 140% 증가 2020년 1TBps DDoS 공격 발생 반사 증폭 Reflected amplification 공격은 DoS 공격 중 하나 공격자가 스푸핑된 요청으로 UDP 프로토콜의 연결 없는 특성을 이용 대량의 패킷으로 대상 서버나 네트워크를 압도 서버나 해당 네트워크를 중단시키거나 주변 인프라를 사용할 수 없도록 함 미국, 말레이시아, 베트남, 대만, 일본, 중국 등 아시아 태평양 지역에 주로 위치한 약 7만대의 침해된 기기 봇넷에서 공격이 시작된 것으로 분석 MS 는 3개의 단기 버스트 short-lived bursts 관찰 처음은 2.4TBps, 두번째는 0.55TBps, 세번째는 1.7TBps 로 초단위로 테라비트 볼륨으로 증가 이런 공격은 그 어느떄보다 지속적으로 애플리케이션을 오프라인으로 전환하는 방법을 모색하는 중 이런 규모 있는 공격은 공격자가 혼란을 유발할 수 있는 능력을 보여주기 위한 가장 쉬운 방법 중 하나로 점차 공격을 증가할 것으로 전망

0xNews - 이더넷 케이블을 통한 데이터 탈취 연구 시나리오 발표 이스라엘 Ben Gurion 대학교 발표 https://arxiv.org/pdf/2110.00104.pdf 이더넷 케이블을 전송 안테나로 사용하여 Air-Gapped 시스템에서 민감 정보 탈취 가능 확인 LANtenna Attack 로 명명 에어갭 컴퓨터의 악성 코드가 민감한 데이터를 축적 이더넷 케이블이 마치 안테나인 것처럼 활용하여 케이블에서 흘러나오는 전파를 통해 인코딩할 수 있도록 함 전송된 신호는 무선으로 근처의 SDR Software-Defined Radio 수신기에 의해 수집 혹은 저장 데이터가 디코딩되어 인접한 방이나 지역에 있는 공격자에게 전달 악성코드는 일반 사용자 모드 프로세스에서 실행될 수 있으며 가상 머신 내에서도 성공적으로 작동시킴으로써 가상머신의 호스트에 영향을 줄 수 있음 에어갭 네트워크는 하나 이상의 컴퓨터가 인터넷이나 근거리 통신망과 같은 다른 네트워크에서 물리적으로 격리되도록 환경이 구성 정보 유출이나 기타 사이버 위협을 최소화하기 위한 네트워크 보안 조치로 설계 이러한 네트워크의 일부인 컴퓨터에는 무선 네트워크 인터페이스가 영구적으로 비활성화되거나 물리적으로 제거되기 때문에 기본적으로 유선을 통한 통신 연결 LANtenna 공격은 에어갭 워크스테이션의 악성 코드를 사용하여 이더넷 케이블이 125MHz 주파수 대역에서 전자기 방출을 생성하도록 유도한 다음 변조 이후 근처의 무선 수신기에 의해 가로채어 작동 개념 증명 PoC 데모에서 이더넷 케이블을 통해 에어갭 컴퓨터에서 전송된 데이터는 200cm 떨어진 거리에서 수신된 것으로 확인 이러한 공격에 대한 대책으로 에어갭 네트워크와 그 주변에서 무선 수신기 사용을 금지 모든 은밀한 채널에 대한 네트워크 인터페이스 카드 링크 레이어 활동에 대한 모니터링과 신호를 재밍 금속 차폐를 사용하여 간섭하는 전자기장을 제한하여야 함 이번 연구는 공격자가 이더넷 케이블을 악용하여 에어갭 네트워크에서 데이터를 유출할 수 있음을

0xNews - 아파치 인스턴스의 버그로 인해 자격 증명 누출 Intezer 발표 https://www.intezer.com/blog/cloud-security/misconfigured-airflows-leak-credentials/ 아파치 Apache Airflow 인스턴스의 이전 버전에서 잘못된 환경 구성 발견 이로 인해 AWS, Bianace, Google GCP 등과 같은 유명한 플랫폼과 PayPay, Slack, Stripe 등에서 자격 증명 노출 보안되지 않은 인스턴스는 미디어, 금융, 제조업, IT, 생명공학, 헬스, 에너지 등 다양한 산업 전반에 걸쳐 이를 사용한 기업의 민감한 정보가 노출된 것으로 확인 Apache Airflow 는 2015년 6월 처음 출시 AWSA, GCP, MS Azure 와 기타 타사 서비스에서 워크플로를 프로그래밍 방식으로 예약하고 모니터링할 수 있는 오픈소스 워크플로 관리 플랫폼 Luigi, Kubeflow, MLflow 가 뒤를 잇는 가장 인기 있는 작업 오케스트레이션 도구 중 하나 이번에 발견된 버그는 일반적으로 안전하지 않은 코딩 관행에서 비롯된 Python DAG 코드 혹은 변수에 하드코딩된 데이터베이스 암호 사용, Airflow 연결 시 추가 필드에 일반 텍스트 자격 증명, 구성 파일 - airflow.cfg 에 일반 텍스트 키 사용 등이 포함 잘못 구성된 Airflow 인스턴스와 관련된 주요 우려 사항 중 하나는 위협 행위자가 계정이나 데이터베이스에 대한 접속 권한을 얻기 위해 악용할 수 있는 자격 증명이 노출 이를 통해 데이터 접속을 통한 정보 노출로 이어져 사이드 접속을 통한 추가적인 데이터 유출이 발생 가능 많은 수의 암호가 표시되면 위협 행위자가 이 데이터를 사용하여 패턴과 일반적인 단어를 탐지하여 다른 암호를 유추 가능 이것은 다른 플랫폼에 대한 사전 조사나 무차별 대입 공격에 활용 가능 더욱 우려되는 점은 무단 코드가 포함된 다른 이미지를 가리키도록 컨테이너 이미지 변수를 수정하기 위해 변수 기능

0xNews - 잠긴 아이폰에서 애플페이를 악용하여 비접촉식 결제 가능 확인 버밍엄 대학교와 서리 대학교 공동 연구 그룹에서 발표 https://practical_emv.gitlab.io/ 공격자가 아이폰의 지갑 기능에 설정된 Exporess Travel 모드를 이용 잠김 아이폰에서 무단 비자 결제를 악용할 수 있는 애플페이 Apple Pay의 패치 되지 않은 취약점 공개 이를 위해 공격자는 도난 당한 아이폰만 있으면 공격 수행 가능 혹은 누군가의 가방에 들어있는 아이폰에서 자신도 모르게 거래 기능 수행 가능 공격자는 판매자의 도움이 필요하지 않으며 백엔드 사기 탐지 검사에서 테스트 지불이 중단되지 않음을 확인 데모 동영상 Exporess Travel 모드는 아이폰이나 애플와치 Apple Watch 사용자가 기기를 깨우거나 잠금 해제, 앱을 열거나 FaceID, TouchID 혹은 암호를 확인하지 않고도 대중 교통에 대해 비접촉식으로 빠르게 결제할 수 있는 기능 EMV 리더에게 불법적으로 지불하기 위해 잠금 화면을 우회하는 것을 포함하는 메시지 가로채기(Man in the Middle) 재생과 릴레이 공격은 애플페이와 비자 시스템의 취약점이 결합되어 가능 예를 들어 애플페이의 마스터카드나 삼성페이의 비자카드에는 영향을 미치지 않음 작동 방식은 피해자의 아이폰과 통신하는 EMV 카드 판독기 역할을 하는 Proxmark 기기와 카드 애뮬레이터로 작동하는 NFC 지원 안드로이드앱을 사용 신호를 결제 단말기에 전달함으로써 환승 게이트 거래를 모방함으로서 작동 특히 애플페이의 잠금을 해제하기 위해 환승 게이트에서 브로드캐스트하는 고유코드(Magic Bytes)를 활용 바이트 시퀸스를 재생하여 애플기기가 속아서 마치 거래가 시작된 것처럼 가짜 거래를 승인하는 시나리오를 만듬 실제로는 공격자의 통제하에 있는 비접촉 결제 단말기를 통해 트리거 동시에 EMV 리더도 기기 내 사용자 인증이 수행된 것으로 믿도록 속여서 아이폰 사용자가 모르게 금액을 지불 애플과 비자는 각각 20