2017년 5월 사이버 보안 이슈 모음

2017년 5월 정기 사이버 보안 세미나 월간 보안 이슈 모음

1. 구글 플레이 스토어에 가이드앱으로 위장한, 악성코드 배포 앱 발견
CheckPoint 보안연구원 발표
포켓몬고, Fifa Moblie 등 유명 게임의 가이드앱으로 위장
앱 내부에 개인정보 유출 혹은 DDoS 의 일종의 좀비스마트폰 가능성도 경고

https://www.cirt.gov.bd/new-android-malware-infected-2-mil…/
http://blog.checkpoint.com/…/falaseguide-misleads-users-go…/

2. 해지라는 이름의 IoT botnet 발견
kasperskylab 발표
IoT botnet 발견
Mirai botnet 과 같은 공격형 멀웨어
다른 botnet 과 다른 점은 멀웨어가 설치된 IoT 기기를 보호
외부 공격 형태나 정보수집 등의 행위가 발견되지 않음
하지만 이후 공격이 가능할 수 있으니 충분한 주의가 필요

https://www.linkedin.com/…/hajime-vigilante-botnet-growing-…

3. 애플 ID를 노리는 새로운 멀웨어 발견

McAfeeLab 발표
2016년 애플 Mac 컴퓨터에 대한 멀웨어 공격 744% 증가
https://www.mcafee.com/…/…/rp-quarterly-threats-mar-2017.pdf

CheckPoint Malware Research 발표
MacOS X 의 모든 버전에 영향을 미침
VirusTotal 에 대한 탐지가 전혀 없음
애플에서 발급된 전자 서명 Mc 멀웨어 발견
DOK 라는 이름의 멀웨어 발견
MacOS 사용자 대상으로 하는 최초의 대규모 멀웨어

https://www.linkedin.com/…/new-macos-malware-signed-legit-a…

4. 기존 포트를 사용하는 앱에 대한 모의해킹 테스트
미국 미시건 대학교 발표
구글 플레이 스토어에 등록된 앱을 대상으로 보안 테스트 진행
기존에 알려진 포트를 그대로 이용하는 앱에 대해 모의해킹 테스트를 진행
구글 플레이 스토어 앱에 임의로 악성코드 삽입 후,
동일 네트워크에 있고 동일 앱을 사용하는 다른 기기에 대한 공격 및 접속은 쉽다는 것을 입증

모의해킹 테스트에 대한 유튜브 동영상
앱의 열린 포트를 사용하는 기기에서의 사진 도용
https://youtu.be/9rcQfX5U_T0
네트워크 공격
https://youtu.be/7T7FBuCFM6A
http://securityaffairs.co/…/ha…/open-port-attack-mobile.html

5. 2010년 이후 판매된 인텔 서버용 제품의 칩셋에 대한 원격 접속 취약점 발견
Embedi 연구팀에서 발표
인텔에서 제공하는 AMT 기능에서 원격 관리 부분에 취약점 발견
CVE-2017-5689
일종의 권한상승의 버그를 이용한 취약점
전원이 끊긴 PC, 랩탑 등에도 공격 성공

https://www.theregister.co.uk/…/01/intel_amt_me_vulnerabil…/

인텔 공식 홈페이지에 관련 제품 정보 공개
https://security-center.intel.com/advisory.aspx…

6. SS7 설계 결함을 악용해서 은행 계좌의 강제 유출 가능성 경고
SS7 Signaling System 7 이란
1980년대 텔코 telcos 라는 곳에서 만듬
AT&T, 버라이즌 등 세계 800여곳 텔레콤 사업자들이 사용 중
텍스트, 로밍, 기타 서비스의 상호 연결 및 데이터 교환을 지원
금융권 대상, 2팩터 인증(OTP 등)에 사용
2014년부터 꾸준히 문제점 지적 및 관련 공격 영상 발표

금융권 OTP 서비스의 SS7 의 취약점 악용한 시나리오 확인
https://www.theregister.co.uk/…/03/hackers_fire_up_ss7_flaw/

OTP MITM 공격이기 때문에 현재 관련 대책이 없음

https://safeum.com/…/2498-ss7-attack-hackers-are-stealing-m…

7. MS 윈도우 멀웨어 스캐너에서 RCE 취약점 발견
Google Project Zero 보안연구원 Tavis Ormandy 발표
CVE-2017-0290
PoC 관련 정보
https://bugs.chromium.org/p/project-zero/issues/detail…
MS 에서 제공해주는 백신 프로그램 내 취약점이 있기 때문에 파급력은 더 클 수 있음
위험 소프트웨어
Windows Defender
Windows Intune Endpoint Protection
Microsoft Security Essentials
Microsoft System Center Endpoint Protection
Microsoft Forefront Security for SharePoint
Microsoft Endpoint Protection
Microsoft Forefront Endpoint Protection

MS 에서는 긴급 상황임을 판단하고 관련 경고 후 3일만에 패치 발표 및 배포

이번 취약점의 핵심은 MSmpeng

MS 홈페이지에서 해당 패치 관련 정보
https://technet.microsoft.com/…/libra…/security/4022344.aspx
https://www.linkedin.com/…/microsoft-issues-emergency-patch…

8. MS 에서 4개에 대한 0day 취약점 관련 패치 진행
CVE-2017-0261
Fireeye 발표
MS office 의 EPS 이미지 파일 처리 부분의 취약점을 악용
MS office 2010, 2013, 2016 등에 영향을 미침

CVE-2017-0262
Fireeye와 ESET 발표
CVE-2017-0261 와 내용은 비슷

CVE-2017-0263
MS 윈도우 OS 의 모든 버전에서 동일하게 있는 권한 상승 취약점
윈도우 커널 모드 드라이버 부분에 대한 취약점 공격

CVE-2017-0222
MS IE10, IE11 이 영향을 받음
메모리 개체를 처리하는 방식에서 문제 발생

그 외 다수 CVE 및 adobe flash player 관련 패치 진행

https://www.cyberscoop.com/microsoft-patch-zero-day-office…/

9. 위키리크스에서 공개된 CIA 내부 문서 분석 중 CISCO 0day 취약점 공개
CISCO 전용 프로토콜 중 하나인 CMP 라는 이름의 프로토콜을 이용한 정보 취득 확인
CISCO 홈페이지에서 해당 모델 확인 및 관련 패치 진행 중
https://tools.cisco.com/…/CiscoSecuri…/cisco-sa-20170317-cmp
http://www.cyberinject.com/cisco-finally-patches-0-day-exp…/

10. HP 랩탑에서 키로거 발견
스위스 보안회사 ModZero 발표
HP 오디오 드라이버에서 내장된 키로거 발견
ModZero 에서는 해당 키로거가 작동되는 랩탑 모델 공개
https://www.modzero.ch/advi…/MZ-17-01-Conexant-Keylogger.txt
해당 오디오 드라이버를 사용하는 랩탑을 HP 에서도 공개
http://ftp.hp.com/pub/softpaq/sp80001-80500/sp80264.html
CVE-2017-8360
사람이 읽을 수 있는 텍스트 형태로 저장
악용하면 충분히 위협적일 수 있음

해당 오디오 드라이버의 문제가 아닌, HW 칩셋의 문제
동일 제품이 랩탑이 아닌 다른 기기에서 사용된다면 역시 동일한 문제 발생 가능성 충분

http://www.zdnet.com/…/keylogger-found-on-several-hp-lapto…/

11. 중국 OnePlus 의 4가지 취약점 공개
17년 1월 HCL Technologies 에서 Aleph Research 발표
해당 문제점은 90일 기업 책임 기간 및 추가 14일 포함 해결하지 못했기에 모두 공개
중국 스마트폰 기기 제조업체 OnePlus 에서 제작된 모든 스마트폰
최신버전 OxygenOS 4.1.3 글로벌 버전 및 그 이하 버전
HydrogenOS 3.0 이하 only China

CVE-2016-10370
HTTP를 통한 OnePlus OTA 업데이트
해커가 MitM 공격을 수행함으로써 악성코드가 담긴 파일을 업데이트 할 수 있게 유도할 수 있음

CVE-2017-5948
OnePlus OTA 다운그레이드 공격
버전 업데이트가 아닌 기기의 강제 다운그레이드
테스트 동영상
https://youtu.be/DnHwPQnv3N0

CVE-2017-8850
각기 다른 OS 의 크로스 오버 업데이트
OxygenOS 와 HydrogenOS 라는 이름으로 OnePlus 에서 각각 다른 OS 를 사용 
하지만 해당 OS 가 아님에도 강제로 다른 OS 업데이트 가능

CVE-2017-8851
위에서 언급한, 8850 과 비슷
OnePlus OTA One 과 X 크로스 오버 공격

해당 취약점을 발표한 곳에서 해당 업체에서의 보안 대응을 하지 않았기에
관련 정보를 모두 공개하기로 결정
https://github.com/alephsecuri…/research/…/master/OnePlusOTA

https://www.linkedin.com/…/all-oneplus-devices-vulnerable-r…

12. Google Chrome 를 이용해서 윈도우 비밀번호를 훔칠 수 있다?!
DefenseCode의 Bosko Stankovic 연구원 발표
윈도우 바로가기 파일을 응용
윈도우 최신버전(패치 포함)과 크롬 최신버전이라 해도 공격 가능성 입증

https://www.linkedin.com/…/beware-hackers-can-steal-your-wi…

13. netgear 분석 데이터 수집을 위해 펌웨어 업데이트 진행 예정
현재 무선 라우터 NightHawk R7000 에서 수행 중
넷기어에서 주장하는 정보 수집하는 것들
라우터에 연결된 총 기기의 수
IP 주소 / MAC 주소 / 일련번호(Serial Number)
라우터의 실행 상태 / 연결 유형 / LAN or WAN 상태 / Wi-Fi 대역과 채널
라우터 및 Wi-Fi 네트워크의 사용 및 기능에 대한 기술적인 세부 정보
넷기어 공식 사이트에서도 정보 수집할 것임을 알림
https://kb.netgear.com/…/What-router-analytics-data-is-coll…
http://www.networkworld.com/…/netgear-added-data-collection…

14. samba 에서 7년 동안 사용된 코드에서 취약점 발견
CVE-2017-7494
2010.03.01. 에 릴리즈 된, Samba 3.5.0 이상 모든 samba 버전이 취약점 대상
NAS 에서도 samba 를 이용하고 있기에 업데이트 및 패치는 필수
해당 취약점을 이용해서 랜섬웨어 워너크라이 wannacry 에서 사용하는 이터널블루 eternalblue 에서도 악용 가능성 높음

https://www.linkedin.com/…/7-year-old-samba-flaw-lets-hacke…

15. 전혀 새로운 안드로이드 공격 기법 발견
조지아 공대 보안연구팀 발표
안드로이드 모든 버전(7.1.2 이하)에서 작동하는 새로운 공격 기법 발견
'Cloak & Dagger' 라는 이름의 새로운 공격
연구팀 자체에서 확인된 공격 시나리오
고급 클릭 재킹 공격 Advanced clickjacking attack
무제한 키 스트로크 녹음 Unconstrained keystroke recording
은밀한 피싱 공격 Stealthy phishing attack
신 모드 앱의 자동 설치 Silent installation of a God-mode app (with all permissions enabled)
자동 전화 잠금 해제 및 임의 조치 Silent phone unlocking and arbitrary actions (while keeping the screen off)

시연 동영상
https://youtu.be/NceNhsu87iA
https://youtu.be/RYQ1i03OVpI
https://youtu.be/oGKYHavKZ24

http://cyberops.in/beware-versions-android-vulnerable-extr…/

사이버 보안 센터 왕은석님 자료