안녕하세요, 시원포럼입니다.

시원포럼은 대학생 회원들에게 자신의 지식을 공유하고 발표할 수 있는 자리를 만들어 청소년 회원들의 정보 보안 분야의 입문을 돕기 위해 만들어진 포럼입니다.

포럼은 2014년 11월을 시작으로, 상반기와 하반기에 정기적으로 개최되오니, 많은 관심과 참여 부탁드립니다.

현재는 발표의 영역을 청소년들에게도 확장하였으며,

보안에 관심이 있는 모든 사람이 함께 만들고 이끌어가는 모임으로 발전되었습니다.

지방의 보안사업 발전에 같이 힘써주실 분들의 연락도 항상 기다리고 있습니다.

시원포럼은 대학생 회원들에게 자신의 지식을 공유하고 발표할 수 있는 자리를 만들어 청소년 회원들의 정보 보안 분야의 입문을 돕기 위해 만들어진 포럼입니다.

========================

사전신청 : 페이스북 페이지 피드를 통해

Q. 시원포럼이 뭐에요? ヽ( ᐛ )ノ

시원포럼은 ‘영남의 중심에서 보안을 외치다’를 모토로 대학생과 청소년들이 보안 관련 지식을 공유하고 보안에 관해 소통할 수 있는 네트워크를 구축하기 위해 설립되었습니다.

Q. 시원포럼은 어디서 진행 하게 되나요? ( ˃̵⌓˂̵)

시원포럼은 기존 정보보안 행사가 수도권에 집중돼 있어 지방에 거주하는 학생들의 참여가 어렵다는 점을 고려해 2014년 1회 공개 세미나를 시작으로, 16회 동계 시원포럼 세미나까지 상반기와 하반기로 나누어서 지속적으로 "영남권"에서 행사를 주최 및 운영하고 있습니다.

Q. 발표는 어떻게 하나요? ٩(ˊᗜˋ)و

초기에는 보안에 관심이 있는 대학생 위주의 발표에서 청소년들에게 발표의 기회를 확장했으며 현재는 보안에 관심이 있는 누구나 지원하실 수 있습니다.

발표지원은 발표자 모집시기에 시원포럼 페이지 메시지로 CFP(Call for papers)를 제출하여 지원하실 수 있습니다.

제출된 CFP는 주제 ,내용,중복도 등으로 검토하며

"공정한" 심사를 통하여 발표주제로 선정됩니다.

온라인으로 유출된 1.3 만명의 클럽하우스 사용자 개인 데이터가 공개되었다.

최근 코로나 19로 인한 언택트시대의 초래와 재택근무가 장기화되고 있다.

이에 따라 관련된 사이버 범죄는 비약적으로 증가하고 있는 추세이다. 

링크드인과 페이스북이 빗스한 유출 피핼르 본지 며칠 만에 13만 클럽하우스 이용자들의 개인정보가 담긴 SQL 데이터 베이스가 온라인을 통해 유출되었다.

유출된 정보에는 클럽하우스 사용자의 식별 ID와 이름 , 사용자명, 트위터 정보, 인스타그램 정보, 팔로워 수, 팔로잉 수, 및 사용자 인원수, 계정 생성일, 사용자 프로필 정보 등이 포함되어 있다.

현재 클럽하우스는 노출된 데이터의 진위 여부를 아직 확인하지 못하였다.

유출된 데이터는 국가지원 해커들 및 악의적인 목적을 가진 공격자들이 피싱과, 도용 , 사기등의 활동을 수행하기 위해 악용될 위험성이 있다.

또한 관련 사건이 발생하기 전 2월 클럽하우스가 안전하지 않다는 정보가 돌았으며, 막을 수 있었던 유출 사건이 아니였나? 사료된다. 

클럽하우스느 2020년 3월 출시한 초청 전용 소셜미디어 앱으로, 다양한 주제에 대해, 오디오로 이야기하며 대화 할 수 있다. 이 앱이 선풍적인 인길르 끌고 있으며, 이 회사의 가치를 수십억으로 평가하기도 했다.

이번 유출 사건으로 Clubhouse 사용자는 다음과 같은 간단한 권장사항을 따라야 한다.

• 모르는 사람에게서 수상한 클럽하우스 메시지와 연결 요청을 주의해야 한다.
• 모든 온라인 계정에서 2단계 인증(2FA)을 활성화해야 한다.
• 각 웹 서비스에 대해 강력하고 고유한 암호를 사용하면 암호 관리자가 도움을 줄 수 있다.
• 정보를 제공하도록 요청하는 잠재적인 피싱 메시지에 주의해야 한다.

securityaffairs.co/wordpress/116655/data-breach/clubhouse-data-leak.html?utm_source=feedly&utm_medium=rss&utm_campaign=clubhouse-data-leak&fbclid=IwAR2ns5keKDFETlnMOAqNTWeM7Skm_NIrLcgssfxF0V5r3EqL3cBvzsVA7no

www.kaggle.com/johntukey/clubhouse-dataset?fbclid=IwAR36USLETJxb3P4IKrNafOnO9DJNT0xNotZFZ0CerqldoWeP3OL7WHpqO_U

유포지 : 블랙마켓인 raids Forum

raidforums.com/Thread-Clubhouse-Scraped-Data-Leaked-Download?fbclid=IwAR3LyrfeFYA2CElmSE_-MXJWT7mG3u3dQIKMWDXESkFLex-8v6kNFsehke4

- 미국은 2015년 법 제정해 해킹 피해사실과 수법, 예방조치 공개하고 있어

- 미 법무부가 기소한 北해커 사건 역시 배후와 수법 신속하게 공개해 추가 피해 막아

- 국정원, 북한 포함한 해킹 매일 158만건 발생한다 보고하고도 해킹수법은 공개 거부

① 美 포함 전 세계 대상 해킹 공격의 배후는 “북한 정부”

“이 합동기술경보(joint Technical Alert)는 미국 국토안보부(Department of Homeland Security, DHS)와 연방수사국(Federal Bureau of Investigation, FBI)의 공동 분석 노력의 결과이다.

이 경보는 북한 정부의 사이버 행위자가 미국과 전 세계의 언론, 항공우주, 금융 및 핵심 인프라 산업을 공략하기 위해 사용하는 도구와 인프라에 대한 기술적 세부사항을 제공한다.”

② 北이 범죄에 사용한 해킹수법 공개

“국토안보부와 연방수사국은 네트워크 방어 활동을 활성화하고 디도스 명령 및 제어 네트워크에 노출되는 상황을 줄이기 위해 북한 사이버 작전에 이용되는 IP 주소를 공개한다.”

③ 北해킹범죄조직의 그간 활동 동향과 향후 행보 평가

“2009년 이후 히든 코브라 행위자들은 기술 역량을 이용해 다양한 공격 대상에게 피해를 입혔다. 상업 기관의 보고서에서는 이 활동을 라자루스 그룹(Lazarus Group)과 평화의 수호자(Guardians of Peace)라는 명칭으로 언급했다.

국토안보부와 연방수사국은 히든 코브라 행위자들이 북한 정부의 군사적․전략적 목표를 진전시키기 위해 사이버 작전을 계속 수행할 것이라고 평가한다.”

□ 하의원이 18일 ‘해킹피해 예방을 위한 북한 등 해킹수법 정보공개법’을 발의했다. 北해킹정보공개법은 국가정보원법을 개정한 것으로 북한 등의 해킹범죄 수법과 예방대책 등의 정보를 국회와 국민에 의무적으로 공개토록 하는 내용을 담고 있다.

□ 이 법은 2015년 제정된 미국 「사이버안보 정보공유법」의 실제 적용 사례에서 모티브를 얻었다. 미국은 법 제정 이후 정부부처 간 합동경보를 발령하거나 보고서를 작성하는 형식으로 해킹범죄 수법과 예방조치를 적시에 국민들에게 공개하고 있다.

□ 최근 미 법무부가 전 세계 은행을 대상으로 1조4천여억원을 탈취한 혐의로 북한 해커 3명을 기소한 해킹범죄 역시 지난 2017년 6월 범죄 배후와 수법이 공개된 바 있다. 당시 미 국토안보부는 FBI와 공동으로 경보를 발령하고 북한의 해킹 조직 히든코브라를 배후로 지목했다. 북한이 슬로베니아 가상화폐거래소와 세계 각국 은행을 대상으로 해킹범죄를 감행하고 한 달 가량 된 시점이었다. 또 같은 수법으로 인한 피해가 발생하지 않도록 범죄에 사용된 IP주소와 악성코드 분석 보고서를 공개하기도 했다. [참조 1]

□ 미국은 이 경보 보고서에서 해킹 조직이 북한 정부의 군사, 전략적 목표 진전을 위해 작전을 계속 수행할 것이라고 평가하고 지속적인 추적에 나섰다. 그 결과 2017년 12월에는 호주, 캐나다, 뉴질랜드, 영국과 함께 해당 해킹범죄의 배후 국가로 북한을 공식 지목, 규탄했다.

□ 지난 16일 국가정보원도 국회 정보위원회에서 우리나라 공공부문에 대한 북한 등의 해킹공격이 하루 158만건에 달하며 이는 전년 대비 32% 증가한 수치라고 보고했다. 이미 셀트리온 등 국내 제약회사와 업비트 등 암호화폐 거래소에 대한 해킹공격이 북한의 소행으로 확인되기도 했다. 하지만 원은 외부세력의 구체적인 해킹수법 공개를 거부하고 특히 화이자 공격 등 북한의 명백한 해킹 사실에 대해서는 사실관계조차 확인해주지 않고 있다.

□ 하의원은 “해킹피해 예방을 위해서는 해킹수법과 방지대책 등을 적시에 공개하는 것이 최선”인데도 “우리나라 사이버 안보를 총괄하는 국정원은 그 책임을 회피하고 북한 해킹 관련 정보를 숨기는 데만 급급하다”고 지적했다. 이어 “북한 등 외부세력의 해킹정보가 낱낱이 공개된다면 범죄피해를 예방하고 국민의 안전과 재산을 지키는데 큰 도움이 될 것”이라며 법안 발의 배경을 설명했다.

https://blogattach.naver.net/148108bbaff3f02c00e780b58f64176cca9d6589fd/20210219_88_blogfile/radiohaha_1613692084606_6hIv4a_hwp/%5B%BA%B8%B5%B5%C0%DA%B7%E1_210219%5D%20%C7%CF%C5%C2%B0%E6,%20%A1%B0%C7%D8%C5%B7%C7%C7%C7%D8%20%BF%B9%B9%E6%C0%A7%C7%D1%20%B1%B9%C1%A4%BF%F8%20%C1%A4%BA%B8%B0%F8%C0%AF%20%C0%C7%B9%AB%C8%AD%C7%D1%B4%D9%A1%A6%20%DD%C1%C7%D8%C5%B7%C1%A4%BA%B8%B0%F8%B0%B3%B9%FD%20%B9%DF%C0%C7%A1%B1.hwp?type=attachment

“해킹피해 예방위한 국정원 정보공유 의무화한다… 北해킹정보공개법 발의 하태경의원실 보도자료 

[참조 1] 美기소 북한해커의 범죄의 배후‧수법 공개한 2017.6.13. 합동경보 보고서

[참조 2] ‘해킹피해 예방을 위한 북한 등 해킹수법 정보공개법’(국가정보원법 개정안) 원문과 공동발의 의원 명단

[참조 1] 美기소 북한해커의 범죄의 배후‧수법 공개한 2017.6.13. 합동경보 보고서

- 美 국토안보부 산하 사이버안보기간시설안보국(CISA) 홈페이지

Palo Alto Networks 위협 인텔리전스 팀의 분석가들은 도커 허브에 있는 2040개 이상의 컨테이너가 최소 2년 동안 Cryptojacking 공격을 통해 일반 이용자들이 2000만 번 이상 감염된 도커 이미지를 다운로드된 것으로 밝혀냈다.

토커 허브는 컨테이너 공유 플랫폼 중 가장 큰 커뮤티티로 기업이나 개인이 도커에 대한 이미지를 공유할 수 있고, 개발자들은 해당 도커허브를 통해 오픈소스 프로젝트를 배포할 수 있다. 

Palo Alto Networks 위협 인텔리전스 팀의 일원인 에이비브 사슨은 Docker Hub에서 크립토재킹 작전에 관련된 30개의 악의적인 이미지를 발견하였고 분석가들은 그들이 10개의 다른 계정에서 왔다는 것을 발견했다. 그들 중 몇몇은 자신의 목적을 분명히 나타내는 계정을 가지고 있는 반면, 다른 몇몇은 "프록시"나 "ggcloud" 또는 "docker"와 같이 특정하기 어려운 정보를 가진 계정도 있었다.

비 공식적으로 배포되는 도커 컨테이너에 내에서 비트코인채굴과 DDoS 공격에 활용되는 악성코드가 포함되어 배포가 되고 있다는 사례와 발표가 나왔다. 이 같이 사이버 범죄자들이 수익을 내는 방법은 다양하게 있는데. 가장 쉬운 방법은 Cryptojacking으로 다른 사람의 컴퓨터를 불법으로 사용하여 암호화폐를 채굴하는 것이다. 

도커를 활용하고 이용할 수 있는 커뮤니티인 도커 허브에 30개의 악성 이미지가 발견되었으며 Palo Alto Networks의 연구팀에 리포트에 의해 발견되었다.

클라우드는 다음과 같은 두 가지 주요 이유로 인해 크립토재킹 공격에 인기가 있다.

• 클라우드는 각 대상에 대해 많은 인스턴스(예: 많은 CPU, 많은 컨테이너, 많은 가상 머신)로 구성되며, 이는 대규모 마이닝 수익으로 이어질 수 있다.
• 클라우드는 모니터링하기 어렵다. 공격자들은 오랫동안 탐지되지 않고 달릴 수 있으며, 어떠한 탐지 메커니즘도 마련되지 않은 채 사용자가 부풀려진 클라우드 사용 법안을 찾아내어 무언가가 잘못되었음을 깨달을 때까지 달릴 수 있다.

현대 클라우드 기술은 컨테이너에 주로 기반을 두고 있으며, 일부 환경에서는 도커 허브가 기본 컨테이너 레지스트리다. 공격자들은 그것을 이용하여 손상된 클라우드 서비스에 채굴을 할 수 있다.

위에서 언급된 정보로 인해 도커허브에서 악의적인 행위를 하는 케이스를 파악하였고. 해당 연굴르 통해 2천만명이상이 다운로드한 도커 이미지 안에서 악의적인 행위를 하는 이미지들을 발견하였다. 

채굴자들은 채굴 풀을 사용해서 채굴 효율을 향상시키는데, 해당 사례의 공격자들도 동일하였다.

수입금을 추정한 결과 미화 20만 달러 상당의 가상화폐가 채굴된것으로 추정된다. 

공격자들이 채굴할때 가장 많이 사용하고 인기 있는 암호화폐는 프라잇코인이며 그중 가장 많이 활용되는 암호화폐는 모네로이다. 공격자들은 다음과 같은 이유로 모네로를 선호한다. 

• 모네로는 최대의 익명성을 제공한다. 다른 동전과 달리 모네로 전환이 숨겨져 있는 것이 특징이다. 이 익명성은 사이버 범죄자들에게 유용하다. 왜냐하면 그것은 사이버 범죄자들의 활동이 숨겨져 있다는 것을 의미하기 때문이다. 따라서, 그들의 교환이 발각되어도 금지되지 않을 것이고 그들이 그들의 자금을 추적하려는 시도를 피하는 것에 용이하다.
• 모네로 채굴 알고리즘은 채굴을 위해 ASIC나 GPU가 필요한 다른 많은 암호와는 달리 CPU 채굴을 선호한다. 이것은 모든 컴퓨터가 CPU를 가지고 있기 때문에 편리하다. 따라서 채굴자들은 어떤 기계에서도 효과적으로 달릴 수 있다. 이러한 특징은 컨테이너에 더욱 적합하며, 이 중 대다수가 GPU 없이 작동한다.
• 모네로는 인기 있는 코인으로 거래량이 하루에 1억 달러 정도여서 거래소를 통하지 않아도 공격자들이 쉽게 코인을 사고 팔 수 있다.

아래 그림은 도커허브에서 발견된 암호재킹 이미지의 암호화폐 분포를 보여준다.

켄테이너 레지스트리에서 사용자는 이미지를 업그레이드하고 그 과정에서 새로운 태그를 레지스트리에 업로드 할 수 있다. 태그는 동일한 이미지를 서로 다른 버전을 참조하는 방법으로 쓰인다. 

해당 사례의 이미지 태그를 검사해보니 CPU 아키텍처와 운영체제에 따라 일부 이미지에 서로 다른 태그가 있다는것을 알 수 있었다. 공격자는 다수의 운영체와 CUP 아키택처를 광범위하게 공격을 시도하기 위해 이러한 태그를 추가한 것으로 추정된다.

특정 이미지의 모든 태그에서 공통적으로 나타난것은 지갑 주소와 마이닝 풀 자격증 뿐이다. 이러한 특정 정보는 공격자들의 캠페인을 분류할 수 있었으며, 악의적인 계정인  azurenql 을 발견 할 수 있었다.

클라우드는 공격자들에게 다양한 기회를 제공한다. 해당 연구에서는 암호화된 페이로드를 감지하는 스캐너를 사용하였으며, 지갑 주솔르 이전 공격과 연관시켜 확인된 이미지가 악의적인 아닌지를 확인했으며, 이러한 작업을 통해 악의적인 이미지를 파악하고 발견할 수 있었다.

도커 관련 위협으로부터 방어

도커 컨테이너를 남용하는 위협의 발견은 개발 팀들에게 도커가 공공 인터넷에 노출되는 것을 피하도록 상기시켜야 한다. 개발 팀은 잠재적인 보안 위험과 위협을 방지하기 위해 공식 도커 이미지만 사용하는 것도 고려해야 한다. 

컨테이너 보안을 위한 정보 및 TIP:

• 타사 소프트웨어의 사용을 최소화하고 검증 가능한 소프트웨어를 사용하여 컨테이너 환경에 악성 소프트웨어가 도입되지 않도록 해야한다.
• 저장소의 이미지를 검색하여 잘못된 구성을 확인하고 해당 이미지에 취약성이 있는지 확인해야한다.
• 컨테이너에 대한 정적 분석을 제공하는 Clair와 같은 도구를 사용하여 취약성 공격을 방지해야한다.
• 컨테이너 중심 OS에 컨테이너를 호스트하여 공격 표면을 줄인다.

또한, 클라우드 보안 솔루션을 사용하여 Docker 컨테이너를 보호할 수 있다.

관련 영상. 보안프로젝트의 조정원 대표님 

www.trendmicro.com/vinfo/hk-en/security/news/virtualization-and-cloud/malicious-docker-hub-container-images-cryptocurrency-mining

www.bleepingcomputer.com/news/security/docker-hub-images-downloaded-20m-times-come-with-cryptominers/

unit42.paloaltonetworks.com/malicious-cryptojacking-images/

Indicators of Compromise (IOCs)

URLs

• 62[.]80[.]226[.]102
• pool[.]supportxmr[.]com:5555

SHA256

• 71421f34ead04b75934495c503f49e4ac43a04107ec770f2b17c178ec56e26b6 (detected by Trend Micro as )

Docker Images

021982/155_138

021982/66_42_53_57

021982/66_42_93_164

021982/xmrig

021982/xmrig1

021982/xmrig2

021982/xmrig3

021982/xmrig4

021982/xmrig5

021982/xmrig6

021982/xmrig7

avfinder/gmdr

avfinder/mdadmd

docheck/ax

docheck/health

dockerxmrig/proxy1

dockerxmrig/proxy2

ggcloud1/ggcloud

ggcloud2/ggcloud

kblockdkblockd/kblockd

osekugatty/picture124

osekugatty/picture128

tempsbro/tempsbro

tempsbro/tempsbro1

toradmanfrom/toradmanfrom

toradmanfrom/toradmanfrom1

xmrigdocker/docker2

xmrigdocker/docker3

xmrigdocker/xmrig

xmrigdocker/xmrig

zenidine/nizadam

2017년 6월 정기 사이버 보안 세미나 월간 보안 이슈 모음

1. wannacry 추적에 대한 일부 정보 공개
Google, KasperskyLab, Intezer, Symantec 합동 조사팀에서 일부 내용 공개
이 중 나사로 그룹 Lazarus 이름 확인
나사로 그룹은 이전부터 사이버 공격을 수행한 그룹
wannacry 에서 사용하는 코드 중 특정 소스 코드에서의 동일한 패턴 확인
하지만 결정적 증거는 확인하지 못함
사용자를 특정지을 수 있는 이름이나 개인 정보, 국가 등에 대한 정보가 없음

출처- 사이버 보안센터 https://www.facebook.com/CSCKOR/?fref=ts

이번 인터넷 나야나 해킹사건 랜섬웨어 피해 중 상당히 큰 피해 인거같네요

회사를 파산 시키고 18억에 해결되었습니다. 해킹에 의한 나쁜 선례로 남을것 같아 안타깝습니다. 

나야나의 운영진의 책임의식이 대단합니다.
보통사람이라면 모든것을  포기하고 돈챙기고 잠수타는데  

나야나 ceo의 책임의식을 보여주는 자료입니다.

  안타깝습니다.

이번 사건을 통해 더이상 클라우드도 안전지대가 아니며 호스팅 서버가 타겟을 잡는 악의적인 해커들이 많이 나올 것 같아 걱정 

이됩니다. 

이번 사건을 개기로 인재를 양성하고 보안의식 개선과 인식개선도 필요해 보입니다. 

2017년 5월 정기 사이버 보안 세미나 월간 보안 이슈 모음

1. 구글 플레이 스토어에 가이드앱으로 위장한, 악성코드 배포 앱 발견
CheckPoint 보안연구원 발표
포켓몬고, Fifa Moblie 등 유명 게임의 가이드앱으로 위장
앱 내부에 개인정보 유출 혹은 DDoS 의 일종의 좀비스마트폰 가능성도 경고

https://www.cirt.gov.bd/new-android-malware-infected-2-mil…/
http://blog.checkpoint.com/…/falaseguide-misleads-users-go…/

2. 해지라는 이름의 IoT botnet 발견
kasperskylab 발표
IoT botnet 발견
Mirai botnet 과 같은 공격형 멀웨어
다른 botnet 과 다른 점은 멀웨어가 설치된 IoT 기기를 보호
외부 공격 형태나 정보수집 등의 행위가 발견되지 않음
하지만 이후 공격이 가능할 수 있으니 충분한 주의가 필요

https://www.linkedin.com/…/hajime-vigilante-botnet-growing-…

3. 애플 ID를 노리는 새로운 멀웨어 발견
McAfeeLab 발표
2016년 애플 Mac 컴퓨터에 대한 멀웨어 공격 744% 증가
https://www.mcafee.com/…/…/rp-quarterly-threats-mar-2017.pdf

CheckPoint Malware Research 발표
MacOS X 의 모든 버전에 영향을 미침
VirusTotal 에 대한 탐지가 전혀 없음
애플에서 발급된 전자 서명 Mc 멀웨어 발견
DOK 라는 이름의 멀웨어 발견
MacOS 사용자 대상으로 하는 최초의 대규모 멀웨어

https://www.linkedin.com/…/new-macos-malware-signed-legit-a…

4. 기존 포트를 사용하는 앱에 대한 모의해킹 테스트
미국 미시건 대학교 발표
구글 플레이 스토어에 등록된 앱을 대상으로 보안 테스트 진행
기존에 알려진 포트를 그대로 이용하는 앱에 대해 모의해킹 테스트를 진행
구글 플레이 스토어 앱에 임의로 악성코드 삽입 후,
동일 네트워크에 있고 동일 앱을 사용하는 다른 기기에 대한 공격 및 접속은 쉽다는 것을 입증

모의해킹 테스트에 대한 유튜브 동영상
앱의 열린 포트를 사용하는 기기에서의 사진 도용
https://youtu.be/9rcQfX5U_T0
네트워크 공격
https://youtu.be/7T7FBuCFM6A
http://securityaffairs.co/…/ha…/open-port-attack-mobile.html

5. 2010년 이후 판매된 인텔 서버용 제품의 칩셋에 대한 원격 접속 취약점 발견
Embedi 연구팀에서 발표
인텔에서 제공하는 AMT 기능에서 원격 관리 부분에 취약점 발견
CVE-2017-5689
일종의 권한상승의 버그를 이용한 취약점
전원이 끊긴 PC, 랩탑 등에도 공격 성공

https://www.theregister.co.uk/…/01/intel_amt_me_vulnerabil…/

인텔 공식 홈페이지에 관련 제품 정보 공개
https://security-center.intel.com/advisory.aspx…

6. SS7 설계 결함을 악용해서 은행 계좌의 강제 유출 가능성 경고
SS7 Signaling System 7 이란
1980년대 텔코 telcos 라는 곳에서 만듬
AT&T, 버라이즌 등 세계 800여곳 텔레콤 사업자들이 사용 중
텍스트, 로밍, 기타 서비스의 상호 연결 및 데이터 교환을 지원
금융권 대상, 2팩터 인증(OTP 등)에 사용
2014년부터 꾸준히 문제점 지적 및 관련 공격 영상 발표

금융권 OTP 서비스의 SS7 의 취약점 악용한 시나리오 확인
https://www.theregister.co.uk/…/03/hackers_fire_up_ss7_flaw/

OTP MITM 공격이기 때문에 현재 관련 대책이 없음

https://safeum.com/…/2498-ss7-attack-hackers-are-stealing-m…

7. MS 윈도우 멀웨어 스캐너에서 RCE 취약점 발견
Google Project Zero 보안연구원 Tavis Ormandy 발표
CVE-2017-0290
PoC 관련 정보
https://bugs.chromium.org/p/project-zero/issues/detail…
MS 에서 제공해주는 백신 프로그램 내 취약점이 있기 때문에 파급력은 더 클 수 있음
위험 소프트웨어
Windows Defender
Windows Intune Endpoint Protection
Microsoft Security Essentials
Microsoft System Center Endpoint Protection
Microsoft Forefront Security for SharePoint
Microsoft Endpoint Protection
Microsoft Forefront Endpoint Protection

MS 에서는 긴급 상황임을 판단하고 관련 경고 후 3일만에 패치 발표 및 배포

이번 취약점의 핵심은 MSmpeng

MS 홈페이지에서 해당 패치 관련 정보
https://technet.microsoft.com/…/libra…/security/4022344.aspx
https://www.linkedin.com/…/microsoft-issues-emergency-patch…

8. MS 에서 4개에 대한 0day 취약점 관련 패치 진행
CVE-2017-0261
Fireeye 발표
MS office 의 EPS 이미지 파일 처리 부분의 취약점을 악용
MS office 2010, 2013, 2016 등에 영향을 미침

CVE-2017-0262
Fireeye와 ESET 발표
CVE-2017-0261 와 내용은 비슷

CVE-2017-0263
MS 윈도우 OS 의 모든 버전에서 동일하게 있는 권한 상승 취약점
윈도우 커널 모드 드라이버 부분에 대한 취약점 공격

CVE-2017-0222
MS IE10, IE11 이 영향을 받음
메모리 개체를 처리하는 방식에서 문제 발생

그 외 다수 CVE 및 adobe flash player 관련 패치 진행

https://www.cyberscoop.com/microsoft-patch-zero-day-office…/

9. 위키리크스에서 공개된 CIA 내부 문서 분석 중 CISCO 0day 취약점 공개
CISCO 전용 프로토콜 중 하나인 CMP 라는 이름의 프로토콜을 이용한 정보 취득 확인
CISCO 홈페이지에서 해당 모델 확인 및 관련 패치 진행 중
https://tools.cisco.com/…/CiscoSecuri…/cisco-sa-20170317-cmp
http://www.cyberinject.com/cisco-finally-patches-0-day-exp…/

10. HP 랩탑에서 키로거 발견
스위스 보안회사 ModZero 발표
HP 오디오 드라이버에서 내장된 키로거 발견
ModZero 에서는 해당 키로거가 작동되는 랩탑 모델 공개
https://www.modzero.ch/advi…/MZ-17-01-Conexant-Keylogger.txt
해당 오디오 드라이버를 사용하는 랩탑을 HP 에서도 공개
http://ftp.hp.com/pub/softpaq/sp80001-80500/sp80264.html
CVE-2017-8360
사람이 읽을 수 있는 텍스트 형태로 저장
악용하면 충분히 위협적일 수 있음

해당 오디오 드라이버의 문제가 아닌, HW 칩셋의 문제
동일 제품이 랩탑이 아닌 다른 기기에서 사용된다면 역시 동일한 문제 발생 가능성 충분

http://www.zdnet.com/…/keylogger-found-on-several-hp-lapto…/

11. 중국 OnePlus 의 4가지 취약점 공개
17년 1월 HCL Technologies 에서 Aleph Research 발표
해당 문제점은 90일 기업 책임 기간 및 추가 14일 포함 해결하지 못했기에 모두 공개
중국 스마트폰 기기 제조업체 OnePlus 에서 제작된 모든 스마트폰
최신버전 OxygenOS 4.1.3 글로벌 버전 및 그 이하 버전
HydrogenOS 3.0 이하 only China

CVE-2016-10370
HTTP를 통한 OnePlus OTA 업데이트
해커가 MitM 공격을 수행함으로써 악성코드가 담긴 파일을 업데이트 할 수 있게 유도할 수 있음

CVE-2017-5948
OnePlus OTA 다운그레이드 공격
버전 업데이트가 아닌 기기의 강제 다운그레이드
테스트 동영상
https://youtu.be/DnHwPQnv3N0

CVE-2017-8850
각기 다른 OS 의 크로스 오버 업데이트
OxygenOS 와 HydrogenOS 라는 이름으로 OnePlus 에서 각각 다른 OS 를 사용 
하지만 해당 OS 가 아님에도 강제로 다른 OS 업데이트 가능

CVE-2017-8851
위에서 언급한, 8850 과 비슷
OnePlus OTA One 과 X 크로스 오버 공격

해당 취약점을 발표한 곳에서 해당 업체에서의 보안 대응을 하지 않았기에
관련 정보를 모두 공개하기로 결정
https://github.com/alephsecuri…/research/…/master/OnePlusOTA

https://www.linkedin.com/…/all-oneplus-devices-vulnerable-r…

12. Google Chrome 를 이용해서 윈도우 비밀번호를 훔칠 수 있다?!
DefenseCode의 Bosko Stankovic 연구원 발표
윈도우 바로가기 파일을 응용
윈도우 최신버전(패치 포함)과 크롬 최신버전이라 해도 공격 가능성 입증

https://www.linkedin.com/…/beware-hackers-can-steal-your-wi…

13. netgear 분석 데이터 수집을 위해 펌웨어 업데이트 진행 예정
현재 무선 라우터 NightHawk R7000 에서 수행 중
넷기어에서 주장하는 정보 수집하는 것들
라우터에 연결된 총 기기의 수
IP 주소 / MAC 주소 / 일련번호(Serial Number)
라우터의 실행 상태 / 연결 유형 / LAN or WAN 상태 / Wi-Fi 대역과 채널
라우터 및 Wi-Fi 네트워크의 사용 및 기능에 대한 기술적인 세부 정보
넷기어 공식 사이트에서도 정보 수집할 것임을 알림
https://kb.netgear.com/…/What-router-analytics-data-is-coll…
http://www.networkworld.com/…/netgear-added-data-collection…

14. samba 에서 7년 동안 사용된 코드에서 취약점 발견
CVE-2017-7494
2010.03.01. 에 릴리즈 된, Samba 3.5.0 이상 모든 samba 버전이 취약점 대상
NAS 에서도 samba 를 이용하고 있기에 업데이트 및 패치는 필수
해당 취약점을 이용해서 랜섬웨어 워너크라이 wannacry 에서 사용하는 이터널블루 eternalblue 에서도 악용 가능성 높음

https://www.linkedin.com/…/7-year-old-samba-flaw-lets-hacke…

15. 전혀 새로운 안드로이드 공격 기법 발견
조지아 공대 보안연구팀 발표
안드로이드 모든 버전(7.1.2 이하)에서 작동하는 새로운 공격 기법 발견
'Cloak & Dagger' 라는 이름의 새로운 공격
연구팀 자체에서 확인된 공격 시나리오
고급 클릭 재킹 공격 Advanced clickjacking attack
무제한 키 스트로크 녹음 Unconstrained keystroke recording
은밀한 피싱 공격 Stealthy phishing attack
신 모드 앱의 자동 설치 Silent installation of a God-mode app (with all permissions enabled)
자동 전화 잠금 해제 및 임의 조치 Silent phone unlocking and arbitrary actions (while keeping the screen off)

시연 동영상
https://youtu.be/NceNhsu87iA
https://youtu.be/RYQ1i03OVpI
https://youtu.be/oGKYHavKZ24

http://cyberops.in/beware-versions-android-vulnerable-extr…/

다음 사이버 보안 센터 세미나 소식이 있으면 올려드리겠습니다.

출처- 사이버 보안센터 https://www.facebook.com/CSCKOR/posts/474555376222919