[보안뉴스] 2019년 11월 1주 동향

 

The Hackers News 발췌분

 

Hackers Can Silently Control Your Google Home, Alexa, Siri With Laser Light (2019-11-05)

 

l  사이버 보안 연구팀은 음성 제어 장치에 들리지 않고 보이지 않는 명령을 원격으로 주입하는 영리한 기술을 발견했습니다. 음성 제어 장치에 단어를 얘기하는 대신 레이저로 비추기만 하기 때문에 ‘Light Command’라고도 불립니다. 이 해킹은 널리 사용되는 음성 제어 시스템에 내장된 MEMS 마이크의 취약점으로 의도치 않게 소리처럼 빛에 반응합니다.

l  연구원들은 Google Home에 연결된 레이저 빔을 쏴서 Google Home에 "OK Google, Garage Door" 명령을 주입했고 성공적으로 차고 문을 열었습니다. 스마트폰, 태블릿, Google Home 및 Nest Cam IQ, Amazon Alexa 및 Echo, Facebook Portal, Apple Siri 장치와 같은 기타 스마트 장치의 스마트 음성 어시스턴트는 모두 이 새로운 빛 기반 신호 주입 공격에 취약합니다.

l  소프트웨어 제조업체는 악의적인 공격을 완화하기 위한 명령을 처리하기 전에 사용자에게 인증 계층을 추가할 수 있도록 제공해야 합니다. 현재로서는 음성 보조 장치의 가시선을 외부에서 물리적으로 차단하고 다른 사용자가 액세스하지 못하도록 하는 것이 가장 좋고 일반적인 해결책입니다.

l  뉴스보기

 

How to Get Rid of Malware and Keep It Out (2019-11-04)

 

l  광범위하게 정의된 맬웨어는 일반적으로 이메일 또는 웹 사이트를 통해 제공되며, 컴퓨터 장치를 방해, 비활성화 또는 제어하기 위해 시스템 및 서버에 설치되는 모든 유형의 악성코드를 포함합니다. 지능적인 사이버 범죄자는 탐지 회피를 위해 파일에 맬웨어를 숨기고, 합법적인 애플리케이션처럼 보이도록 숨기거나 다른 난독화 기술을 사용하여 보안 제어를 무시합니다.

l  사이트를 보호하는 방법을 이해하려면 공격이 발생하는 방식을 이해해야 합니다. 다양한 공격 단계는 일반적으로 다음과 같이 생각할 수 있습니다.

ü  Backdoor: 암호화 같은 보안 메커니즘을 우회하여 시스템 또는 암호화된 데이터에 원격으로 액세스합니다.

ü  Ransomware: 사용자가 시스템 잠금을 해제하기 위해 몸값을 지불할 때까지 액세스를 방지하기 위해 파일을 암호화하거나 잠급니다,

ü  Remote Access Tool (RAT): 광범위한 원격 제어 기능을 위한 원격 액세스 도구를 활성화합니다.

ü  Virus: 파일을 클린 파일에 첨부하고 다른 파일을 감염시킵니다. 결과적으로 시스템 기능 손상, 파일 손상 또는 파일이 삭제됩니다.

ü  Worm: 인터넷 또는 회사 네트워크를 통해 장치 네트워크를 감염시킵니다.

l  보안 업체들은 맬웨어를 탐지, 변형 및 근절하기 위한 다양한 맬웨어 방지 솔루션을 제공하고 있습니다. 하지만, 특정 문제를 공격하는 맬웨어 방지 기술이 단편적으로 사용되고 있으며, 오늘날의 맬웨어 위협은 흔히 아래의 일반적인 유형의 맬웨어 기능들이 결합된 복잡한 형태를 띄고 있습니다.

ü  Network access control: 관리되지 않는 시스템을 모니터링하고 오염된 장치가 네트워크에 연결되어 악성 프로그램이 확산되는 것을 방지합니다.

ü  Web application firewall: 사이버 범죄자가 웹 사이트에서 맬웨어 공격을 시작하는 것을 방지합니다.

ü  Database scanning: 가장 중요한 정보 자산을 저장하는 데이터베이스에서 구성 문제, 취약한 암호 및 패치 누락과 같은 취약성을 검색합니다.

ü  DLP(Data Loss Prevention): 맬웨어가 침투한 후 중요한 정보가 다른 사람에게 유출되는 것을 식별하고 방지합니다.

ü  Anti-ransomware: 랜섬웨어를 탐지하고 차단하며 암호화된 파일을 잠금 해제합니다.

ü  Endpoint detection and response tools: 엔드 포인트에서 발생하는 시스템 활동 및 이벤트를 지속적으로 기록하여 지능적 위협을 탐지합니다.

l  뉴스보기

 

First Cyber Attack 'Mass Exploiting' BlueKeep RDP Flaw Spotted in the Wild (2019-11-03)

 

l  사이버 보안 연구자들은 암호 화폐 채굴을 위해 취약한 시스템을 악의적으로 대량 공격하여 악명 높은 BlueKeep RDP 취약점을 무기화하려는 새로운 사이버 공격 시도를 발견했습니다.

l  BlueKeep은 ‘윈도 원격 데스크탑 서비스’에서 발견된 심각도가 높은 원격코드 실행 취약성(CVE-2019-0708)으로 “웜” 특징을 가지고 있기 때문에 피해자의 상호 작용을 요구하지 않고 취약한 컴퓨터에서 다른 취약한 컴퓨터로 자동 전파될 수 있습니다.

l  하지만 가능한 웜 구성 요소가 없으면 공격자는 인터넷에 직접 연결된 취약한 시스템만 손상할 수 있으며 내부적으로 연결되어 있고 접근할 수 없는 시스템은 손상할 수 없습니다. 해커는 이미 BlueKeep 결함을 악용하고 있지만 Wannacry 또는 NotPetya와 같이 더 큰 규모로는 악용되지 않았습니다.

l  뉴스보기

 

Watch Our IT Admins! Two Unpatched Critical RCE Flaws Disclosed in rConfig (2019-11-03)

 

l  사이버 보안 연구원은 최근 rConfig 유틸리티에 패치 되지 않은 두 가지 중요한 원격 코드 실행 취약점에 대한 세부 정보 및 개념 증명(proof-of-concept) 익스플로잇을 게시했습니다. 이 중 적어도 하나는 인증되지 않은 원격 공격자가 대상 서버 및 연결된 네트워크 장치를 손상할 수 있습니다.

l  프로젝트 웹 사이트에 따르면 rConfig는 스위치, 라우터, 방화벽, 로드 밸런서, WAN 옵티마이저 등 330만 개 이상의 네트워크 장치를 관리하는 데 사용되고 있습니다. 두 취약점은 모두 최신 rConfig 버전 3.9.2를 포함하여 모든 rConfig 버전에 영향을 미치며 보안 패치가 제공되지 않았습니다.

l  취약점 CVE-2019-16662는 추적되며 사전 인증 없이 원격으로 악용될 수 있지만 취약점 CVE-2019-16663은 사전 인증이 필요합니다. 두 취약점은 대상 서버에서 악성 OS 명령을 실행하도록 설계된 조작된 GET 매개 변수를 사용하여 취약한 파일에 접근해야 합니다. SANS 보안 연구원은 rConfig를 사용하는 경우 보안 패치가 도착할 때까지 서버에서 응용 프로그램을 일시적으로 제거하거나 대체 솔루션을 사용하는 것을 권장하고 있습니다.

l  뉴스보기

 

기타 동향

 

인기 높은 아카이브 라이브러리에서 취약점 발견돼 (2019-11-07)

l  아카이브 관련 소프트웨어와 각종 OS, 브라우저에 탑재된 라이브러리에서 취약점 발견됨.

l  디도스 및 임의 코드 실행 취약점으로 이어질 수 있는 취약점.

l  윈도우와 맥OS는 별다른 영향 없음. 리눅스는 다수가 패치됨.

l  뉴스보기

 

새롭게 떠오르고 있는 피싱 도구, 구글 애널리틱스 (2019-11-07)

l  사이트 방문자를 늘리고 원하는 곳으로 유도하는 것, 모든 사이트 운영자들의 관심사.

l  그래서 사용되는 것이 구글 애널리틱스와 같은 분석 툴.

l  공격자들도 똑같은 목적으로 구글 툴 사용. 때문에 공격 효율 높아지지만 탐지 가능성 역시 높아짐.

l  뉴스보기

 

공격자들의 정보를 공개하는 행위, 방어에 얼마나 효과 있을까? (2019-11-06)

l  APT1의 정체가 드러난 날, APT1은 활동을 중단함.

l  그 후 공격자들의 정체를 밝히는 움직임이 활발해짐.

l  하지만 요즘 공격자들은 정체가 드러나도 개의치 않음.

l  뉴스보기