본문으로 바로가기

안녕하세요, SATAz입니다.


제가 CISA를 준비하느라고... 정말 오랜만에 포스팅을 올리는 것 같습니다 ;;

일단 예비합격을 받아둔 상태에서 점수와 함께 최종 합격 메일을 기다리고 있는데, 혹시 갑자기 "너 불합격!!!" 이러는거 아닐까 걱정도 많이 되네요 ^^



- 2017년 보안이슈의 키워드 : #비트코인, #가즈아~ , #랜섬웨어, #비트코인 내놔~ -

2017년은 가상화폐 거래소에서 생긴 해킹사건과 랜섬웨어의 창궐로 씨끌벅적했었습니다.

해커 입장에서도, 가상화폐의 가치가 올라가면서 랜섬웨어를 통해서 비트코인을 얻어내는게 돈이 되었던게 아닐까 싶기도 하네요... ^^


이번 포스팅에서는, 2018년 상반기에 발생한 보안 관련 ISSUE를 정리하려고 합니다.



- 소개 목록 -

1. CPU MeltDown 및 Spectre 사태 - 2018년 1월

2. 슬슬 모습을 드러내는 파일리스 악성코드 - 2016년 말 ~

3. 사이버범죄의 서비스화 (Caas) - ????년 ~


1. CPU Meltdown 및 Spectre 사태 - 2018년 1월

 1-1 Intel CPU의 Meltdown 취약점

 Meltdown 취약점 (CVE-2017-5754)은 2018년 1월 3일 Google사에 의해 최초로 발표되었습니다. 이 취약점은 Intel CPU의 (물리적으로) 구조적인 문제에 의해 나타난 취약점이며, 특정 애플리케이션이 시스템 메모리(커널) 영역을 훔쳐볼 수 있는 취약점입니다. 


이는 곧 사용자가 입력한 명령을, 시스템이 명령을 받아 처리하는 모든 절차를 엿볼 수 있다는 것을 의미하죠...


관련된 자세한 내용은 아래의 포스팅 링크를 통해서 확인 부탁드립니다.

클릭 --> [보안 Issue] Meltdown(멜트다운) 취약점을 파헤쳐보자 - 2018.02.10    <-- 클릭


 1-2 거의 모든 CPU의 Spectre 취약점

 Spectre 취약점 (CVE-2017-5753 / CVE-2017-5715)도 마찬가지로 2018년 1월 3일 Google사에 의해 최초로 발표되었습니다. 이 취약점은 특정 애플리케이션이 다른 애플리케이션의 메모리 영역을 훔쳐볼 수 있는 취약점입니다. 물론 Meltdown처럼 시스템 메모리(커널) 영역까지는 볼 수 없지만, 거의 모든 CPU가 이 취약점을 갖고있죠...


가상머신을 구동중인 시스템에 이러한 악성 애플리케이션이 들어가게 되면... 가상머신에서 이뤄지는 일련의 행동들을 모두 엿볼 수 있겠죠?




Meltdown과 Spectre는 올해 1월부터 아주 핫한 이슈였습니다. 이로 인해서 Intel에 명성에 영향을 미치게 되었으며, Meltdown 취약점 패치를 하면 성능이 60%까지 떨어지는 경우가 있다고 하여, 많은 사용자들이 AMD로 갈아타고 있다는 소식이 많이 들려오고 있습니다 ;;


둘의 차이에 대해서 더 궁금하신 부분이 있다면, 아래의 링크를 통해서 참고 부탁드립니다.

클릭 --> [보안 Issue] Intel CPU 사태의 Meltdown(멜트다운) & Spectre(스펙터) 취약점을 알아보자 - 2018.01.07    <-- 클릭



2. 슬슬 모습을 드러내는 파일리스 악성코드 - 2016년 말 ~

 2-1 파일리스(Fileless) 악성코드란?

 파일리스 악성코드는 2014년 처음 발견되었으며, 2016년 말부터 이슈화되고 있는 녀석입니다. 영문으로 Fileless Malware 표기하는 이 악성코드는 메모리 상에서만 존재하는 악성코드입니다. 즉, 메모리에서는 데이터를 유출하는 악성코드가 돌아가고는 있지만, 그에 상응하는 abc.exe(악성코드 파일)이 없다는 의미입니다.


 Kaspersky Lab 발표에 의하면, 미국, 남미, 유럽 등 140여개 국가의 은행이나 통신사나, 정부기관들 140여개 조직을 감염시켰다고 합니다.

 

수년 전부터 .exe와 같은 실행(PE) 파일 형태의 악성코드 외에 워드, 엑셀 등 MS 오피스 문서나 한글 파일과 같은 비실행(non-PE) 파일을 이용한 악성코드가 지속적으로 늘어나고 있다. 백신 등 보안 솔루션의 탐지를 피하기 위한 공격자들의 노력이다. 비실행 파일을 이용한 공격은 올해 더욱 고도화될 것으로 전망된다.


지금까지는 주로 악성 비주얼 베이직(Visual Basic) 매크로 코드를 삽입한 형태였던 반면, 최근 XML 내 코드 실행, DDE 기능 또는 문서 내 개체 삽입 등을 이용해 악성코드를 실행하는 방식이 늘어나고 있다. 최종적으로 악성행위를 수행하는 파일 또한 기존과 같이 시스템에 존재하는 형태보다는 프로세스 메모리에 인젝션되어 동작하는 파일리스(Fileless) 방식이 증가할 것으로 예상된다.


출처 : 2018년 보안 위협, 새로운 국면 맞이하나 / 안랩 - https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=27071


은행 보안팀은 마이크로소프트 도메인 컨트롤러의 물리적인 메모리 내에서 Meterpreter(Metasploit의 인-메모리 컴포넌트)를 확인하여, 이 공격을 발견해낼 수 있었습니다.


보안 연구원들은 포렌식 분석을 실행해 공격자들이 윈도우 PowerShell을 이용해 Meterpreter 코드를 디스크에 쓰지 않고 지접 메모리에 로드하는 것을 알아냈습니다. 이 사이버 공격자들은 C&C 서버와 통신하고 원격으로 감염된 호스트를 제어하기 위한 프록시 터널을 설정하는데에 마이크로소프트 NETSH 네트워킹 툴을 사용했습니다.


또한 그들은 기기가 재부팅된 후 로그나 하드 드라이브에 남아있는 거의 모든 공격의 흔적들을 제거하기 위해 PowerShell 명령어들을 윈도우의 레지스트리에 숨겼습니다. 공격자들의 궁극적인 목표는 ATM을 제어하는 컴퓨터들을 해킹해 금전을 갈취하는 것으로 예상되고 있습니다.


출처 : 은행 및 조직 노리는 새로운 '파일리스 악성코드' 발견 / 이스트시큐리티 - http://blog.alyac.co.kr/967


 


 2-1 파일리스(Fileless) 악성코드 공격 방식 및 조치사항

 1) 파일리스 악성코드의 공격 방식


파일리스 악성코드는 User PC에 이미 설치되어있는, 안전한 것으로 알려진 애플리케이션을 이용한다고 합니다. (예, 브라우저 취약점, MS Word 매크로, MS Power shell, Adobe Reader, javascript 등...) 따라서 우리는 항상, 소프트웨어 업데이트를 열~심히 해야하는 하는 것이죠. 


(마지막으로 해본 데이트가 윈도우 업데이트라......)


 2) 파일리스 악성코드의 공격을 막기위한 조치사항

가. 사용하는 인터넷 브라우저의 패치가 나오면, 제때제때 패치하자! (자동 업데이트 설정을 해놓는게 좋겠죠?)

나. MS Office에서 매크로 기능을 비활성화시키자! (MS Office는 기본적으로 매크로가 비활성화인데요, "매크로가 포함되어있습니다. 문서를 여시겠습니까?"하는 동의를 얻으면 매크로가 활성화된 상태에서 문서를 열게된다고 합니다.)

다.  javascript는 비활성화시킨 다음에 웹사이트를 이용하자! (제가 크롬을 사용하는데, 신뢰된 사이트만 javascript를 허용해서 사용하고있습니다.)


TT 시큐리티(NTT Security)의 위협 인텔리전스 커뮤니케이션 팀 관리자 존 하이멀은 "파일리스 공격을 실행하기 위해서는 이미 설치된 소프트웨어의 취약점이 필요하므로 방어에서 가장 중요한 단계는 운영체제뿐만 아니라 소프트웨어 애플리케이션도 패치하고 업데이트하는 것"이라며, "브라우저 플러그인은 패치 관리 프로세스에서 가장 많이 간과되는 애플리케이션이며 파일리스 공격의 가장 주된 목표"라고 말했다.


마이크로소프트 오피스 매크로를 사용한 공격은 매크로 기능을 끄면 막을 수 있다. 래피드7(Rapid7 LLC)의 연구 이사 토드 비어드슬리는 사실 기본적으로 매크로 기능은 비활성화되어 있다고 말했다. 이런 감염된 문서를 열기 위해서는 사용자가 매크로 활성화에 명시적으로 동의해야 한다. 비어드슬리는 "그래도 결국 문서를 여는 사람들이 있다. 특히 피해자가 이미 알고 있는 사람을 위장하는 경우 문서를 열도록 유도할 수 있다"고 말했다.


바라쿠다 네트웍스(Barracuda Networks) 첨단 기술 엔지니어링 담당 수석 부사장 플레밍 시는 "어도비 PDF 리더와 자바스크립트의 취약점 역시 공격자들이 노리는 목표물이다. 조심성이 많은 사람은 감염을 막기 위해 브라우저에서 자바스크립트 실행을 끄기도 하지만 이 경우 일반적으로 사이트가 제대로 표시되지 않는다"고 말했다.


버섹 시스템즈(Virsec Systems)창업자이자 CTO인 사티야 굽타에 따르면, 최근 에퀴팩스(Equifax) 유출 사건 역시 파일리스 공격 사례다. 에퀴펙스 해킹은 아파치 스트럿츠(Struts)의 명령 주입 취약점을 이용했다. 굽타는 "이 공격 유형에서 취약한 애플리케이션은 운영체제 명령이 포함될 수도 있는 사용자의 입력을 충분히 확인하지 않는다. 결과적으로 이런 명령이 피해자의 시스템에서 취약한 애플리케이션의 권한과 동일한 권한으로 실행될 수 있다"고 말했다.


굽타는 "이 메커니즘은 애플리케이션 실행 경로를 검사해 애플리케이션이 원래의 코드를 실행하는지 여부를 확인하지 않는 모든 안티악성코드 솔루션을 완전히 회피한다"고 덧붙였다. 미리 패치를 했다면 유출을 막을 수 있었을 것이다. 해당 패치는 3월에 나왔다.


올해 초에는 파일리스 공격이 40개국에 걸쳐 은행, 통신업체, 정부 기관을 포함한 140개 이상의 조직을 감염시켰다. 카스퍼스키 랩(Kasperksy Labs)은 이들의 엔터프라이즈 네트워크 레지스트리에서 악성 파워셸 스크립트를 발견했다. 카스퍼스키에 따르면, 이 공격의 탐지는 RAM, 네트워크, 레지스트리에서만 가능했다.


출처 : 해커가 SW 설치 없이 침투한다··· '파일리스 공격'의 이해 / CIO코리아 - http://www.ciokorea.com/news/35725#csidx2320890f3f791069302ea8b105b8572 



3. 사이버범죄의 서비스화 (Caas) - ????년 ~

이제는 사이버범죄도 사고파는 시대가 와버렸습니다... 사실 DDoS 공격이나, DoS 공격같은 경우에는 옛날부터 해커한테 돈주고 시키는 방법이 있었습니다.

근데 이제는 플랫폼 기반으로 위협을 맞춤으로 개발해서 서비스(판매)한다고 하는군요...


정보보안기사, CISSP, CISA를 공부하면서 Raas, SaaS 는 자주 들어보게 됩니다. Recovery as a Service, Software as a Service 등등... 비즈니스를 하는 분들이라면 참고할만한 서비스들이죠...


근데 이게 사이버 범죄에 악용되면서 CaaS (Crim as a Service)가 현실화되고 있다고 합니다.


랜섬웨어 위협이 본격화된 것은 2016년이라면, 2017년은 랜섬웨어가 극적으로 변화한 해라 할 수 있다. 연초부터 전 세계에 걸쳐 대규모 피해를 야기한 랜섬웨어가 등장한 것은 물론 수많은 변종이 과거와는 비교할 수 없는 속도로 연달아 나타났다. 이러한 극적 변화의 가장 큰 동력은 랜섬웨어 제작 및 유포 서비스(Ransomware-as-aService, 이하 RaaS)이다. RaaS가 사이버 암시장에 안정적으로 자리잡으면서 전문적인 IT 지식 없이도 비교적 쉽게 랜섬웨어 공격을 할 수 있게 됐으며, 하루가 멀다 하고 신•변종 랜섬웨어가 쏟아져 나오는 실정이다.


출처 : 2018년 보안 위협, 새로운 국면 맞이하나 / 안랩 - https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=27071



심지어 RaaS가 2016년부터는 본래의 의도(Recovery as a service) 말고, 사이버 범죄의 의도(Ransomware as a service)로 랜섬웨어가 팔려나갔었다는 소식을 듣고는 충격이었습니다...


사이버 정보팀 센스사이(SenseCy)에 따르면, 케르베르의 제작자들은 이 랜섬웨어를 러시아 언어로 된 포럼에서 서비스 형태(ransomware as a service)로 팔고 있다. 이는 코딩 능력이나 자체 랜섬웨어를 만들 자원을 갖추지 못한 저급의 사이버 범죄자를 양산해 해당 범죄의 확산을 가져올 수 있음을 의미한다


출처 : 말하는 케르베르 랜섬웨어, 서비스 형태로 범죄자들에게 판다 /  IT world http://www.itworld.co.kr/tags/68045/ransomware+as+a+service/98181#csidxe16e21b78ee49a7a5ccb2432a311c80 
 





사실상... 2018년 올해 상반기의 키워드는 "Meltdown, Spectre" 라고 할 수 있겠습니다.

정말 씨끌씨끌하고... 그 여파가 아직도 진행되고있죠....


2018년 하반기에는 큼지막한 보안이슈가 없었으면 하는 바램입니다.....




댓글을 달아 주세요