Offcanvas

������������

“문제 있는 코드를 자동으로 감지하고 수정”··· 멘드, 새 앱 보안 플랫폼 발표

오픈소스 애플리케이션 보인 기업 멘드(Mend)가 코드의 보안 이슈를 자동으로 감지하고 수정하는 플랫폼을 발표했다. 과거 화이트소스(WhiteSource)라고 불렸던 기업이다.  회사에 따르면 이번 플랫폼은 소프트웨어 공격 표면을 줄여 개발자의 보안 코드 작성 부담을 줄여줄 수 있도록 설계됐다.  멘드는 또 악성 오픈소스 소프트웨어를 탐재하고 차단하는 솔루션인 멘드 서플라이 체인 디펜더(Supply Chain Defender)를 ‘JFrog Artifactory’ 플러그인에 통합했다고 발표했다. 이 플러그인은 멘드 애플리케이션 보안 플랫폼에 속한다.    자동 수정 멘드는 성명서에서 회사의 보안 플랫폼이 오픈소스 및 사용자 지정 코드에서 애플리케이션 보안 허점을 자동으로 찾아 수정한다고 강조했다. SAST(static application security testing)를 위한 자동화된 수정 기능과 SCA(software composition analysis)의 기존 기능을 결합해서라는 설명이다. 멘드의 공동 설립자이자 CEO인 라미 사스는 “공격자들이 조직을 공격하는 취약 요소로 애플리케이션에 점점 더 주목하고 있다. 그러나 소프트웨어를 더 빨리 개발해야 한다는 압력은 그 어느 때보다 높아졌다”라고 말했다. 그는 이어 “소프트웨어 공격 표현을 자동으로 줄이는 동시에 애플리케이션 보안 부담을 제거하는 솔루션을 공급함으로써 개발 팀이 고품질의 안전한 코드를 더 빨리 제공할 수 있도록 하고자 한다. 보안과 일정 사이에서 줄타기 할 필요성이 해소될 수 있다”라고 말했다.  멘드에 따르면 자동화된 수정은 코드 개별 라인별로 수정안을 제시할 수 있다. 개발자의 리포지토리에 표현됨으로써 통합도 쉬워진다는 설명이다. 회사 측은 종전 애플리케이션 보안 제품들의 경우 교육 자료나 예제에서만 각 보안 이슈에 대한 수정 사항이 제공되곤 했다고 덧붙였다.  빠른 감지와 수정이 중요 옴디아 수석 애널리스트인 릭 터...

멘드 코드 자동 수정 애자일

2022.05.26

오픈소스 애플리케이션 보인 기업 멘드(Mend)가 코드의 보안 이슈를 자동으로 감지하고 수정하는 플랫폼을 발표했다. 과거 화이트소스(WhiteSource)라고 불렸던 기업이다.  회사에 따르면 이번 플랫폼은 소프트웨어 공격 표면을 줄여 개발자의 보안 코드 작성 부담을 줄여줄 수 있도록 설계됐다.  멘드는 또 악성 오픈소스 소프트웨어를 탐재하고 차단하는 솔루션인 멘드 서플라이 체인 디펜더(Supply Chain Defender)를 ‘JFrog Artifactory’ 플러그인에 통합했다고 발표했다. 이 플러그인은 멘드 애플리케이션 보안 플랫폼에 속한다.    자동 수정 멘드는 성명서에서 회사의 보안 플랫폼이 오픈소스 및 사용자 지정 코드에서 애플리케이션 보안 허점을 자동으로 찾아 수정한다고 강조했다. SAST(static application security testing)를 위한 자동화된 수정 기능과 SCA(software composition analysis)의 기존 기능을 결합해서라는 설명이다. 멘드의 공동 설립자이자 CEO인 라미 사스는 “공격자들이 조직을 공격하는 취약 요소로 애플리케이션에 점점 더 주목하고 있다. 그러나 소프트웨어를 더 빨리 개발해야 한다는 압력은 그 어느 때보다 높아졌다”라고 말했다. 그는 이어 “소프트웨어 공격 표현을 자동으로 줄이는 동시에 애플리케이션 보안 부담을 제거하는 솔루션을 공급함으로써 개발 팀이 고품질의 안전한 코드를 더 빨리 제공할 수 있도록 하고자 한다. 보안과 일정 사이에서 줄타기 할 필요성이 해소될 수 있다”라고 말했다.  멘드에 따르면 자동화된 수정은 코드 개별 라인별로 수정안을 제시할 수 있다. 개발자의 리포지토리에 표현됨으로써 통합도 쉬워진다는 설명이다. 회사 측은 종전 애플리케이션 보안 제품들의 경우 교육 자료나 예제에서만 각 보안 이슈에 대한 수정 사항이 제공되곤 했다고 덧붙였다.  빠른 감지와 수정이 중요 옴디아 수석 애널리스트인 릭 터...

2022.05.26

"훔칠 게 없어 괜찮다"··· 'MFA' 안 쓰는 핑계도 가지가지, 대응책은?

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

다중인증 이중인증 MFA 2FA 소셜 엔지니어링 비밀번호 무차별 대입 공격 피싱 크리덴셜 스터핑 개인정보 프라이버시 랜섬웨어

2022.05.04

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

2022.05.04

“타 계정의 클라우드 DB에 접근 가능” · · · 위즈 연구진, 애저 포스트그레SQL DBaaS 취약점 발견

위즈 연구진이 발견한 두 가지 취약점은 서버 상에서 패치되었지만, 아직 방심하기는 이르다.    클라우드 보안 업체 위즈(Wiz)의 연구진이 마이크로소프트의 애저 포스트그레SQL(Azure PostgreSQL)에서 두 가지 취약점을 발견했다. 이 취약점이 연쇄적으로 공격당할 때 클라우드에 호스팅된 다른 데이터베이스에 접근이 가능해진다는 경고다. 데이터베이스 복제와 관련된 기능을 악용해 엑스트라 레플리카(ExtraReplica)라고 불리는 이 잠재적 공격 방식은 두 가지 취약점을 겨냥한다. 바로 사용자의 데이터베이스를 호스팅하는 컨테이너 내에서 악성 코드를 실행할 수 있는 권한을 부여하는 권한 상승 취약점과 시스템 복제 서비스를 악용하여 다른 데이터베이스에 접근할 수 있는 권한을 탈취하는 인증 우회 취약점이다.   이 취약점은 이미 서버상에서 패치되었으며 사용자가 특별히 취해야 할 조치 사항은 없다. 하지만 이번 취약점을 발견한 위즈 연구진은 마이크로소프트에게 아이솔레이션 모델(isolation model)에 관련된 문서와 서비스 아키텍처에 관한 더 자세한 내용을 기업 고객에게 제공해야 한다고 권고했다.  클라우드 서비스에 온보딩하기 전에 위험 요인을 더 잘 검토해볼 수 있어야 한다는 이유에서다. 데이터베이스로부터 기반 시스템에 침투  ’애저 데이터베이스 포 포스트그레SQL’는 30년이 넘은 관계형 오픈소스 데이터베이스 엔진 포스트그레를 기반으로 구동되는 관리형 데이터베이스 서비스(Database-as-a-Service, DBaaS)다.  포스트그레SQL은 안정성, 고가용성 그리고 확장성을 강점으로 하는, 복잡하게 짜인 소프트웨어다. 마이크로소프트는 싱글 서버(Single Server), 플렉서블 서버(Flexible Server) 그리고 하이퍼스케일(Hyperscale, Citus) 이렇게 3가지의 포스트그레SQL 배포 방식을 제공한다.  플렉서블 서버를 사용하면 단일 애저 가용 영역 또는...

Postgre PostgreSQL 포스트그레SQL 포스트그레SQL 데이터베이스 아이솔레이션

2022.05.03

위즈 연구진이 발견한 두 가지 취약점은 서버 상에서 패치되었지만, 아직 방심하기는 이르다.    클라우드 보안 업체 위즈(Wiz)의 연구진이 마이크로소프트의 애저 포스트그레SQL(Azure PostgreSQL)에서 두 가지 취약점을 발견했다. 이 취약점이 연쇄적으로 공격당할 때 클라우드에 호스팅된 다른 데이터베이스에 접근이 가능해진다는 경고다. 데이터베이스 복제와 관련된 기능을 악용해 엑스트라 레플리카(ExtraReplica)라고 불리는 이 잠재적 공격 방식은 두 가지 취약점을 겨냥한다. 바로 사용자의 데이터베이스를 호스팅하는 컨테이너 내에서 악성 코드를 실행할 수 있는 권한을 부여하는 권한 상승 취약점과 시스템 복제 서비스를 악용하여 다른 데이터베이스에 접근할 수 있는 권한을 탈취하는 인증 우회 취약점이다.   이 취약점은 이미 서버상에서 패치되었으며 사용자가 특별히 취해야 할 조치 사항은 없다. 하지만 이번 취약점을 발견한 위즈 연구진은 마이크로소프트에게 아이솔레이션 모델(isolation model)에 관련된 문서와 서비스 아키텍처에 관한 더 자세한 내용을 기업 고객에게 제공해야 한다고 권고했다.  클라우드 서비스에 온보딩하기 전에 위험 요인을 더 잘 검토해볼 수 있어야 한다는 이유에서다. 데이터베이스로부터 기반 시스템에 침투  ’애저 데이터베이스 포 포스트그레SQL’는 30년이 넘은 관계형 오픈소스 데이터베이스 엔진 포스트그레를 기반으로 구동되는 관리형 데이터베이스 서비스(Database-as-a-Service, DBaaS)다.  포스트그레SQL은 안정성, 고가용성 그리고 확장성을 강점으로 하는, 복잡하게 짜인 소프트웨어다. 마이크로소프트는 싱글 서버(Single Server), 플렉서블 서버(Flexible Server) 그리고 하이퍼스케일(Hyperscale, Citus) 이렇게 3가지의 포스트그레SQL 배포 방식을 제공한다.  플렉서블 서버를 사용하면 단일 애저 가용 영역 또는...

2022.05.03

‘바자로더’ 가고 ‘범블비’ 왔다… 새로운 악성코드 로더 주의보

일부 랜섬웨어 공격 집단의 초기 접근 조력자로 여겨지는 여러 위협 집단이 종전에 사용하던 1단계 악성코드 다운로더인 바자로더(BazaLoader), 아이스드아이디(IcedID) 대신 새로운 로더 ‘범블비(Bumblebee)’를 사용하고 있는 것으로 나타났다.   보안 업체 프루프포인트(Proofpoint) 연구팀에 따르면, 최소한 3곳의 랜섬웨어 공격 집단과 연관된 범블비 이메일 기반 배포 작전이 지난 3월 개시됐다. 코발트 스트라이크(Cobalt Striker), 실버(Silver), 미터프리터(Meterpreter)와 같은 침투 테스트 구성요소를 배포하는 데 사용됐다. 최근 몇 년간 공격자들은 수동 해킹이나 피해 네트워크를 통한 횡적 이동에 비슷한 종류의 공격 프레임워크와 이중 용도의 오픈소스 툴을 사용해왔다. 프루프포인트 연구팀은 보고서에서 “범블비는 정교한 다운로더다. 개발 극초기 단계임에도 불구하고 일반 다운로드 기능이 특별히 구현되어 있고 안티 가상화 검사 기능이 들어 있다. 위협 환경에서 범블비가 증가한 시기는 후속 해킹을 가능하게 하는 인기 페이로드 바자로더가 최근 프루프포인트 위협 데이터에서 사라진 시기와 일치한다”라고 말했다. 범블비 배포 방식 지금까지 범블비는 스피어 피싱 이메일을 통해 배포됐다. 온갖 미끼를 동원한 메시지를 사용해 피해자가 IOS 파일을 다운로드 후 실행하게 하면, 해당 파일에 심어진 범블비가 열리는 방식이다. IOS 파일은 광학 디스크의 파일 시스템 복사본을 디스크 이미지로 저장하기 위해 사용되지만 사실상 아카이브 형식이다.  지난 3월 TA579라는 위협 행위자의 소행으로 밝혀진 한 작전에서는 기업이 이용하는 온라인 문서 서명 서비스 도큐사인(DocuSign)의 알림으로 가장한 악의적인 이메일이 발송됐다. 메일에 포함된 ‘문서 검토(REVIEW THE DOCUMENT)’ 하이퍼링크를 클릭하면 마이크로소프트 원드라이브에서 압축 파일을 다운로드하게 된다. 이 압축 파일에는 ISO 파일이 들어 있었...

바자로더 아이스드아이디 범블비 악성코드 악성코드 로더

2022.05.03

일부 랜섬웨어 공격 집단의 초기 접근 조력자로 여겨지는 여러 위협 집단이 종전에 사용하던 1단계 악성코드 다운로더인 바자로더(BazaLoader), 아이스드아이디(IcedID) 대신 새로운 로더 ‘범블비(Bumblebee)’를 사용하고 있는 것으로 나타났다.   보안 업체 프루프포인트(Proofpoint) 연구팀에 따르면, 최소한 3곳의 랜섬웨어 공격 집단과 연관된 범블비 이메일 기반 배포 작전이 지난 3월 개시됐다. 코발트 스트라이크(Cobalt Striker), 실버(Silver), 미터프리터(Meterpreter)와 같은 침투 테스트 구성요소를 배포하는 데 사용됐다. 최근 몇 년간 공격자들은 수동 해킹이나 피해 네트워크를 통한 횡적 이동에 비슷한 종류의 공격 프레임워크와 이중 용도의 오픈소스 툴을 사용해왔다. 프루프포인트 연구팀은 보고서에서 “범블비는 정교한 다운로더다. 개발 극초기 단계임에도 불구하고 일반 다운로드 기능이 특별히 구현되어 있고 안티 가상화 검사 기능이 들어 있다. 위협 환경에서 범블비가 증가한 시기는 후속 해킹을 가능하게 하는 인기 페이로드 바자로더가 최근 프루프포인트 위협 데이터에서 사라진 시기와 일치한다”라고 말했다. 범블비 배포 방식 지금까지 범블비는 스피어 피싱 이메일을 통해 배포됐다. 온갖 미끼를 동원한 메시지를 사용해 피해자가 IOS 파일을 다운로드 후 실행하게 하면, 해당 파일에 심어진 범블비가 열리는 방식이다. IOS 파일은 광학 디스크의 파일 시스템 복사본을 디스크 이미지로 저장하기 위해 사용되지만 사실상 아카이브 형식이다.  지난 3월 TA579라는 위협 행위자의 소행으로 밝혀진 한 작전에서는 기업이 이용하는 온라인 문서 서명 서비스 도큐사인(DocuSign)의 알림으로 가장한 악의적인 이메일이 발송됐다. 메일에 포함된 ‘문서 검토(REVIEW THE DOCUMENT)’ 하이퍼링크를 클릭하면 마이크로소프트 원드라이브에서 압축 파일을 다운로드하게 된다. 이 압축 파일에는 ISO 파일이 들어 있었...

2022.05.03

'송금 잡범에서 경제 사범으로...' 금융기관 해킹은 진화 중

금융기관이 여전히 랜섬웨어 공격에 시달리고 있는 가운데, 단순히 계좌 거래를 탈취하는 데 그쳤던 금융기관 해킹이 기밀 산업 정보까지 노리는 차원으로 발전하고 있다. 기업이 계속 진화하는 사이버 공격에 어떻게 대비해야 할지 알아본다.    랜섬웨어가 기승을 부리면서 금융기관이 골머리를 앓고 있다. 이와 더불어 해커 카르텔의 수법이 다른 차원으로 발전하면서 예년에 비해 금융기관이 점점 더 큰 위협에 직면하고 있다고 VM웨어가 모던 뱅크 헤이스트(Modern Bank Heists) 보고서에서 밝혔다. 사이버범죄 카르텔의 공격 수법이 최근 계좌 거래 탈취를 넘어 특정 시장 공략, 중개 계좌 탈취, ‘아일랜드 호핑(island-hoping)’등으로 진화한 것이다. VM웨어는 북미, 유럽, 아시아 태평양, 중남미, 아프리카 등의 지역에 있는 130명의 금융 부문 CIO 및 보안 책임자를 대상으로 설문조사를 실시했다. 보고서의 결과는 다른 보안 전문가의 의견과 일맥상통했다. 제러미 셰리던 전 미국 비밀경호국 부국장은 "금융 수사 과정에서 복잡한 사이버 사기가 진화하고 증가하고 있는 것을 경험했다"라며 "인터넷에 연결된 모든 시스템의 보안 체계는 미흡하다. 해커가 공격할 취약점을 남기기 마련이다"라고 경고했다.  만연한 콘티(Conti) 랜섬웨어  설문에 응한 보안 책임자의 74%가 지난해 한 번 이상의 공격을 경험했다고 전했다. 63%는 결국 랜섬을 지불하기까지 했다. 랜섬웨어 중 콘티(Conti) 랜섬웨어가 가장 흔한 것으로 나타났다.  응답자의 63%는 사이버 범죄자가 은행의 데이터와 침입 정보를 삭제하는 '파괴적 공격'이 증가했다고 답했다. 이는 지난해보다 17% 증가한 수치다.  이런 식의 사이버 공격은 모두 피해자의 시스템을 파괴, 중단 또는 저하하는 악성코드를 이용한다. 대표적으로 암호화, 데이터 삭제, 하드 드라이브 파괴, 연결 종료 또는 악성 코드 실행과 같은 작업을 통해 이루어진다. ...

랜섬웨어 포트폴리오 주식 거래 데이터 사이버 공격 사이버보안 금융기관 내부자 거래

2022.04.21

금융기관이 여전히 랜섬웨어 공격에 시달리고 있는 가운데, 단순히 계좌 거래를 탈취하는 데 그쳤던 금융기관 해킹이 기밀 산업 정보까지 노리는 차원으로 발전하고 있다. 기업이 계속 진화하는 사이버 공격에 어떻게 대비해야 할지 알아본다.    랜섬웨어가 기승을 부리면서 금융기관이 골머리를 앓고 있다. 이와 더불어 해커 카르텔의 수법이 다른 차원으로 발전하면서 예년에 비해 금융기관이 점점 더 큰 위협에 직면하고 있다고 VM웨어가 모던 뱅크 헤이스트(Modern Bank Heists) 보고서에서 밝혔다. 사이버범죄 카르텔의 공격 수법이 최근 계좌 거래 탈취를 넘어 특정 시장 공략, 중개 계좌 탈취, ‘아일랜드 호핑(island-hoping)’등으로 진화한 것이다. VM웨어는 북미, 유럽, 아시아 태평양, 중남미, 아프리카 등의 지역에 있는 130명의 금융 부문 CIO 및 보안 책임자를 대상으로 설문조사를 실시했다. 보고서의 결과는 다른 보안 전문가의 의견과 일맥상통했다. 제러미 셰리던 전 미국 비밀경호국 부국장은 "금융 수사 과정에서 복잡한 사이버 사기가 진화하고 증가하고 있는 것을 경험했다"라며 "인터넷에 연결된 모든 시스템의 보안 체계는 미흡하다. 해커가 공격할 취약점을 남기기 마련이다"라고 경고했다.  만연한 콘티(Conti) 랜섬웨어  설문에 응한 보안 책임자의 74%가 지난해 한 번 이상의 공격을 경험했다고 전했다. 63%는 결국 랜섬을 지불하기까지 했다. 랜섬웨어 중 콘티(Conti) 랜섬웨어가 가장 흔한 것으로 나타났다.  응답자의 63%는 사이버 범죄자가 은행의 데이터와 침입 정보를 삭제하는 '파괴적 공격'이 증가했다고 답했다. 이는 지난해보다 17% 증가한 수치다.  이런 식의 사이버 공격은 모두 피해자의 시스템을 파괴, 중단 또는 저하하는 악성코드를 이용한다. 대표적으로 암호화, 데이터 삭제, 하드 드라이브 파괴, 연결 종료 또는 악성 코드 실행과 같은 작업을 통해 이루어진다. ...

2022.04.21

윈도우 RPC 패치, 곧바로 적용해야 할 이유

마이크로소프트의 월간 패치 주기에 따라 지난주에도 100개 이상의 취약성이 패치됐다. 이중 보안 전문가들이 유독 우려하는 취약성이 하나 있는데, 바로 윈도우 RPC(Remote Procedure Call) 런타임에 위치한 RCE(Remote Code Execution) 취약성이다. CVE-2022-26809로 추적되는 이 결함은 사용자 개입 없이 네트워크로 악용할 수 있으며, 여러 개의 프로토콜을 트리거로 사용한다. 윈도우에서 네트워크로 통신할 때 RPC를 사용했던 과거 주요 봇넷(Botnet)이 떠오르는 취약성이다.   SANS ISC(Internet Storm Center)의 설립자 요하네스 울리히는 권고에서 “이 취약성을 방지하는 방법은 패치밖에 없기 때문에 미루지 말기를 바란다. 바로 패치 후 4월 업데이트 전체를 적용하자. 네트워크 안에서 유사한 영향이 주는(NFS[Network File System] 결함 등) 다른 여러 치명적인 결함도 해결한다. 윈도우에서는 RPC를 끌 수 없기 때문에 문제가 발생할 것이고, RPC는 SMB[Server Message Block]보다 기능이 많다”라고 조언했다.   CVE-2022-26809 처리가 까다로운 이유 CVE-2022-26809 결함은 마이크로소프트가 이번 달에 패치한 3개 중 하나다. 나머지 2개인 CVE-2022-24492와 CVE-2022-24528의 공격 벡터는 클라이언트 측이며, 공격자는 사용자를 속여 RPC 호스트를 호출하고 RPC 서비스와 같은 권한으로 코드를 실행하는 특수 제작 스크립트를 실행한다. 반면, CVE-2022-26809 익스플로잇은 완전히 서버 측이라서 사용자 개입이 필요하지 않다. 공격자는 연결을 준비하는 RPC 서비스가 있는 시스템을 찾아 익스플로잇 공격을 전송하기만 하면 된다. 결함이 발표된 이후로 보안 전문가 커뮤니티에는 취약성에 도달하기 위해 어떤 프로토콜을 사용할지를 두고 논란이 일었다. 그 이유를 알기 위해서는 RPC의 원리를 이해하는 것...

윈도우취약점

2022.04.20

마이크로소프트의 월간 패치 주기에 따라 지난주에도 100개 이상의 취약성이 패치됐다. 이중 보안 전문가들이 유독 우려하는 취약성이 하나 있는데, 바로 윈도우 RPC(Remote Procedure Call) 런타임에 위치한 RCE(Remote Code Execution) 취약성이다. CVE-2022-26809로 추적되는 이 결함은 사용자 개입 없이 네트워크로 악용할 수 있으며, 여러 개의 프로토콜을 트리거로 사용한다. 윈도우에서 네트워크로 통신할 때 RPC를 사용했던 과거 주요 봇넷(Botnet)이 떠오르는 취약성이다.   SANS ISC(Internet Storm Center)의 설립자 요하네스 울리히는 권고에서 “이 취약성을 방지하는 방법은 패치밖에 없기 때문에 미루지 말기를 바란다. 바로 패치 후 4월 업데이트 전체를 적용하자. 네트워크 안에서 유사한 영향이 주는(NFS[Network File System] 결함 등) 다른 여러 치명적인 결함도 해결한다. 윈도우에서는 RPC를 끌 수 없기 때문에 문제가 발생할 것이고, RPC는 SMB[Server Message Block]보다 기능이 많다”라고 조언했다.   CVE-2022-26809 처리가 까다로운 이유 CVE-2022-26809 결함은 마이크로소프트가 이번 달에 패치한 3개 중 하나다. 나머지 2개인 CVE-2022-24492와 CVE-2022-24528의 공격 벡터는 클라이언트 측이며, 공격자는 사용자를 속여 RPC 호스트를 호출하고 RPC 서비스와 같은 권한으로 코드를 실행하는 특수 제작 스크립트를 실행한다. 반면, CVE-2022-26809 익스플로잇은 완전히 서버 측이라서 사용자 개입이 필요하지 않다. 공격자는 연결을 준비하는 RPC 서비스가 있는 시스템을 찾아 익스플로잇 공격을 전송하기만 하면 된다. 결함이 발표된 이후로 보안 전문가 커뮤니티에는 취약성에 도달하기 위해 어떤 프로토콜을 사용할지를 두고 논란이 일었다. 그 이유를 알기 위해서는 RPC의 원리를 이해하는 것...

2022.04.20

“‘AWS 람다’ 표적으로 노린 맬웨어가 발견됐다”

새 암호화폐 채굴 맬웨어는 쉽게 배포할 수 있도록 고(Go)로 작성됐으며, AWS의 자체 오픈소스 고 라이브러리를 사용한다.  맬웨어 개발자는 트렌드를 따라간다. 특히, 공격자는 타깃 조직에서 사용하는 것과 동일한 기술을 채택한다. 최근 카도 시큐리티(Cado Security)의 연구진이 사용자 제공 애플리케이션 코드를 온디맨드로 실행하도록 설계된, 이른바 서버리스 컴퓨팅 플랫폼 ‘AWS 람다(AWS Lambda)’ 내부에서 실행되는 암호화폐 채굴기를 발견했다고 밝혔다.  연구진은 “이 첫 번째 샘플은 암호화폐 채굴 소프트웨어만 실행한다는 점에서 무해하긴 하지만 공격자가 클라우드 관련 전문 지식을 활용하여 복잡한 클라우드 인프라를 악용하는 방법을 보여주며, 이는 잠재적으로 굉장히 위험한 공격이 될 수 있다”라고 말했다.    ‘데노니아(Denonia)’  고랭으로 작성된 이 맬웨어는 (공격자가 도메인에 부여한 이름을 따서) ‘데노니아(Denonia)’라고 명명됐으며, 리눅스용 64-bit ELF 실행 파일로 발견됐다. 카도 시큐리티 연구진은 이 맬웨어가 어떻게 배포되는지 정확하게 파악하진 못했지만 손상된 AWS 액세스 자격증명 및 시크릿 키(Secret Keys)가 관련됐을 가능성이 있다고 봤다.  한편 구글의 고 언어로 작성된 맬웨어가 새로운 것은 아니다. 맬웨어를 크로스 플랫폼 및 독립형으로 만드는 간편한 방법을 제공한다는 점에서 이는 최근 몇 년 동안 점점 더 보편화되고 있는 추세다. 물론 단점도 있다. 바이너리 파일이 크다는 것이다. 운영체제에 이미 존재하는 라이브러리에 동적으로 연결되는 대신, 프로그램이 필요로 하는 모든 라이브러리를 포함해야 하기 때문이다.  여러 프로그래밍 언어로 된 코드를 지원하도록 설계된 서버리스 컴퓨팅 플랫폼은 코드를 쉽게 배포할 수 있도록 지원한다. AWS 람다는 기본적으로 자바, 고, 파워셸, 노드닷제이에스, C#, 파이썬, 루비를 지원한다. 사용자가...

AWS 람다 서버리스 컴퓨팅 데노니아 맬웨어 암호화폐 채굴 XM리그

2022.04.07

새 암호화폐 채굴 맬웨어는 쉽게 배포할 수 있도록 고(Go)로 작성됐으며, AWS의 자체 오픈소스 고 라이브러리를 사용한다.  맬웨어 개발자는 트렌드를 따라간다. 특히, 공격자는 타깃 조직에서 사용하는 것과 동일한 기술을 채택한다. 최근 카도 시큐리티(Cado Security)의 연구진이 사용자 제공 애플리케이션 코드를 온디맨드로 실행하도록 설계된, 이른바 서버리스 컴퓨팅 플랫폼 ‘AWS 람다(AWS Lambda)’ 내부에서 실행되는 암호화폐 채굴기를 발견했다고 밝혔다.  연구진은 “이 첫 번째 샘플은 암호화폐 채굴 소프트웨어만 실행한다는 점에서 무해하긴 하지만 공격자가 클라우드 관련 전문 지식을 활용하여 복잡한 클라우드 인프라를 악용하는 방법을 보여주며, 이는 잠재적으로 굉장히 위험한 공격이 될 수 있다”라고 말했다.    ‘데노니아(Denonia)’  고랭으로 작성된 이 맬웨어는 (공격자가 도메인에 부여한 이름을 따서) ‘데노니아(Denonia)’라고 명명됐으며, 리눅스용 64-bit ELF 실행 파일로 발견됐다. 카도 시큐리티 연구진은 이 맬웨어가 어떻게 배포되는지 정확하게 파악하진 못했지만 손상된 AWS 액세스 자격증명 및 시크릿 키(Secret Keys)가 관련됐을 가능성이 있다고 봤다.  한편 구글의 고 언어로 작성된 맬웨어가 새로운 것은 아니다. 맬웨어를 크로스 플랫폼 및 독립형으로 만드는 간편한 방법을 제공한다는 점에서 이는 최근 몇 년 동안 점점 더 보편화되고 있는 추세다. 물론 단점도 있다. 바이너리 파일이 크다는 것이다. 운영체제에 이미 존재하는 라이브러리에 동적으로 연결되는 대신, 프로그램이 필요로 하는 모든 라이브러리를 포함해야 하기 때문이다.  여러 프로그래밍 언어로 된 코드를 지원하도록 설계된 서버리스 컴퓨팅 플랫폼은 코드를 쉽게 배포할 수 있도록 지원한다. AWS 람다는 기본적으로 자바, 고, 파워셸, 노드닷제이에스, C#, 파이썬, 루비를 지원한다. 사용자가...

2022.04.07

알고도 속는 5가지, 몰라서 속는 4가지 '소셜 엔지니어링' 속임수

교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다.  사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다.  보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다.    스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다.  인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, ...

사회공학 해킹 소셜 엔지니어링 사이버 공격 랜섬웨어 악성코드 악성 소프트웨어 이메일 피싱 피싱 공격 전화 피싱

2022.03.30

교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다.  사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다.  보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다.    스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다.  인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, ...

2022.03.30

“비다르(Vidar) 악성코드 포함된 MS 도움말 파일 발견돼”

美 보안 회사 트러스트웨이브(Trustwava)가 ‘비다르(Vidar)’ 스파이웨어 패키지를 포함한 신종 이메일 캠페인을 발견했다고 공식 블로그를 통해 밝혔다. 해당 이메일 맬웨어에 첨부된 파일은 마이크로소프트의 CHM(Compiled HTML) 도움말 파일로 위장하고 있어 주의가 필요하다.    회사에 따르면 이메일 캠페인에 첨부된 파일은 워드 문서(request.doc)로 표시돼 있지만 실제로는 비다르 페이로드와 ISO로 패키지돼 있다. 이를 열면 ‘CHM’을 사용하는 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe)이 나온다. 트러스트웨이브의 연구원 다이애나 로페라는 “타깃이 가짜 문서(request.doc)를 열고 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe) 중 하나를 실행하면 악성 패키지가 트리거되고 시스템이 손상된다”라고 설명했다.    해당 공격에 사용된 CHM 파일은 대부분 합법적인 복사본이지만 HTML 응용 프로그램(HTA) 코드가 숨겨져 있다. 이 추가 코드는 CHM 파일이 실행될 때 백그라운드에서 악성 파일을 자동으로 실행한다.  이번 이메일 캠페인에서 확인된 비다르 버전은 모두 50.3이며, 오픈소스 소셜 네트워크 플랫폼 마스토돈(Mastodon)의 계정에서 C&C 서버를 검색한다고 회사 측은 전했다. 악성코드가 실행되면 마스토돈 페이지를 통해 식별한 C&C 서버에서 구성정보를 다운로드하고 작업을 시작한다. 먼저 브라우저 및 기타 애플리케이션에서 시스템 정보와 비밀번호 데이터를 수집하고, 해당 정보를 ZIP 파일로 C&C 서버에 전송한다. 그다음 감염된 시스템에 다른 맬웨어를 설치하고 자신을 삭제한다. 로페라는 “의심하지 않는 파일 형식에 악성 파일을 추가하는 것은 공격자가 탐지를 피하기 위해 사용하는 속임수 중 하나”라고 언급했다.  한편, 클라우드 보안 업체 인포블록스(Infoblox)의...

맬웨어 악성 소프트웨어 비다르

2022.03.28

美 보안 회사 트러스트웨이브(Trustwava)가 ‘비다르(Vidar)’ 스파이웨어 패키지를 포함한 신종 이메일 캠페인을 발견했다고 공식 블로그를 통해 밝혔다. 해당 이메일 맬웨어에 첨부된 파일은 마이크로소프트의 CHM(Compiled HTML) 도움말 파일로 위장하고 있어 주의가 필요하다.    회사에 따르면 이메일 캠페인에 첨부된 파일은 워드 문서(request.doc)로 표시돼 있지만 실제로는 비다르 페이로드와 ISO로 패키지돼 있다. 이를 열면 ‘CHM’을 사용하는 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe)이 나온다. 트러스트웨이브의 연구원 다이애나 로페라는 “타깃이 가짜 문서(request.doc)를 열고 도움말 파일(pss10r.chm)과 실행 가능한 파일(app.exe) 중 하나를 실행하면 악성 패키지가 트리거되고 시스템이 손상된다”라고 설명했다.    해당 공격에 사용된 CHM 파일은 대부분 합법적인 복사본이지만 HTML 응용 프로그램(HTA) 코드가 숨겨져 있다. 이 추가 코드는 CHM 파일이 실행될 때 백그라운드에서 악성 파일을 자동으로 실행한다.  이번 이메일 캠페인에서 확인된 비다르 버전은 모두 50.3이며, 오픈소스 소셜 네트워크 플랫폼 마스토돈(Mastodon)의 계정에서 C&C 서버를 검색한다고 회사 측은 전했다. 악성코드가 실행되면 마스토돈 페이지를 통해 식별한 C&C 서버에서 구성정보를 다운로드하고 작업을 시작한다. 먼저 브라우저 및 기타 애플리케이션에서 시스템 정보와 비밀번호 데이터를 수집하고, 해당 정보를 ZIP 파일로 C&C 서버에 전송한다. 그다음 감염된 시스템에 다른 맬웨어를 설치하고 자신을 삭제한다. 로페라는 “의심하지 않는 파일 형식에 악성 파일을 추가하는 것은 공격자가 탐지를 피하기 위해 사용하는 속임수 중 하나”라고 언급했다.  한편, 클라우드 보안 업체 인포블록스(Infoblox)의...

2022.03.28

여전히 사용되는 ‘해묵은’ 공격 벡터 7가지

오늘날 디지털 혁명 시대에도 악의적 해커는 수십 년 전의 공격 벡터를 계속 사용하고 있다. 최근 한 연구에서는 오래 전에 사용된 특정 공격이 부활한 기간을 보여주기도 했다. 공격은 시간이 지나면서 조금씩 바뀔 수 있지만 감염과 배포, 확산 지점은 그대로 유지되며 심각한 데이터 유출을 야기할 수 있다. ETI(Egress Threat Intelligence) 부사장 잭 채프먼은 “사이버 범죄자는 기존에 자신이 선호하던 공격 방식을 재사용하는 경향이 있다. 특히, 법률집행 및 보안팀의 노력으로 새로운 공격 벡터가 차단되거나 실행되지 않을 때 더욱 그렇다”라고 말했다.   CNSS(Cato Networks Strategic Security) 엔지니어 피터 리도 채프먼의 말에 동의하며 사이버 범죄자가 오래된 공격 벡터를 사용하는 대표적인 이유 2가지로 경제와 표적 획득을 들었다. 리는 “나날이 발전하는 익스플로잇 공격 시장은 공격자가 표적에 가하는 모든 공격에 가격을 붙인다. 가격은 매우 다양하기 때문에 공격자는 저렴한 공격을 시도해 목적을 달성하려고 할 것이다. 예를 들어, 2017년에 만든 패치되지 않은 웹 서버 CVE로 동일한 표적을 해킹할 수 있다면 굳이 200만 달러의 아이폰 제로데이를 구매할 필요가 없다. 또한, 사이버 보안이 전반적으로 개선돼 사이버 범죄자의 메시지가 주요 표적에게 도달하는 것이 더욱 어려워졌다. 이로 인해 여러 방어자의 레이더에서 벗어난 오래된 벡터에 의지할 수밖에 없는 경우가 많다”라고 말했다. 사이버 범죄자가 여전히 사용 중인 오래된 7가지 공격 벡터와 실질적인 대응책도 살펴보자.   1. 시스템을 감염시키고 악성코드를 퍼뜨리는 물리적 스토리지 장치 최초의 컴퓨터 바이러스는 플로피 디스크를 통해 확산됐다. 지금도 공격자는 물리적 스토리지 장치를 사용해 시스템을 감염시키고 악성코드를 퍼뜨린다. 이런 현상은 올해 1월, FBI가 악성 소프트웨어를 포함한 여러 USB 드라이브를 운송, 국방, 보험 기관 직원에게 송...

사이버범죄 공격벡터 익스플로잇

2022.03.21

오늘날 디지털 혁명 시대에도 악의적 해커는 수십 년 전의 공격 벡터를 계속 사용하고 있다. 최근 한 연구에서는 오래 전에 사용된 특정 공격이 부활한 기간을 보여주기도 했다. 공격은 시간이 지나면서 조금씩 바뀔 수 있지만 감염과 배포, 확산 지점은 그대로 유지되며 심각한 데이터 유출을 야기할 수 있다. ETI(Egress Threat Intelligence) 부사장 잭 채프먼은 “사이버 범죄자는 기존에 자신이 선호하던 공격 방식을 재사용하는 경향이 있다. 특히, 법률집행 및 보안팀의 노력으로 새로운 공격 벡터가 차단되거나 실행되지 않을 때 더욱 그렇다”라고 말했다.   CNSS(Cato Networks Strategic Security) 엔지니어 피터 리도 채프먼의 말에 동의하며 사이버 범죄자가 오래된 공격 벡터를 사용하는 대표적인 이유 2가지로 경제와 표적 획득을 들었다. 리는 “나날이 발전하는 익스플로잇 공격 시장은 공격자가 표적에 가하는 모든 공격에 가격을 붙인다. 가격은 매우 다양하기 때문에 공격자는 저렴한 공격을 시도해 목적을 달성하려고 할 것이다. 예를 들어, 2017년에 만든 패치되지 않은 웹 서버 CVE로 동일한 표적을 해킹할 수 있다면 굳이 200만 달러의 아이폰 제로데이를 구매할 필요가 없다. 또한, 사이버 보안이 전반적으로 개선돼 사이버 범죄자의 메시지가 주요 표적에게 도달하는 것이 더욱 어려워졌다. 이로 인해 여러 방어자의 레이더에서 벗어난 오래된 벡터에 의지할 수밖에 없는 경우가 많다”라고 말했다. 사이버 범죄자가 여전히 사용 중인 오래된 7가지 공격 벡터와 실질적인 대응책도 살펴보자.   1. 시스템을 감염시키고 악성코드를 퍼뜨리는 물리적 스토리지 장치 최초의 컴퓨터 바이러스는 플로피 디스크를 통해 확산됐다. 지금도 공격자는 물리적 스토리지 장치를 사용해 시스템을 감염시키고 악성코드를 퍼뜨린다. 이런 현상은 올해 1월, FBI가 악성 소프트웨어를 포함한 여러 USB 드라이브를 운송, 국방, 보험 기관 직원에게 송...

2022.03.21

IAB부터 서비스형 X까지··· ‘사이버 범죄 뒷골목’ 살펴보기

오늘날 사이버 범죄자는 혼자 해킹에 나서기보다 랜섬웨어 갱단 등의 조직적이고 불법적인 비즈니스로 자리매김하고 있다. 점점 더 많은 랜섬웨어 그룹이 등장하고 있으며, 기존 그룹은 주요 기업을 해킹하면서 계속 성장하고 있다. 랜섬웨어 갱단, 강탈 그룹, 디도스 공격자의 성공률 증가는 결코 우연이 아니다. 그 이면에는 다양한 계층의 위협 행위자로 구성된 조직적인 구조가 있다. 이들은 최종 목표를 달성하고 각자의 몫을 받기 위해 협력한다.    초기 액세스 브로커(Initial Access Broker; IAB) IAB는 엔터프라이즈 액세스 권한을 구매자(다른 공격자)에게 판매하는 위협 행위자 계층이다. 데이터 유출 시장, 포럼, 폐쇄적인 메시징 앱 채널과 채팅 그룹 등에서 활동한다. 하지만 IAB는 데이터 유출, 암호화, 삭제 등의 후속적인 활동을 수행하진 않는다. 영업 비밀을 훔칠 것인지, 랜섬웨어를 배포할 것인지, 스파이웨어를 설치할 것인지, 데이터를 유출할 것인지 등 이 액세스 권한을 악용할 방식을 결정하는 건 구매자의 몫이다.  클라우드용 암호 없는 인증 서비스 업체 클라우드 라디우스(Cloud RADIUS)의 수석 소프트웨어 엔지니어 벤 리차드슨은 “과거에 IAB는 주로 기업 데이터를 파괴하거나 IP 또는 재무 데이터를 훔치려는 범죄자에게 해당 기업의 액세스 권한을 판매했다”라며, “이때는 공격 횟수가 적었기 때문에 수요가 많지 않았다. 일반적으로 스파이 행위 및 절도를 위해 비즈니스 경쟁업체에서 고용하는 경우가 많았다”라고 설명했다.   이어서 그는 랜섬웨어 시대가 기하급수적인 ‘IAB’ 수요 증가를 초래했다고 언급했다. IAB는 이제 랜섬웨어 갱단에 고용돼 갱단이 기밀 파일을 암호화하고 백업을 파괴할 수 있도록 타깃 회사를 해킹하고 있다.   서비스형 X(X as a service) 현재, ‘서비스형 X(X-as-a-Service)’라는 용어는 비교적 새로운 비즈니스 모델을 구성하는 서비스형...

사이버 범죄 사이버 범죄 그룹 초기 액세스 브로커 IAB 서비스형 랜섬웨어 데이터 브로커 랜섬웨어 갱단

2022.03.16

오늘날 사이버 범죄자는 혼자 해킹에 나서기보다 랜섬웨어 갱단 등의 조직적이고 불법적인 비즈니스로 자리매김하고 있다. 점점 더 많은 랜섬웨어 그룹이 등장하고 있으며, 기존 그룹은 주요 기업을 해킹하면서 계속 성장하고 있다. 랜섬웨어 갱단, 강탈 그룹, 디도스 공격자의 성공률 증가는 결코 우연이 아니다. 그 이면에는 다양한 계층의 위협 행위자로 구성된 조직적인 구조가 있다. 이들은 최종 목표를 달성하고 각자의 몫을 받기 위해 협력한다.    초기 액세스 브로커(Initial Access Broker; IAB) IAB는 엔터프라이즈 액세스 권한을 구매자(다른 공격자)에게 판매하는 위협 행위자 계층이다. 데이터 유출 시장, 포럼, 폐쇄적인 메시징 앱 채널과 채팅 그룹 등에서 활동한다. 하지만 IAB는 데이터 유출, 암호화, 삭제 등의 후속적인 활동을 수행하진 않는다. 영업 비밀을 훔칠 것인지, 랜섬웨어를 배포할 것인지, 스파이웨어를 설치할 것인지, 데이터를 유출할 것인지 등 이 액세스 권한을 악용할 방식을 결정하는 건 구매자의 몫이다.  클라우드용 암호 없는 인증 서비스 업체 클라우드 라디우스(Cloud RADIUS)의 수석 소프트웨어 엔지니어 벤 리차드슨은 “과거에 IAB는 주로 기업 데이터를 파괴하거나 IP 또는 재무 데이터를 훔치려는 범죄자에게 해당 기업의 액세스 권한을 판매했다”라며, “이때는 공격 횟수가 적었기 때문에 수요가 많지 않았다. 일반적으로 스파이 행위 및 절도를 위해 비즈니스 경쟁업체에서 고용하는 경우가 많았다”라고 설명했다.   이어서 그는 랜섬웨어 시대가 기하급수적인 ‘IAB’ 수요 증가를 초래했다고 언급했다. IAB는 이제 랜섬웨어 갱단에 고용돼 갱단이 기밀 파일을 암호화하고 백업을 파괴할 수 있도록 타깃 회사를 해킹하고 있다.   서비스형 X(X as a service) 현재, ‘서비스형 X(X-as-a-Service)’라는 용어는 비교적 새로운 비즈니스 모델을 구성하는 서비스형...

2022.03.16

시스코 탈로스, 퍼블릭 클라우드 활용한 맬웨어 캠페인 경고

애저와 AWS와 같은 퍼블릭 클라우드를 이용해 나노코어(Nanocore), 넷와이어(Netwire), 에이싱크랫(AsyncRAT)을 확산시키는 맬웨어 캠페인이 포착했다고 시스코가 밝혔다. 시스코 탈로스의 보안 연구원 케탄 라푸푸라사드와 벤차 스바처는 탈로스 블로그를 통해 클라우드 서비스를 악의적인 목적으로 악용하는 공격의 최신 사례라고 말했다.  설명에 따르면 해커들은 DuckDNS 동적 DNS 서비스를 사용하여 캠페인에 사용된 명령 및 제어 호스트의 도메인 이름을 변경해 위장했다. 해당 캠페인은 나노코어, 넷와이어, 에이싱크랫의 변종을 미국, 이탈리아, 싱가포르 지역에 지난 10월 26일부터 배포한 것으로 전해졌다. 이러한 변종에는 목표의 컴퓨터를 제어하여 명령을 내리고 정보를 훔칠 수 있는 여러 기능이 내장돼 있다는 설명이다.  감염된 ZIP 파일이 포함된 피싱 이메일 이용해 공격 시작 연구원들은 초기 감염 벡터가 ZIP 아카이브가 중독된 피싱 이메일임을 발견했다. 아카이브에는 악성 스크립트가 포함된 ISO 이미지가 포함돼 있었다. 스크립트가 실행되면 애저 또는 AWS에서 호스팅되는 서버에 연결해 맬웨어를 다운로드하는 방식이었다.  연구진은 “위협 행위자들이 클라우드 기술을 활용하는 동향이 증가하고 있다. 클라우드 서비스를 통해 공격자는 저렴하고 빠르게 인프라를 설정할 수 있다. 또 공격에 대한 추적이 더 어려워지기도 한다”라고 전했다.  자동화 위협 관리 솔루션 벤더 벡트라의 올리버 타바콜리 CTO는 맬웨어 명령 및 제어를 위해 외부의 인프라를 사용하는 것이 완전히 새로운 것은 아니라고 전했다. 그는 “클라우드 이전 시대에도 외부 컴퓨팅 인프라에 침입하여 맬웨어를 배포하는 양태가 있었다. 이제 공격자들이 퍼블릭 클라우드 인프라를 이용하고 있다. 쉽게 블랙리스트에 올릴 수 없는 인프라를 임대하는 것이다”라고 말했다.  클라우드 네이티브 네트워크 보안 서비스 벤더 발틱스의 수석 보안 연구원 데이비스 맥...

시스코 탈로스 나노코어 넷와이어 에이싱크랫

2022.01.24

애저와 AWS와 같은 퍼블릭 클라우드를 이용해 나노코어(Nanocore), 넷와이어(Netwire), 에이싱크랫(AsyncRAT)을 확산시키는 맬웨어 캠페인이 포착했다고 시스코가 밝혔다. 시스코 탈로스의 보안 연구원 케탄 라푸푸라사드와 벤차 스바처는 탈로스 블로그를 통해 클라우드 서비스를 악의적인 목적으로 악용하는 공격의 최신 사례라고 말했다.  설명에 따르면 해커들은 DuckDNS 동적 DNS 서비스를 사용하여 캠페인에 사용된 명령 및 제어 호스트의 도메인 이름을 변경해 위장했다. 해당 캠페인은 나노코어, 넷와이어, 에이싱크랫의 변종을 미국, 이탈리아, 싱가포르 지역에 지난 10월 26일부터 배포한 것으로 전해졌다. 이러한 변종에는 목표의 컴퓨터를 제어하여 명령을 내리고 정보를 훔칠 수 있는 여러 기능이 내장돼 있다는 설명이다.  감염된 ZIP 파일이 포함된 피싱 이메일 이용해 공격 시작 연구원들은 초기 감염 벡터가 ZIP 아카이브가 중독된 피싱 이메일임을 발견했다. 아카이브에는 악성 스크립트가 포함된 ISO 이미지가 포함돼 있었다. 스크립트가 실행되면 애저 또는 AWS에서 호스팅되는 서버에 연결해 맬웨어를 다운로드하는 방식이었다.  연구진은 “위협 행위자들이 클라우드 기술을 활용하는 동향이 증가하고 있다. 클라우드 서비스를 통해 공격자는 저렴하고 빠르게 인프라를 설정할 수 있다. 또 공격에 대한 추적이 더 어려워지기도 한다”라고 전했다.  자동화 위협 관리 솔루션 벤더 벡트라의 올리버 타바콜리 CTO는 맬웨어 명령 및 제어를 위해 외부의 인프라를 사용하는 것이 완전히 새로운 것은 아니라고 전했다. 그는 “클라우드 이전 시대에도 외부 컴퓨팅 인프라에 침입하여 맬웨어를 배포하는 양태가 있었다. 이제 공격자들이 퍼블릭 클라우드 인프라를 이용하고 있다. 쉽게 블랙리스트에 올릴 수 없는 인프라를 임대하는 것이다”라고 말했다.  클라우드 네이티브 네트워크 보안 서비스 벤더 발틱스의 수석 보안 연구원 데이비스 맥...

2022.01.24

“유해한 USB 드라이브를 직원에게 배송”··· FBI, ‘배드USB’ 공격 경고

악성 소프트웨어를 담은 USB 드라이브를 직원에게 발송하는 방식의 공격이 증가하고 있다고 FBI가 경고했다. ‘배드USB’(BadUSB) 공격의 행태와 이에 대처하는 방식을 살펴본다. FBI에 따르면, 2021년 8월에서 11월 사이에 운송, 방산 및 보험 분야의 조직을 대상으로 악성 소프트웨어가 담긴 USB 드라이브가 송달되는 공격이 다수 출현했다. 복지부와 아마존을 사칭하는 가짜 편지가 동봉됐으며, 미국 우편 서비스와 UPS를 통해 배송됐다. FBI는 이러한 ‘배드USB’ 공격의 배후로 FIN7 해커 조직을 지목했다.  트러스트웨이브 스파이더랩의 보안 연구 수석 칼 시글러는 “배드USB 공격은 피해자에게 기프트 카드나 송장이 담긴 것처럼 보이는 물리 USB 스틱을 발송한다. 이를 피해자의 시스템에 연결하도록 유인하는 것이다”라고 말했다. 그와 그의 맬웨어 연구팀은 2020년 악성 썸 드라이브를 조사하면서 이 공격 캠페인을 처음 발견한 바 있다. 시글러는 “USB 드라이브는 컴퓨터에서 USB 키보드로 인식된다. 자동으로 일반적으로 명령 셸을 호출하고 맬웨어를 다운로드하기 위한 명령이 입력되게 된다”라고 설명했다.  이후 진행되는 공격 양태는 다양하다. 크리덴셜 탈취에서 백도어 및 랜섬웨어 설치에 이른다. 시글러는 이러한 공격이 희귀하다는 점에서 꽤 효과적일 수 있다고 강조했다.  사이버리즌의 최고 비전 책임자이자 공동 설립자인 요시 나르에 따르면 재택 근무 동향을 활용하려는 공격일 수 있다. 그는 “재택근무 환경에서는 보호 방책이 줄어든다. 재택근무자가 업무용 컴퓨터나 홈 네트워크에 연결할 가능성이 높아진다. 업무용 네트워크에 쉽게 연결될 수 있는 것이다”라고 말했다.  이러한 공격을 막기 위한 조치들이 있다. 먼저 이 공격 유형을 보안 교육을 통해 알리고 모든 직원이 확인되지 않은 하드웨어를 시스템에 삽입하거나 연결하지 않도록 하는 것이다. 또 명령 셸 남용 및 다운로드될 수 있는 후속 맬웨어를 모니터링할 수...

배드USB USB 공격 FBI 재택근무

2022.01.21

악성 소프트웨어를 담은 USB 드라이브를 직원에게 발송하는 방식의 공격이 증가하고 있다고 FBI가 경고했다. ‘배드USB’(BadUSB) 공격의 행태와 이에 대처하는 방식을 살펴본다. FBI에 따르면, 2021년 8월에서 11월 사이에 운송, 방산 및 보험 분야의 조직을 대상으로 악성 소프트웨어가 담긴 USB 드라이브가 송달되는 공격이 다수 출현했다. 복지부와 아마존을 사칭하는 가짜 편지가 동봉됐으며, 미국 우편 서비스와 UPS를 통해 배송됐다. FBI는 이러한 ‘배드USB’ 공격의 배후로 FIN7 해커 조직을 지목했다.  트러스트웨이브 스파이더랩의 보안 연구 수석 칼 시글러는 “배드USB 공격은 피해자에게 기프트 카드나 송장이 담긴 것처럼 보이는 물리 USB 스틱을 발송한다. 이를 피해자의 시스템에 연결하도록 유인하는 것이다”라고 말했다. 그와 그의 맬웨어 연구팀은 2020년 악성 썸 드라이브를 조사하면서 이 공격 캠페인을 처음 발견한 바 있다. 시글러는 “USB 드라이브는 컴퓨터에서 USB 키보드로 인식된다. 자동으로 일반적으로 명령 셸을 호출하고 맬웨어를 다운로드하기 위한 명령이 입력되게 된다”라고 설명했다.  이후 진행되는 공격 양태는 다양하다. 크리덴셜 탈취에서 백도어 및 랜섬웨어 설치에 이른다. 시글러는 이러한 공격이 희귀하다는 점에서 꽤 효과적일 수 있다고 강조했다.  사이버리즌의 최고 비전 책임자이자 공동 설립자인 요시 나르에 따르면 재택 근무 동향을 활용하려는 공격일 수 있다. 그는 “재택근무 환경에서는 보호 방책이 줄어든다. 재택근무자가 업무용 컴퓨터나 홈 네트워크에 연결할 가능성이 높아진다. 업무용 네트워크에 쉽게 연결될 수 있는 것이다”라고 말했다.  이러한 공격을 막기 위한 조치들이 있다. 먼저 이 공격 유형을 보안 교육을 통해 알리고 모든 직원이 확인되지 않은 하드웨어를 시스템에 삽입하거나 연결하지 않도록 하는 것이다. 또 명령 셸 남용 및 다운로드될 수 있는 후속 맬웨어를 모니터링할 수...

2022.01.21

“해결 방법 없다” 구글이 본 제로클릭 공격의 위험

모바일 보안과 관련해 사용자는 항상 의심스러운 링크나 이메일, 첨부파일을 피하며 각별한 주의를 기울여야 한다. 하지만 제로클릭(zero-click) 사이버 공격이 늘어나면서 이런 노력이 무력해지고 있다.   지난 12월 구글은 대표적인 제로클릭 사이버 공격인 페가수스(Pegasus)의 작동 방법을 연구한 결과를 발표했다. 페가수스 스파이웨어는 언론인과 세계 지도자를 해킹하기 위해 이스라엘 보안업체 NSO 그룹이 사용한 것으로 알려졌다. 구글 프로젝트 제로(Project Zero) 팀은 “지금까지 확인한 사이버 공격 가운데 기술적으로 가장 정교했으며, NSO의 기술이 일부 국가에서만 접근할 수 있다고 여겨진 기술에 필적한다는 것을 보여준다”라고 말했다. 구글의 연구결과에서 가장 놀라운 점은 페가수스가 보안 알람의 불문율, 즉 ‘효과적인 방어책이 없는 공격은 그 세부사항을 보고하는 것이 차선책’이라는 규칙을 깨뜨렸다는 점이다. 구글은 업계가 제로클릭 공격에 대한 방어책을 신속하게 마련할 수 있도록 세부 논의가 필요하다고 강조했다. 구글은 “NSO가 개발한 제로클릭 공격 기술은 어떠한 상호작용도 필요 없다. 따라서 평소에 피싱 링크를 클릭하지 않는, 기술에 능숙한 사람도 공격 대상이 되었다는 점을 모른다. 공격자는 피싱 메시지를 전송하지 않고 휴대폰 백그라운드에서 조용히 공격을 진행한다. 기기를 사용하지 않는 것 외에는 예방 방법이 없다. 방어할 수 없는 무기인 셈이다”라고 설명했다. 공격 수단은 ‘가짜 GIF’ 페가수스 공격의 배후로 알려진 NSO는 가짜 GIF로 코어그래픽스 PDF(CoreGraphics PDF) 파서의 취약점을 겨냥했다. 가짜 GIF는 확장자가 .gif이지만 실제로는 GIF 이미지 파일이 아니다. 파일명과 확장자는 사용자를 안심시키는 수단에 불과했다. ImageIO 라이브러리는 파일 확장자에 상관없이 소스 파일의 올바른 형식을 추측하고 구문을 분석하는 데 사용된다. 이를 가짜 GIF에 적용하면 20개 이상의 이미지 코덱...

NSO 페가수스 스파이웨어 구글 해킹

2022.01.13

모바일 보안과 관련해 사용자는 항상 의심스러운 링크나 이메일, 첨부파일을 피하며 각별한 주의를 기울여야 한다. 하지만 제로클릭(zero-click) 사이버 공격이 늘어나면서 이런 노력이 무력해지고 있다.   지난 12월 구글은 대표적인 제로클릭 사이버 공격인 페가수스(Pegasus)의 작동 방법을 연구한 결과를 발표했다. 페가수스 스파이웨어는 언론인과 세계 지도자를 해킹하기 위해 이스라엘 보안업체 NSO 그룹이 사용한 것으로 알려졌다. 구글 프로젝트 제로(Project Zero) 팀은 “지금까지 확인한 사이버 공격 가운데 기술적으로 가장 정교했으며, NSO의 기술이 일부 국가에서만 접근할 수 있다고 여겨진 기술에 필적한다는 것을 보여준다”라고 말했다. 구글의 연구결과에서 가장 놀라운 점은 페가수스가 보안 알람의 불문율, 즉 ‘효과적인 방어책이 없는 공격은 그 세부사항을 보고하는 것이 차선책’이라는 규칙을 깨뜨렸다는 점이다. 구글은 업계가 제로클릭 공격에 대한 방어책을 신속하게 마련할 수 있도록 세부 논의가 필요하다고 강조했다. 구글은 “NSO가 개발한 제로클릭 공격 기술은 어떠한 상호작용도 필요 없다. 따라서 평소에 피싱 링크를 클릭하지 않는, 기술에 능숙한 사람도 공격 대상이 되었다는 점을 모른다. 공격자는 피싱 메시지를 전송하지 않고 휴대폰 백그라운드에서 조용히 공격을 진행한다. 기기를 사용하지 않는 것 외에는 예방 방법이 없다. 방어할 수 없는 무기인 셈이다”라고 설명했다. 공격 수단은 ‘가짜 GIF’ 페가수스 공격의 배후로 알려진 NSO는 가짜 GIF로 코어그래픽스 PDF(CoreGraphics PDF) 파서의 취약점을 겨냥했다. 가짜 GIF는 확장자가 .gif이지만 실제로는 GIF 이미지 파일이 아니다. 파일명과 확장자는 사용자를 안심시키는 수단에 불과했다. ImageIO 라이브러리는 파일 확장자에 상관없이 소스 파일의 올바른 형식을 추측하고 구문을 분석하는 데 사용된다. 이를 가짜 GIF에 적용하면 20개 이상의 이미지 코덱...

2022.01.13

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5