Main News - 리눅스 기반 멀웨어, IaC 도구들을 악용해 퍼지고 암호화폐 채굴
리눅스 기반 멀웨어, IaC 도구들을 악용해 퍼지고 암호화폐 채굴
리눅스 기반 시스템을 표적으로 삼는 봇넷 멀웨어가 새롭게 등장했다. 재미있는 건 이 멀웨어에 토르 프록시, 정상 데브옵스 도구 악용, 다른 경쟁 멀웨어 삭제 등 현재 유행하는 다양한 기술이
m.boannews.com
리눅스 기반 시스템을 표적으로 삼는 새로운 봇넷 멀웨어 등장
정상 바이너리와 IaC 도구들을 악용해 증식, 피해자 시스템에 안착해서 기존 암호화폐 채굴 멀웨어를 지우고 새 것 설치
이 멀웨어에 토르 프록시, 정상 데브옵스 도구 악용, 다른 경쟁 멀웨어 삭제 등 현재 유행하는 다양한 기술 탑재
이 멀웨어는 토르 기반 익명 네트워크에서 최초 침투 후 필요한 스크립트, 공격에 활용될 정상 바이너리 등 필요한 파일 다운 가능 -> 이를 바탕으로 HTTP 요청 전송, 감염된 시스템에 대한 정보 수집, 프로세스 실행
공격자들은 프록시들로 구성된 거대한 네트워크를 보유,유지함으로써 표면웹과 토르 네트워크가 상호연결상태에 머물도록 함.
이 프록시들은 IP 주소, 아키텍처, 사용자 이름 등 피해자 시스템과 관련된 다양한 정보를 전송, 이를 통해 어떤 바이너리를 다운로드 할지 결정됨
이런식으로 악용된 프록시 서버의 진짜 주인들은 침해사실을 모르고 있는 것처럼 보임
이 멀웨어의 가장 큰 특징 : 특정 클라우드 기반 서비스와 에이전트들을 무력화, 코드형 인프라(IaC)도구들을 남용한다는 것. -> 특정 서비스, 도구들을 무력화 시킨 후 정상 도구들을 남용하여 멀웨어는 다른 시스템으로 퍼져나감
피해자 시스템에 안착 후 XM리그(XMRig)라는 모네로 채굴 도구를 설치하기 위한 작업 시작
News Tracking - 도커' 노리는 리눅스 악성코드 등장 (2020.07.30)
'도커' 노리는 리눅스 악성코드 등장
컨테이너 생성 및 배포 등의 작업을 자동화해주는 '도커'를 감염시켜 암호화폐 채굴에 악용하는 악성코드가 등장했다.지난 28일 미국 지디넷은 글로벌 보안 기...
zdnet.co.kr
악성코드 이름은 도키(Doki)
온라인 상에 노출돼 있는 도커를 공격 목표로 삼음
온라인에 노출된 도커 서버를 악성코드에 감염시키기까지 수 시간 정도 소요
해커 : 악성코드에 감염된 도커 API이용 -> 알파인 리눅스 기반의 새로운 서버들 배포, 이 서버들을 제어해 암호화폐 채굴에 악용 (타 암호화폐 채굴 악성코드와도 공유하는 특징)
특징 : 명령제어(C2) 서버의 URL을 결정하는 방식
일반적 - 악성코드 변종이 소스코드에 포함된 원 IP주소 또는 하드코딩된 URL에 접속하는 것과 달리, 도키는 암호화폐 도지코인 API를 사용하는 C2 서버 주소를 실시간으로 생성하기 위해 동적 DNS와 블록체인 기반의 도메인 생성 알고리즘(DGA)을 활용함
C2 서버 주소 생성과정
악성코드 - 하드코딩된 해커의 지갑 주소에서 송신된 값을 찾기 위해 도지코인 탐색기에 쿼리함찾은 결과값
-> SHA-256 알고리즘으로 암호화, 암호화한 값의 12자리까지는 서브도메인 생성에 씀서브도메인 값에 'ddns.net'을 붙여 도메인 구성
--> 해커는 C2 서버 주소를 손쉽게 바꿀 수 있게 됨(도지코인 지갑 주소에서 거래가 발생할 때마다 주소값이 바뀌기 때문)
이 악성코드 샘플이 20년 1월에 보고 되었지만, 지난 6개월 이상 탐지되지 않았다고 함. 이 악성코드를 탐지할 수 있던 백신은 6개에 불과했음
핫한곳엔 어디에나 방해꾼이나 악당이 한명씩은 꼭 있듯이 가상화폐 시장이 화제인 요즘 채굴을 노리는 멀웨어가 등장한다고 한다. 가상화폐라서 아직 금융권에 비해 보안이 그렇게 높은 수준이 아닌 듯 하다. 미래에 가상화폐의 가치가 어떻게 될지는 모르겠으나, 보안에 더 신경써야 할 것 같다.
Main News - 애플의 파일 공유 시스템인 에어드롭에서 2년째 취약점 안 고쳐져
애플의 파일 공유 시스템인 에어드롭에서 2년째 취약점 안 고쳐져
애플의 에어드롭(AirDrop)에서 취약점이 발견됐다. 이 취약점을 성공적으로 익스플로잇 할 경우 공격자들은 민감한 정보를 훔쳐갈 수 있게 된다고 한다. 공격에 활용되는 기술을 무작위 대입 혹은
m.boannews.com
독일의 한 공과대학에서 2년 전 에어드롭에서 취약점을 발견해 애플에 알림
이 취약점을 성공적으로 익스플로잇 할 경우 공격자들은 민감한 정보 훔칠 수 있음
공격에 사용되는 기술은 무작위 대입 혹은 그에 준하는 간단한 기법
단, 공격 성공을 위해서는 에어드롭이 활성화 된 피해자와 물리적으로 근접해 있어야 함
공격자에게 필요한 것 : 와이파이를 지원하는 장비, 상기한 것처럼 피해자와의 근접한 거리
iOS나 맥os장비에서 파일 공유 창을 열어 장비 검색 기능을 활성화시키고, 간단한 과정을 통해 해시 값을 무작위로 대입하면 암호화된 값 간단히 취득 가능
에어드롭 - 장비들을 연결시킬 때 먼저 전화번호와 이메일 주소를 비교하는 인증과정을 거침 -> 애플은 이러한 정보를 암호화 하긴 하지만 이때 사용되는 해시 기술에 오류o -> 해시값을 빠르게 역설계 함으로써 이메일 주소 정보를 파악할 수 있게 되는 원리
연구원들은 2019년 애플 측에 보고서를 전달했으나 애플은 어떠한 답장도 보내지 않았다. 현재 전 세계 15억 명이 넘는 애플 장비 사용자들이 프라이버시 침해 위험에 놓임
유일한 보호 방법은 에어드롭을 비활성화시키는 것
애플에서 연락이 없자 연구원들은 취약점 공개함
News Tracking - 애플'에어드랍'기능, 개인정보유출 취약점 발견(2021.04.25)
애플 ‘에어드랍’ 기능, 개인정보유출 취약점 발견 - 이뉴스투데이
[이뉴스투데이 김영민 기자] 애플 기기 간 연락처, 사진, 문서파일을 공유하는 ‘에어드랍’ 기능에서 개인정보가 유출될 수 있는 취약점이 발견됐다.23일(현지시간) 미국 IT전문매체 나인투파이
www.enewstoday.co.kr
News Tracking - 애플 에어드롭에 중대한 프라이버시 취약점 (2021.04.26)
"애플 에어드롭에 중대한 프라이버시 취약점" - ITWorld Korea
에어드롭은 파일과 사진을 주변 사람과 공유하는 편리한 방법이다. 그런데 낯선 이가 사용자의 개인 정보를 탈취할 수 있는 보안 취약점을 한 보안 연구팀이 발견했다. 시스템이 잠금 상태에서
www.itworld.co.kr
iOS가 안드로이드보다 보안에 강하다는 말이 많기는 하지만 이 역시 사람이 만든 기기이기때문에 100%보안을 할 수는 없다. 독일 연구자들이 취약점 정보를 보냈을 때, 패치를 했는지는 모르겠지만 안했다면 이렇게 기사도 났으니 패치를 하기 바란다. 애플 기기를 사용하는 많은 사람들의 개인정보가 조금 더 명확하게 지켜졌음 한다.
'News Clipping' 카테고리의 다른 글
| [News Clipping] 2021. 05. 2주차 (0) | 2021.07.05 |
|---|---|
| [News Clipping] 2021. 05. 1주차 (0) | 2021.07.02 |
| [News Clipping] 2021. 04. 4주차 (0) | 2021.07.02 |
| [News Clipping] 2021. 04. 3주차 (0) | 2021.07.02 |
| [News Clipping] 2021. 04. 2주차 (0) | 2021.07.02 |