5/17 보안뉴스 정리

"미국 정부, 외국 해커들이 가장 좋아하는 취약점 목록 공개"

 

CISA와 FBI가 최근 공격자들이 많이 익스플로잇 하는 취약점들을 분석했다.

 

2016년과 2019년 사이, 미국의 단체 및 개인들을 노리는 사이버 공격자들은 다음과 같은 소프트웨어의 취약점들을 주로 익스플로잇 했다고 한다.

 

1) 마이크로소프트 오피스 : CVE-2017-11882, CVE-2017-0199, CVE-2012-0158, CVE-2015-1641

 

@CVE-2017-11882: 원격코드실행 버그.  EQNEDT32.EXE( 문서에 방정식을 삽입하거나 편집할 때 사용하는 수식편집기)에서 발생한다. 폰트 레코드의 폰트명을 처리하는 과정에서 strcpy()가 사용되는데, 원본과 대상 버퍼에 대한 경계 체크가 이루어지지 않는다. 이로 인해 스택 오버플로우가 발생될 수 있다.

출처: https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=27369

 

 

@CVE-2017-0199: 일종의 트로이목마로 MS Office 0-day 취약점을 이용한 악성코드이다. 워드 문서를 열면 숨겨진 Exploit 코드가 활성화되어 악성파일 다운로드가 가능한 원격 서버에 연결되고, 악성 파일이 컴퓨터로 다운로드된다. 주로 메일에 첨부되는 형식으로 사용자에게 전파된다.

 

@CVE-2012-0158: MSCOMCTL.OCX를 이용한 버퍼 오버플로우 취약점.  (RTF 파일을 이용한다.) 이메일에 첨부된 RTF 파일에 의해 렌섬웨어가 실행된다. (간단하게 정리하면 RTF 파일의 소스코드를 악성코드로 변경하여 공격한다.)

보다 자세한 정보: https://securelist.com/the-curious-case-of-a-cve-2012-0158-exploit/37158/

@RTF 파일: 서식 있는 텍스트 포맷. 서로 다른 운영체계 내에서 운영되는 워드프로세서들 간에 텍스트 파일들을 교환하기 위한 파일 형식

 

@CVE-2015-1641: 원격 코드 실행을 허용할 수 있는 마이크로소프트 오피스 취약점

 

=> 보다 많은 마이크로소프트 오피스 취약점: https://www.fireeye.kr/current-threats/recent-zero-day-attacks.html

 

2) 아파치 스트러츠 : CVE-2017-5638

 

@CVE-2017-5638: Jakarta 플러그인을 이용하여 파일 업로드를 처리할 때 원격에서 임의의 코드를 실행할 수 있는 취약점. 공격자는 HTTP Request 헤더의 Content-Type값을 변조하여 원격 코드실행을 가능하게 한다.

 

3) 마이크로소프트 셰어포인트 : CVE-2019-0604

 

@CVE-2019-0604: 원격 코드 실행을 가능하게 해주는 취약점. 셰어포인트가 애플리케이션 패키지의 소스 마크업을 확인하는 데 실패할 때 발동된다. 공격자들은 특수하게 조작된 셰어포인트 애플리케이션 패키지를 업로드 함으로써 위챡점을 발동시키고 익스플로잇 할 수 있다.

-관련 정보:

https://www.boannews.com/media/view.asp?idx=86186

https://www.boannews.com/media/view.asp?idx=79434

 

4) 마이크로소프트 윈도우 : CVE-2017-0143

 

@CVE-2017-0143(=MS17-010 =SMB 취약점): 처음에 정상 소프트웨어의 업데이트 기능을 위조 및 변조하여 사용자 PC를 감염시킴. 이 외에도 메일, 트로이목마 등을 통해서도 감염이 될 수 있다. 암호화폐 채굴 악성코드 등을 유포하는 데 쓰였다.

@SMB: Server Message Block. Windows의 서버 메시지 블록

-관련 정보:

https://blog.alyac.co.kr/2221

-공격 방법:

https://medium.com/@Lilyislily/smb%EC%B7%A8%EC%95%BD%EC%A0%90%EC%9D%98-%EC%9D%B4%ED%95%B4%EC%99%80-%EA%B3%B5%EA%B2%A9-%EC%8B%A4%EC%8A%B5-14a5cceb6d4a

 

5) 마이크로소프트 닷넷 프레임워크 : CVE-2017-8759

 

@CVE-2017-8759: WSDLParser 코드 인젝션. System.Runtime.Remoting.MetaData.wsdlparser.cs에서 정의된 PrintClientProxy에서 입력값에 대한 검증이 존재하지 않는다. 그래서 공격자가 입력한 코드를 그대로 넘기게 될 수 잇다.

-관련 정보:

https://story.malwares.com/109

https://two2sh.tistory.com/19

 

6) 어도비 플래시 플레이어 : CVE-2018-4878

 

@CVE-2018-4878: 원격 코드 실행 결함. 사용자가 Microsoft Office 문서, 웹페이지 또는 Flash 파일이 포함된 스팸 메일을 열도록 유인하여 공격을 할 수 있다. DRM Manager의 취약한 메서드는 리스너로 전달받은 객체를 처리하는 과정에서 전달받은 주소에 대해서 메모리 해제 여부를 검증하지 않고 해당 위치에 있는 다른 객체가 해제(삭제)되며 Danglin Pointer를 만들어 Use-After-Free 취약점을 발생시킨다.

-관련 정보:

https://www.seculetter.com/content/download/SecuLetter_AnalysisReport_Public.pdf

 

7) 드루팔 : CVE-2018-7600

 

@CVE-2018-7600: 원격 코드 실행 취약점. 드루팔의 Form API Ajax 요청 프로세스에서 입력값 검증이 제대로 이루어지지 않아 공격자로부터 악의적인 코드를 내부 양식 구조에 삽입할 수 있다.

@드루팔: PHP로 작성된 오픈 소스 콘텐츠 관리 프레임워크, 콘텐츠 관리 시스템 블로그 엔진

-관련 정보:

https://koromoon.blogspot.com/2018/05/cve-2018-7600-drupalgeddon2.html

 

 

다음과 같은 멀웨어들이 주로 사용되었다.
1) 로키(Loki)

: 정보 탈취형 멀웨어. 트로이목마 중 하나로 엔드포인트로부터 정보를 몰래 빼내는 데 특화되어 있다. 주로 스팸 이메일 속의 첨부파일로 공격 시도 한다. 

 

2) 폼북(FormBook)

: 다운로드 링크가 걸린 PDF 문서, 악성 매크로가 포함된 DOC 및 XLS 파일, 악성 실행 파일을 포함한 압축파일 등을 통해 공격한다. 키로깅, 클립보드 모니터링 기능, HTTP, HTTPS, SPDY, HTTP2 폼 그래빙(Form Grabbing), 스크린샷 생성, 브라우저 쿠키 삭제, 시스템 재시작, 종료 등의 기능을 가질 수 있다.

@폼그래빙: 공격자가 지정한 웹 사이트를 악성코드에 감염된 PC 사용자가 접속하게 될 경우 해당 웹 페이지에 추가적으로 사용자 입력 폼(Form)을 생성해 그곳에 입력되는 사용자 입력 키보드 값을 가로채 사용자 계정과 암호를 C&C 서버로 전송시키는 기법

 

3) 포니/파레잇(Pony/FAREIT)

@포니: 백그라운드에서 실행되어 시스템, 연결된 사용자 및 네트워크 활동에 대한 정보를 자동으로 수집할 수 있는 응용프로그램.

@파레잇: 트로이목마로 파일 관련, 시스템 관련 사용자 정보를 유출시키는 프로그램이다.

 

4) 핀스파이(FINSPY)

: 원격으로 웹메일을 모니터링하고 암호화된 데이터를 수집하거나 실시간으로 감시 대상의 소셜네트워크서비스(SNS)를 훔쳐보는 기능을 가지고 있다.

 

5) 레이튼트봇(LATENTBOT)

: 다층 난독화를 통한 잠입으로 아무런 흔적 없이 네트워크에 잠복해 하드디스크를 손상시킨다. 은밀한 잠입이 특징이다. 실제 악성 코드는 필요한 최소한의 기간 동안만 메모리에 남아있다 사라진다. 또 대부분의 감염된 데이터는 프로그램 리소스나 레지스트에서 발견되며, CnC 통신의 암호화에 포함되는 개별화된 암호 알고리즘이 각기 다른 요소들에 나뉘어져 존재하기 때문에 해당 악성코드의 바이너리는 안티바이러스 소프트웨어로 탐지하기 어렵다.

@CNC: Computer Numerical Control의 약자로서 Computer를 내장한 NC를 말한다. 

@NC: Numerical Control의 약자로서 공작물에 대한 공구의 위치를 그것에 대응하는 수치정보로 지령하는 제어를 말한다.

 

6) 드리덱스(Dridex)

: 2014년 즈음에 등장한 멀웨어로 악성 워드파일(.DOC)이 첨부된 스팸 메일을 통해 유포된다. 스팸메일을 수신한 이용자가 스팸메일의 첨부 파일을 열게 되면, 악성코드가 이용자 컴퓨터에 설치되게 된다. 이 악성코드는 다시 원자폭탄 기법을 활용해 정상적인 응용 프로세스에게 자신의 악성코드를 추가로 주입함으로써 보안 프로그램이 악성코드를 탐지하는 것을 매우 어렵게 만든다.

 

7) 젝스보스(JexBoss)

: 자바와 Red Hat JBoss의 취약점 탐지를 도와주는 파이썬 기반의 오픈 소스 툴이다.

-관련 정보:

https://vulners.com/pentestit/PENTESTIT:C47AA6D1808026ACA45B1AD1CF25CA3B

 

8) 차이나 초퍼(China Chopper)

: 일종의 웹쉘이다. 웹 서버를 원격으로 제어하거나 감시 활동에 사용된다. 

@웹쉘: 웹 사이트를 통해 쉘을 여는 공격

@쉘: 사용자에게 받은 지시를 해석하여 하드웨어 지시어로 바꿈으로써 운영체제의 커널과 사용자 사이를 이어주는 것.

 

9) 독콜(DOGCALL)

: APT37(북한의 해킹 그룹)에서 주로 사용하는 백도어. 주로 아래한글 워드 프로세서를 사용하여 퍼트린다.

 

10) 핀피셔(FinFisher)

: 핀스파이(FinSpy)와 동일하다.

 

11) 윙버드(WingBird)

: 핀스파이(FinSpy)와 동일하다.

 

12) 토시리프(Toshliph)

: 일종의 트로이목마 바이러스. 대부분 스팸 메일의 첨부파일 다운로드로 바이러스를 퍼트린다. 토시리프에 감염되면 파일과 폴더에 액세스할 수 없고, 컴퓨터 스캔의 속도가 느려진다.

 

13) 유워리어(UWarrior)

- 관련 정보를 찾을 수 없었다.

 

14) 키티(Kitty)

: 랜섬웨어이다. 파일들을 암호화하고 돈을 요구하기도 한다.

 

 

기사 링크: https://m.boannews.com/html/detail.html?idx=88189