2014.04.28

데일리시큐 : KISA 사칭 악성앱 유포 주의.. 공유기 취약점 이용

중요한 점은 기존 파밍의 경우 PC 감염을 통해 Hosts 파일을 변조하거나 IE에 인젝션되어 동작하는 형태가 대부분이었다. 뭐 다른 종류도 있지만 결국 PC에 감염이 이뤄진 경우다. 

하지만 이번 경우는 PC 이전에 공유기를 감염시키는 경우인데...

공유기는 파일을 실행하는 개념이 없기 때문에 송수신 패킷을 처리하는 과정에서 패킷내에 존재하는 ShellCode를 공유기에서 처리하는 과정에서 발생하는 취약점을 이용하는 것으로 보인다. 그래서 그랬나?? KISA에서 공유기 취약점에 대해 수집하던데...

2014.04.29

KISA : 유무선 공유기 관리자 페이지 보안 설정 권고

패킷 문제가 아닌 것 같다. 관리자 페이지가 보안 설정이 되어 있지 않거나 기본 설정 정보로 되어 있다는 점을 이용해 관리자 페이지를 이용해 사용자에게 노출한 것으로 보인다..정확히는 모르겠지만 관리자 페이지를 변조한 후 관리자 페이지로 리다이렉션하지만 관리지 페이지 정보가 아닌 다운로드 정보 관련 페이지가 나오는 건 아닌지 추정된다. 

2014.05.17

HerryMorison : 현대 HCN 공유기 DNS 변경 파밍 악성코드 공지사항

계속 궁금해 하던 부분에 대해 어느정도 해결된 듯 하다. 난 직접 공유기를 공격하는 형태인 줄 알았지만 사실 공유기에 연결된 고객 PC에서 공유기의 설정을 원격으로 변경하고 악성코드가 삭제되는 형태로 보인다. 이렇게 되면 PC는 정상이지만 파밍은 계속 유발되는 형태를 갖게 된다. 

이때 공유기의 ID/PW가 최초 공장 초기 버전을 갖고 있기 때문에 ID/PW를 변경하라는 기사와 공지가 있었던 것 같다. 어쩌면 매우 단순할 수 있지만 그동안 생각하지 못했던 부분이다. 앞으로 IoT가 활성화 되었을 때 사용할 수 있는 패러다임을 보여주는 것이다.

2014.05.20

Axler : [공지] 유무선 공유기 보안 펌웨어 파일 배포

공개되지 않았던 대상 공유기들이 하나씩 업데이트를 통해 공개되는 군요.. 이번엔 Axler 입니다. 

데일리시큐 : 페이스북 취약점, 디도스 공격에 악용될 수 있어

"시야의 차이" 와 "정책의 차이"를 알 수 있는 부분이다. 

해커 또는 공격자의 입장에서는 이러한 디테일한 부분이 다른 웹 사이트 공격에 악용될 수 있다는 이유로 보안 상의 취약점을 언급하지만 정책에서는 이러한 부분의 수정은 사이트 전체의 성능 저하를 야기할 수 있으며 해당 시나리오가 적용되기 위해서 필요한 조건에 대해 세밀한 확인 후 판단을 내렸다.

어느것이 잘못됐다고 할 수는 없다. 다만 시각의 차이는 것이다. 모의 해킹과 같은 컨설팅 부분에서는 해당 부분이 큰 문제가 될 수 있지만 회사 전체에서 해당 문제가 어느정도의 리스크를 갖고 있는지 파악하는 것이 우선이고 이를 제어 가능한 영역인지 확인하는게 두번째 이다. 따라서 페이스북의 대응이 잘못됐다고 판단하기는 어려울 것 같다. 

이것이 진정한 "위기 관리 시스템"이 아닐까..

머니투데이 뉴스 : 회원수 650만명 문서서식 제공업체 개인정보 유출

제목에는 언급되지 않았지만 기사 내용에 보니 회사가 "예스폼" 이군요

또한 최초 개인정보 유출 여부 파악은 KISA로 부터 전달받아 수사 의뢰를 한 경우입니다.

KISA와 협의를 통해 공개하지 않고 수사하는 방향도 가능했을텐데 먼저 공개 수사 의뢰를 진행한 경우라는 건 바람직한 것 같습니다. ( 자의가 아닐 수도 있지만... )

데일리시큐 : 무료 와이파이 사용자 노트북 해킹당해...은행 잔고 털려

국내에서도 충분히 사용될 수 있는 문제죠...최근엔 해킹과 관련된 다양한 시나리오가 공개되면서 공개장소의 와이파이가 PW가 걸려있는 경우가 많아 비교적 적을 수 있지만...아직 취약한 곳은 존재하기 때문에 언제든 가능하다. 

하지만 이러한 것과 관련해 과거 읽었던 책에선 보안에 대한 취약성도 존재하겠지만 그런 상황을 이용해 통신사에서 공개장소 와이파이를 PW를 걸어 외부에서 사용할 수 없도록 만들어 일반 사용자들에게 추가적인 통신 비용을 회수하는 등의 문제로 환원된다는 의견도 있다. 

어떤 것이 음모론일지 모르지만...아무튼 보안측면에서 오픈된 와이파이는 문제가 될 수 있다. 

디지털데일리 : 국내 보안 업계 HeartBleed 취약점 어쩌나..

분석 정보 - Hacksum : [CVE-2014-0160] OpenSSL HeartBleed 취약점

통계 정보 - 트랜드마이크로 : Heartbleed Vulnerability Affects 5% of Select Top Level 

                                         Domains from Top 1M

전 세계적으로 가장 많이 사용하고 있는 OpenSSL에 구멍이 뚫렸다. 

해당 취약점은 OpenSSL을 사용할 때 아파치 웹서버와의 연동을 위한 모듈의 취약점으로 

서버측 메모리의 64KB를 덤프할 수 있어 메모리에 저장되어 있는 데이터를 얻을 수 있게 된다. 본 취약점이 문제가 되는 가장 큰 부분은 64KB 메모리 덤프시 메모리에 저장되어 있는 서버측 비밀키가 유출될 수 있다는 점이다. 

트렌드마이크로에서 조사한 SSL 통신 프로토콜을 사용하는 사이트 수와 취약한 사이트 수에 대한 통계 정보이다. 당당히 우리나라가 가장 취약한 사이트를 많이 보유하고 있음을 알 수 있다. 다른 한편으로 가장 많은 사이트를 보유한 국가이므로 가장 비중이 높을 수도 있다. 

보안뉴스 : 무인항공기로 하늘 뚫려, 해킹으로 국과연 뚫려!

채널A : 국방과학연구원 해킹, 군 기밀 최대 수백 건 유출

아시아 경제 : ADD 기밀문건 유출 용의자는 "다음" 메일 사용자

3.20은 쇼다!

실제 3.20은 없었다. 하드 파괴형이 이슈가 되긴 했지만 그런 형태는 하루에 만들어지는 악성코드를 찾아보면 거의 매일 나온다고 할 수 있다. 그런데 그런 걸로 3.20이란 말을 만들고 언론 플레이하는 형태에 대해선 회의적이다. 당시 "백신 개발사측과 KISA등 국가 차원의 보안을 담당하고 있는 C&C와의 긴밀한 협조를 통해 큰 피해없이 차단했다"고 떠들었지만 그건 아닌 걸 알면서도 이미 3.20으로 대대적으로 방송되었기 때문에 그냥 진행한 것이라 할 수 있다. 

실제 3.20 당시 중요한 점은 조용히 덮어진 대기업 그룹웨어 해킹건이다. 실제 그건 해킹을 통해 흔히 내부망에서만 접근하는하도록 설계/설정되는 그룹웨어에 접근한 문제로 조금만 비약하면 요즘 이슈가 되는 POS나 스마트그리드에 접근이 가능하다는 것을 보여주는 좋은 사례이기 때문이다. ( 뭐 망 구성에 있어서 조금의 차이는 있겠지만.... )

따라서 단지 그때 사용한 IP와 동일한 IP를 사용했다는 단순한 사항을 바탕으로 한 추론은 억측에 가깝지 않을까 생각된다.