일일 보안이슈
DUHK 암호 공격
암호 공격기법 중 하나인 DUHK 가 알려졌다. DUHK 는 Don’t Use Hard-coded Keys 의 약자. 이 공격의 핵심은 두 가지 주요 요소에 기반한다. 첫 번째 요소는 ANSI X9.31 RNG(Random Number Generator)의 사용. 이 알고리즘은 랜덤 데이터를 받아 VPN 접속에 사용되는 암호화 키를 생성하는 알고리즘이다. 두 번째 요소는 하드웨어 벤더들이 하드코딩된 ANSI X9.31 seed key(시드값, 보통 RNG 에 사용되는 초기 설정값을 이르는 말, 시드로 생성된 랜덤값을 다음 랜덤값 생성에 사용해, 시드가 같으면 RNG 한 결과도 같다) 를 사용한다는 것. 시드값은 반드시 랜덤값을 사용해야 하지만 그렇지 않다는것. 이로인해 하드웨어 벤더가 ANSI X9.31 알고리즘과, 하드코딩된 시드값을 사용한다면 공격자는 통신을 중간에 가로채고 복호화 할 수 있다는 의미. 이는 VPN 장비에도 해당된다. Fortinet FortiGate 장비의 FortiOS 4.3.0 ~ FortiOS 4.3.18 가 영향받는다. 기사원문
LokiBot 안드로이드 파밍악성코드, 삭제 시도시 랜섬웨어로 돌변
LokiBot 이라 명명된 안드로이드용 파밍 악성코드는 사용자가 이 앱의 관리자 권한을 삭제 시도할 때 스마트폰을 잠궈버리는 랜섬웨어로 돌변한단 것을 발견했다. 최초발견자인 SfyLabs 에 따르면 랜섬웨어보단 파밍악성코드에 가깝다고. 다른 안드로이드용 파밍악성코드와 같이 가짜 은행 로그인 화면을 띄우는 방식으로 동작. 이 외에도 Skype, Outlook, WhatsApp 등 유명 앱의 크리덴셜 탈취도 시도. 현재 해킹 포럼에서 2000$에 판매중. 안드로이드 4.0 이상에서 동작하고 실행에 관리자 권한 요구. 따라서 설치 중 권한 관련 보안경고가 출력. 다행인 점은 랜섬웨어 동작 구현에 실수가 있어 실제 암호화엔 실패한다는 점. 단순히 이름이 변경될 뿐. 기사원문
CoinHive DNS 서버 해킹
CoinHive 는 최근 많이 알려진 정상(?) 브라우저 내장 가상화폐 채굴기 프레임웍. 보통 웹사이트 운영자가 광고수익 외 추가수입을 위해 자신의 웹사이트에 삽입 할 수 있도록 개발됐다. 현재 알려지지 않은 해커가 Coinhive 의 DNS 서버 하이재킹에 성공해 정상 CoinHive 대신 자신의 Monero 코인 마이너로 대체한것이 확인. Coinhive 측의 발표에 따르면 지난 10월 23일 22:00 GMT 에 발생했으며, 하루만에 침해 사실을 발견했다고.
Coinhive 측은 해커가 사내 Cloudflare 계정에 로그인해 DNS 레코드를 Coinhive 의 도메인에서 자신의 IP로 수정했다고 밝혔다. (Cloudflare 는 웹사이트 트래픽 병목을 방지하기 위해 캐싱서버를 제공하는 웹 서비스) 이곳에서 악의적으로 수정된 coinhive.min.js 이 배포됐다고. 수천여개의 Coinhive 설치 웹사이트가 수정된 버전을 다운로드 받았고, 해커의 채굴을 돕는 꼴이 됐다. Coinhive 개발진이 2014년 있었던 Kickstarter 데이터 유출사고에서 사용된것과 동일한 비밀번호를 Cloudflare 가입에 사용했던게 유력한 원인으로 보인다고… 기사원문
한국의 네개 은행 Newegg 고소
newegg 는 조립 PC에 관심이 많은 사람이라면 한번 쯤 들어봤을 미국의 유명 PC 하드웨어 판매 업체. 기업은행, 농협은행, KEB 하나은행, 국민은행은 newegg 가 수억달러 규모의 거대 금융사기 참여했다고 주장하며 고소했다. 소송에서 미국 컴퓨터 도매업체 ASI corp 또한 지목했다. LA 연방법원이 발간한 문서 에 따르면 Newegg 와 ASI corp 는 한국의 전자회사 Moneual(모뉴엘) 과 함께 폰지 사기(Ponzi-scheme)에 참여했다고… 모뉴엘 사태, LA Times
DDE 를 활용한 악성 워드문서 난독화 사례
SenseBlog 를 통해 DDE 를 코드실행에 활용하는 공격기법이 알려진지 불과 일주일만에 이를 난독화해 탐지를 회피하는 사례까지 등장. 이에 관한 기술문서 와 자체 번역
