개요 - 미국 국가안보국(NSA)이 프로그래밍 언어를 C 및 C++에서 러스트, 고(GO), C# 등으로 전환을 권장하는 지침을 발표
- 원격 코드실행 등 사이버 공격을 방지하기 위해 메모리 취약점이 개선된 언어를 사용할 것을 제안하는 내용
내용 - NSA는 소프트웨어 메모리 보안 사이버 보안 정보 시트를 지난 10일 발표
- 소프트웨어 개발자와 운영자를 대상으로 소프트웨어 메모리 안전 문제를 예방하고 완화할 수 있도록 마련

- 소프트웨어 메모리 취약점은 사이버범죄자가 악용 가능한 취약점의 상당 부분을 차지
- 윈도와 크롬 각 보안 문제의 70% 가 메모리 기반 취약점과 관련됐으며, 주로 C 및 C++를 사용한 결과로 알려짐

- 더불어 잘못된 메모리 관리는 잘못된 프로그램 결과, 시간 경과에 따른 프로그램 성능 저하, 프로그램 충돌과 같은 기술적인 문제 이어짐
결론 - NSA는 조직에서 가능한 메모리 안전 언어를 사용하고 컴파일러 옵션, 도구 옵션 및 운영 체제 구성과 같은 코드 강화 방어를 통해 보호를 강화할 것을 권장

 

 

뉴스

 

美 국가안보국, C/C++ 대신 러스트·고·C# 사용 권고

미국 국가안보국(NSA)이 프로그래밍 언어를 C 및 C++에서 러스트, 고(GO), C# 등으로 전환을 권장하는 지침을 발표했다. 원격 코드실행 등 사이버 공격을 방지하기 위해 메모리 취약점이 개선된 언어

n.news.naver.com

 

NSA Software Memory Safety CYBERSECURITY INFORMATION SHEET

 

NSA Releases Guidance on How to Protect Against Software Memory Safety Issues

The National Security Agency (NSA) published guidance today to help software developers and operators prevent and mitigate software memory safety issues, which account for a large portion of

www.nsa.gov

'보안뉴스' 카테고리의 다른 글

비밀번호가 사라진 시대를 준비하기  (0) 2022.11.21
아마존의 백업 기능 잘못 사용한 사용자들, 개인 식별 정보 대규모로 노출  (1) 2022.11.19
매그니베르 랜섬웨어, 윈도 MOTW 우회해 타이포스쿼팅 방식 유포  (1) 2022.11.08
11월 1일로 패치가 예고된 오픈SSL 취약점, 어쩌면 제2의 하트블리드  (0) 2022.10.31
랜섬웨어 그룹도 내부자 위협을 겪는다? 록빗 3.0 빌더 공개돼  (0) 2022.09.26
개요 - 매그니베르(Magniber) 랜섬웨어가 마이크로소프트 윈도의 MOTW(Mark of the Web) 기능을 우회하면서 타이포스쿼팅 방식으로 활발하게 유포
- MOTW는 NTFS 파일 시스템에서 동작하며, 다운로드 URL은 NTFS 파일 시스템의 윈도에서 Stream에 기록
- URL이 저장되는 Stream은 ‘파일명 : Zone.Identifier : $DATA’ 형태로 파일 경로에 생성되며 노트패드를 통해 간단히 확인 가능
- MOTW 기능에 의해 식별된 다운로드 파일을 실행하게 되면 경고 메시지가 발생
내용 - 매그니베르 랜섬웨어는 현재도 유포되고 있으며, 백신의 탐지를 회피하기 위해 다양한 변화를 시도
- 일부는 마이크로소프트에서 파일 출처를 알려주는 MOTW를 우회한 것으로 확인
- 공격자는 9월 8일부터 29일까지 20여일에 걸쳐 스크립트를 이용해 공격 및 타이포스쿼팅(Typosquatting) 방식으로 유포

- 다운로드된 파일은 윈도의 MOTW 기능에 의해 외부에서 가져온 파일로 식별
- 매그니베르 랜섬웨어는 MOTW 실행 차단을 우회하기 위해 9월 8일부터 29일 사이에 스크립트 하단에 디지털 서명을 사용
- 스크립트의 디지털 서명은 스크립트를 작성한 후 서명을 통해 스크립트가 변경되지 않았음을 보장하고, 작성한 사람을 확인할 수 있는 방법을 제공
- 매그니베르 랜섬웨어의 스크립트 하단에 포함된 디지털 서명은 MOTW를 우회하기 위한 목적으로 분석

- 현재 매그니베르 랜섬웨어는 스크립트 형태로 유포되지 않고 MSI 확장자로 유포
- 랜섬웨어 감염 진단을 회피하기 위해 유포 기법을 끊임없이 변경하기 때문에 사용자들의 각별한 주의가 필요
참고 * 타이포스쿼팅(Typosquatting)
- 개요 : 사회공학 기법의 일종으로 보편적으로 행해지고 있으며, 단순하지만 효과적인 공격 수법
- 공격 방식 : 정상 도메인과 비슷한 이름의 도메인을 등록 후 사용자의 오탈자 등으로 접속 시 악성코드 배포와 같은 악의적 행위가 이루어짐
- 도메인 가장 방식 : 대상 도메인의 오탈자, 다른 최상위 도메인, 관련 단어의 조합, 비슷하게 생긴 문자 등으로 도메인 생성
- 피해 범위 : 부당 이득, 광고 사기, 정보 탈취, 악성코드 유포, 명예 훼손 등
- 피해 사례 : 코로나19 팬데믹과 관련된 도메인 스푸핑 시도
- 대응 방안 :
① 주기적인 OS, 백신 업데이트
② 몇몇 밴더사에서 제공하는 스푸핑 가능성이 존재하는 도메인 식별 서비스 등을 이용
③ 사람들에게 의존하여 잘못된 도메인을 식별해야 한다는 사실로 인해 기술적 대응이 어려울 수 있음
④ 추가적으로 법적 조치가 필요한 경우도 있으나, 범죄 조직의 경우 법적 조치에 거의 반응하지 않음
⑤ 오히려 기업측에서 자체 도메인과 비슷한 도메인을 등록하여 올바른 URL로 리다이렉션하는 방안도 있으며, 이를 "방어적 등록" 혹은 "합법적 타이포스쿼팅"이라 함

 

- 보안뉴스

 

매그니베르 랜섬웨어, 윈도 MOTW 우회해 타이포스쿼팅 방식 유포

매그니베르(Magniber) 랜섬웨어가 파일 출처 확인이 가능한 마이크로소프트 윈도의 MOTW 기능을 우회하면서 타이포스쿼팅 방식으로 활발하게 유포되는 것으로 드러났다.

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

아마존의 백업 기능 잘못 사용한 사용자들, 개인 식별 정보 대규모로 노출  (1) 2022.11.19
美 국가안보국, C/C++ 대신 러스트·고·C# 사용 권고  (0) 2022.11.13
11월 1일로 패치가 예고된 오픈SSL 취약점, 어쩌면 제2의 하트블리드  (0) 2022.10.31
랜섬웨어 그룹도 내부자 위협을 겪는다? 록빗 3.0 빌더 공개돼  (0) 2022.09.26
페이스북 ‘메타’와 ‘구글’에 개인정보보호법 위반 과징금 1,000억 부과  (0) 2022.09.18
개요 - 11월 1일 오픈SSL 프로젝트가 새로운 버전(3.0.7) 발표 예정
- 현재의 버전에서 취약점이 발견되었기 때문
내용 - 아직 취약점의 내용이 공개되지는 않았지만 하트블리드(Heartbleed) 이후 두 번째로 발견되는 초고위험도 취약점
- 하트블리드 취약점(CVE-2014-0160)의 경우, 익스플로잇에 성공한 공격자는 피해자의 인터넷 통신 내용을 가로채고 도청이 가능하게 됨
- 2012년 3월에 나온 오픈SSL에서부터 2014년 하트블리드 발견 당시의 버전까지 전부 이 취약점의 영향을 받고 있었고, 이미 하트블리드가 있는 오픈SSL이 사용된 사례는 셀 수 없이 많아 파급력이 높았음
- 이번에 패치된 취약점의 영향도는 정확하지 않으나, 일각에서는 제2의 하트블리드 사태가 될 것이라고 예상
- 오픈SSL 프로젝트는 취약점이 익스플로잇 되었을 때 큰 피해를 안길 가능성이 높고 공략 난이도가 낮으며, 원격 공격을 가능하게 하는 취약점들만 위험군으로 분류
대비 - 지금 어떤 시스템과 소프트웨어 등에서 오픈SSL 3.0이 사용되고 있는지 알아내는 것이 선행되어야 함
- 안전한 인터넷 통신이 필요한 모든 요소들에는 오픈SSL이 있을 것이라고 예상하고 찾아야 함
- 소프트웨어만이 아니라 하드웨어들도 잘 살펴야 할 필요
- 즉, 업데이트가 예정된 11/01까지 사용중인 취약한 오픈SSL 구성 요소를 모조리 찾아 가시성 확보가 필요

 

- 보안뉴스

 

11월 1일로 패치가 예고된 오픈SSL 취약점, 어쩌면 제2의 하트블리드

오픈SSL 프로젝트(OpenSSL Project) 측에서 예고한 중요한 패치 일자가 일주일도 남지 않았다. 오픈SSL 3.0 및 후속 버전을 사용하고 있는 모든 조직들이 지금이라도 달력에 표시를 해야 할 만큼 중요한

www.boannews.com

'보안뉴스' 카테고리의 다른 글

美 국가안보국, C/C++ 대신 러스트·고·C# 사용 권고  (0) 2022.11.13
매그니베르 랜섬웨어, 윈도 MOTW 우회해 타이포스쿼팅 방식 유포  (1) 2022.11.08
랜섬웨어 그룹도 내부자 위협을 겪는다? 록빗 3.0 빌더 공개돼  (0) 2022.09.26
페이스북 ‘메타’와 ‘구글’에 개인정보보호법 위반 과징금 1,000억 부과  (0) 2022.09.18
무작위 대입, 채굴 악성코드 등 해커 공격에 SSH 서비스 ‘몸살’  (0) 2022.09.18
개요 - 록빗 내 개발자로 보이는 인물이 파일을 암호화 하는 인크립터의 코드를 공개
- 가장 최신 버전인 록빗 3.0(LockBit 3.0) 혹은 록빗블랙(LockBit Black) 공개
- 현재 이 인크립터 코드는 깃허브를 통해 열람이 가능

<록빗>
- 2019년 최초 등장 후 현재 가장 세력이 큰 랜섬웨어 조직
- 2022년 상반기 록빗 관련 공격사례 1843건이며, 1월~5월 발생한 록빗 2.0이 전체 랜섬웨어 공격의 46%를 차지
영향 - 유출된 코드를 분석했을 때 진짜 록빗 3.0의 구성 요소가 맞으며, 록빗 운영자들도 소셜미디어를 통해 유출된 빌더가 자신들이 사용해 오던 정상 빌더라고 밝힘
- 누구나 조금의 코딩 지식만 있으면 랜섬웨어를 만들 수 있음 (복호화를 위한 키 생성기도 포함되어 있음)
- 비슷하거나 새로운 멀웨어의 출현하는 부정적 영향과 동시에 해당 코드를 분석해 랜섬웨어를 막는 방법이 개발되거나 중요 정보를 추출될 수 있는 긍정적 영향이 공존

 

- 보안뉴스

 

랜섬웨어 그룹도 내부자 위협을 겪는다? 록빗 3.0 빌더 공개돼

랜섬웨어 조직들이 기업화 됨에 따라 보다 강력해지고 있기도 하지만 일반 기업들이 겪는 어려움을 똑같이 겪고 있기도 하다. 바로 불만을 품은 직원들이 일탈 행위를 하는 것이다. 우리는 그것

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

매그니베르 랜섬웨어, 윈도 MOTW 우회해 타이포스쿼팅 방식 유포  (1) 2022.11.08
11월 1일로 패치가 예고된 오픈SSL 취약점, 어쩌면 제2의 하트블리드  (0) 2022.10.31
페이스북 ‘메타’와 ‘구글’에 개인정보보호법 위반 과징금 1,000억 부과  (0) 2022.09.18
무작위 대입, 채굴 악성코드 등 해커 공격에 SSH 서비스 ‘몸살’  (0) 2022.09.18
[긴급] 웹하드에서 게임설치 파일 위장한 모네로 코인 마이너 악성코드 유포중  (0) 2022.08.02
개요 - 개인정보 보호법을 위반한 구글과 메타에 대해 시정명령과 약 1,000억 원의 과징금이 부과
- 사유 : 이용자 동의 없이 개인정보(이용자의 타사 행태정보)를 수집해 온라인 맞춤형 광고에 활용
- 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용과 관련된 첫 번째 제재이자, 개인정보보호 법규 위반으로는 가장 큰 규모의 과징금

*행태정보 : 웹사이트 및 앱 방문·사용 이력, 구매·검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악·분석할 수 있는 온라인상의 활동정보
조사 결과 - 2021. 2월부터 국내외 주요 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용 실태를 점검
- 특히 플랫폼이 ‘이용자(회원)가 다른 웹사이트 및 앱을 방문·사용한 행태정보(타사 행태정보)를 수집하여 맞춤형 광고 등에 활용하는 과정에서 적법한 동의를 받았는지 여부’를 중점 조사

- 조사결과, 구글과 메타는 자사 서비스 이용자의 타사 행태정보를 수집·분석해 이용자의 관심사를 추론, 맞춤형 광고 등에 사용 및 그 사실을 이용자에게 명확히 알리지 않고 사전에 동의도 받지 않은 것이 확인
* 구글 : 서비스 가입 시 타사 행태정보 수집·이용 사실을 명확히 알리지 않고, '옵션 더보기'를 통해 확인하도록 함, 추가적으로 기본 값을 동의로 설정함
* 메타 : 계정 생성 시 동의 받을 내용을 이용자가 알아보기 쉽지 않은 형태로 데이터 정책 전문에 게재하였을 뿐, 법정 고지사항의 구체적인 내용을 이용자에게 알리고 동의 받지 않음

- 타사 행태정보는 이용자가 다른 웹사이트 및 앱을 방문·사용하는 과정에서 자동으로 수집되므로 자신의 ‘어떤 정보’(‘어떤 웹사이트 및 앱’에서 한 ‘어떤 행태’에 대한 정보)가 수집되는지 예측하기 어려움.
- 특히, 계정정보와 연결해 맞춤형 광고에 이용된 타사 행태정보는 이용자 계정으로 접속한 모든 기기에 걸쳐 활용될 수 있고 지속적으로 축적될 경우 민감한 정보가 생성될 우려가 있음
- 실제 조사결과 대다수의 한국 이용자가 플랫폼의 타사 행태정보 수집을 허용하도록 설정(구글 82%이상, 메타 98%이상)되어 있어, 정보주체의 권리가 침해받을 가능성과 위험이 높음

* 구글 : 유럽 이용자가 회원으로 가입할 때는 행태정보 수집, 맞춤형 광고 및 개인정보 보호 설정 등을 이용자가 직접 선택하도록 단계별로 구분하여 동의를 받고 있는 것이 확인
* 메타 : 최근 한국의 기존 이용자들을 대상으로 행태정보 수집 등에 비동의할 경우 서비스를 제한하는 내용으로 동의방식 변경 시도

- 구글과 메타는 아직까지 공식 입장을 내놓지는 않고 있지만, 공통적으로 두 가지를 주장
첫 번째, 이용자의 행태정보 수집에 대한 동의는 플랫폼 사업자가 아니라 웹사이트 및 앱 서비스 사업자가 동의를 받아야 함
두 번째, 설령 플랫폼이 동의를 받아야 한다고 해도 처리방침 등을 통해 이용자들에게 알리고 동의를 받음

- 해외의 감독기구들 역시 구글, 메타가 타사 행태정보 수집 및 맞춤형 광고 활용 위반으로 판단한 사례 有
* 프랑스 : 개인정보 감독기구(CNIL)는 구글이 투명성 원칙을 위반하고 이용자로부터 맞춤형 광고에 대한 동의를 받지 않았다고 결정(2019.1)
* 독일 : 경쟁당국(FCO)은 메타가 이용자의 동의 없이 타사 행태정보를 수집·이용한 것으로 판단(2019.2)

- 개인정보위는 이용자들이 불편을 겪거나 권리가 침해되지 않도록 시정 및 개선에 주력, 관련된 지속적인 조사를 이어나갈 계획. 또한, 관련된 정책·제도를 이번 처분의 내용을 반영하여 개선 준비 중
관련 법령 - 개인정보보호법 제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리

- 개인정보보호법 제15조(개인정보의 수집ㆍ이용) 
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.

- 개인정보보호법 제16조(개인정보의 수집 제한)
③ 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다. <개정 2013. 8. 6.>

- 개인정보보호법 제22조(동의를 받는 방법)
① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제6항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.

- 개인정보보호법 제39조의15(과징금의 부과 등에 대한 특례)
① 보호위원회는 정보통신서비스 제공자등에게 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.

 

- 보안뉴스

 

페이스북 ‘메타’와 ‘구글’에 개인정보보호법 위반 과징금 1,000억 부과

이용자 동의 없이 개인정보(이용자의 타사 행태정보)를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보 보호법을 위반한 구글과 메타에 대하여 시정명령과 함께 약 1,000억 원의 과징금이 부

www.boannews.com

'보안뉴스' 카테고리의 다른 글

11월 1일로 패치가 예고된 오픈SSL 취약점, 어쩌면 제2의 하트블리드  (0) 2022.10.31
랜섬웨어 그룹도 내부자 위협을 겪는다? 록빗 3.0 빌더 공개돼  (0) 2022.09.26
무작위 대입, 채굴 악성코드 등 해커 공격에 SSH 서비스 ‘몸살’  (0) 2022.09.18
[긴급] 웹하드에서 게임설치 파일 위장한 모네로 코인 마이너 악성코드 유포중  (0) 2022.08.02
브라우저 즐겨찾기 동기화, 사이버 공격에 악용될 수 있다  (0) 2022.08.02
SSH - Secure Shell
- 22 포트 사용
- 원격 호스트에 접속하기 위해 사용되는 보안 프로토콜 - 암호화
- 기존 원격 접속을 위해 사용하던 Telnet 등이 암호화를 제공하지 않아 발생하는 문제 개선
절차 - SSH 허니팟을 구성한 뒤 한 달 간 모니터링
- 그 결과, 4,436개 IP에서 약 65만번의 SSH 무작위 대입 공격이 수행됨
- root, admin, user 등 시스템 또는 DB 명을 ID로, 123456, admin 등을 패스워드로 설정하여 무작위 대입 공격 수행
- 무작위 대입 공격을 통해 시스템 접속 성공 후 채굴 악성코드를 실행하기위한 시스템 사양 파악을 선 수행
- 시스템 사양 파악 후 wget 명령을 통해 파일을 다운로드 하거나, 직접 파일을 업로드 등의 방식으로 악성코드 실행

* 허니팟(Honeypot) : 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템
대응 - SSH 서비스 포트 변경
- root 계정의 원격 로그인 금지
- 강력한 패스워드 정책 사용 등 기본적인 보안조치를 충실하게 이행
- 쇼단 등을 이용해 식별되지 않는 SSH 서비스가 있는지 주기적으로 모니터링
- 비식별 자산이 존재하지 않도록 해야함

 

보안뉴스

 

무작위 대입, 채굴 악성코드 등 해커 공격에 SSH 서비스 ‘몸살’

SSH(Secure Shell)를 타깃으로 한 무작위 대입 시도가 지속적으로 발견되고 있어 SSH 서비스 운영자들의 주의가 요구된다. SSH는 보통 리눅스 서버를 원격에서 접속하는데 사용되는 서비스다. 그런데

www.boannews.com

'보안뉴스' 카테고리의 다른 글

랜섬웨어 그룹도 내부자 위협을 겪는다? 록빗 3.0 빌더 공개돼  (0) 2022.09.26
페이스북 ‘메타’와 ‘구글’에 개인정보보호법 위반 과징금 1,000억 부과  (0) 2022.09.18
[긴급] 웹하드에서 게임설치 파일 위장한 모네로 코인 마이너 악성코드 유포중  (0) 2022.08.02
브라우저 즐겨찾기 동기화, 사이버 공격에 악용될 수 있다  (0) 2022.08.02
[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다  (0) 2022.07.28
개요 - 공격자는 웹하드를 이용해 게임이나 게임 크랙 등 불법 프로그램과 함께 악성코드 유포
- 주로 RAT 악성코드를 유표(njRAT, UdpRAT, DDoS IRC Bot 등)
특징 - 최근 웹하드에 게임 설치 파일로 위장해 업로드 된 압축 파일을 통해 XMRig 모네로 코인 마이너를 유포하는 사례가 확인
* 코인 마이너 : 사용자 PC에 설치되어 시스템 리소스를 이용해 가상화폐를 채굴하는 악성코드
- 다운로드한 파일을 압축해제 시 게임 아이콘으로 위장한 raksasi.exe 프로그램이 실행
- 해당 파일은 XMRig 모네로 코인 마이너를 설치하는 악성코드
- 실제 게임 설치파일은 다른 폴더에 존재
- 컴퓨터가 재부팅할 때마다 동일 경로(‘c:\Xcrcure\’ 경로)에 존재하는 config.json 파일을 읽으며 마이닝을 수행

<동작>
- 간단한 구조로 ‘c:\Xcrcure\’ 경로에 다음 파일을 설치
  모네로 채굴 악성코드(xmrig.exe), XMRig 설정 파일(config.json), XMRig 런쳐 악성코드(MsDtsServer.exe)
- 시작 폴더에 XMRig 런쳐 악성코드를 실행하는 바로가기를 ‘NewStartUp.lnk’라는 이름을 생성해 재부팅한 후 모네로 채굴 마이너를 동작시킴.
- Resource 폴더에 존재하는 원본 게임 프로그램을 실행해 정상적으로 게임이 동작하는 것처럼 인식시킴.
대응 - 웹하드, P2P 사이트 등에서 다운한 실행 파일은 각별히 주의
- 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드를 권장

 

- 보안뉴스

 

[긴급] 웹하드에서 게임설치 파일 위장한 모네로 코인 마이너 악성코드 유포중

국내 사용자를 타깃으로 웹하드를 통해 모네로 코인 마이너 악성코드를 유포하는 정황이 포착됐다. 웹하드 이용시 이용자들의 각별한 주의가 필요하다. 공격자는 일반적으로 웹하드를 이용해

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

페이스북 ‘메타’와 ‘구글’에 개인정보보호법 위반 과징금 1,000억 부과  (0) 2022.09.18
무작위 대입, 채굴 악성코드 등 해커 공격에 SSH 서비스 ‘몸살’  (0) 2022.09.18
브라우저 즐겨찾기 동기화, 사이버 공격에 악용될 수 있다  (0) 2022.08.02
[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다  (0) 2022.07.28
아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게  (0) 2022.07.27

- 브라우저 즐겨찾기 동기화 기능은 모든 브라우저의 기본 기능

- 공격자들은 해당 기능을 이용해 데이터를 유출하고 있으며, 브러글링(bruggling)이라는 이름을 붙임

  bruggling = browser + smuggle + bookmarks

- 브러글마크(Brugglemark)라는 이름의 파워셸 스크립트를 개념 증명용으로 개발해 함께 공개됨.

  참고 : https://github.com/davidprefer/Brugglemark

 

개요 - 브러글링 기법을 사용하려면 공격자가 이미 피해 시스템에 접근한 상태여야 함
- 즉, 최초 침투에 성공한 후 미리 훔쳐두거나 크래킹한 크리덴셜을 통해 로그인 및 즐겨찾기에 접근
- 대부분의 호스트 기반 혹은 네트워크 기반 탐지 시스템 우회가능
  => 즐겨찾기 기능을 이용하므로 대부분의 탐지 시스템에는 정상적인 브라우저 동기화 트래픽으로 보이기 때문
방법 - 먼저 공격자는 내부에 민감한 정보가 어디에 저장되어 있는지 확인
- 민감한 정보를 찾아낸 공격자는 base64 알고리즘 등으로 변경 후 적당한 길이로 분할 및 즐겨찾기 이름으로 등록
- 즐겨찾기 정보를 다른 장비에서 동기화시켜 민감한 정보를 탈취함
증명 - 한 기업의 연구원이 이를 실험해 보았으며 아래 내용 및 해당 공격이 가능하다는 것을 증명
- 대부분의 브라우저들이 상당히 많은 종류의 문자와 숫자로 한 개의 즐겨찾기 생성가능_즐겨찾기 이름 지정에 있어 한계가 거의 없다고 할 만한 수준 (책 한권을 브러글링 기법으로 빼돌리는데 성공함)
- 한번에 동기화가 가능한 즐겨찾기의 갯수는 약 20만개

 

- 보안뉴스

 

브라우저 즐겨찾기 동기화, 사이버 공격에 악용될 수 있다

브라우저 즐겨찾기 목록을 동기화 하는 건 현존하는 거의 모든 인터넷 브라우저의 기본 기능이다. 이 기능 덕분에 인터넷 사용자들이 다양한 장비에서 편리하게 인터넷 서핑을 할 수 있게 된다.

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

무작위 대입, 채굴 악성코드 등 해커 공격에 SSH 서비스 ‘몸살’  (0) 2022.09.18
[긴급] 웹하드에서 게임설치 파일 위장한 모네로 코인 마이너 악성코드 유포중  (0) 2022.08.02
[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다  (0) 2022.07.28
아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게  (0) 2022.07.27
수수께끼 투성이 멀웨어 클라우드멘시스, 맥OS 사용자 정교하게 노려  (0) 2022.07.26

+ Recent posts

티스토리툴바