꼰머의 보안공부

1. 개요

- 23.04 FBI 덴버 사무소는 공공장소에서 흔히 볼 수 있는 공용 USB 포트를 사용한 스마트폰 충천 금지 발표 [1]

- 공격자들이 공용 USB 포트를 통해 멀웨어와 모니터링 소프트웨어를 사용자 단말에 설치하는 방법을 알아냄

- 공항, 호텔, 쇼핑센터 등에서 USB 포트 대신 개인용 충전기 사용 권고

2. 주요 내용

- FBI와 연방통신위원회(FCC)는 공용 USB 포트를 사용한 "주스재킹(Juice jacking)"을 경고 [2][3]

> 지난 5년간 주스재킹과 관련된 해킹 공격이 공식적으로 보도되지 않았으며, 기술적인 어려움 또한 존재

> 그러나, 관련 해킹이 불가능한 것은 아니며 아직까지는 기술 및 비용적 효율이 낮기 때문으로 보임

> 2022년 발표에 따르면 USB를 활용하도록 설계된 멀웨어와 관련된 위협이 52%로 증가 [4]

주스재킹(Juice jacking)
- 2011년 DEFCON에서 최초로 선보인 공격 기법
- 공항, 호텔, 쇼핑센터 등 공공장소에 있는 공용 USB를 이용한 멀웨어 유포 및 정보 탈취 공격
- 손상된 USB 포트를 통해 설치된 멀웨어는 장치를 잠그거나 사용자의 비밀번호, 신용카드 정보, 주소, 이름 등의 정보를 훔칠 수 있음
- 탈취한 개인 정보를 통해 공격자는 계정에 액세스 하거나 다른 공격자들에게 판매하여 2차 피해가 발생 가능

- 주스재킹을 수행하는데 필요한 기술과 비용, 접근성 등은 과거에 비해 누구나 접근할 수 있도록 발전되고 있음

> 대표적으로 O.MG 케이블이 존재 [5][6]

> 외형은 애플의 케이블과 유사해 육안으로 식별하기 어려우며 다양한 기능을 제공

> 자체적으로 와이파이 핫스팟을 만들고 해커는 1.5km 떨어진 곳에서도 키 입력 정보를 받아 볼 수음

> MG라는 보안 연구원이 침투 테스트용으로 개발해 2019 DEFCON에서 공개하였으며, 보안 업체 Hak5가 양산 및 판매

- 스마트폰 제조업체는 주스재킹의 위협을 줄이기 위한 보호 기능을 개발 중이나 결코 완벽하다고 할 수 없음

> 아이폰 또는 아이패드의 경우 공용 USB 포트에 연결하면 ‘이 컴퓨터를 신뢰하시겠습니까?’ 등의 메시지 표시

> 관련 메시지가 표시되지 않더라도 ‘액세서리가 지원되지 않음’이라는 경고가 표시될 수 있으며, 즉시 연결 해제 필요

> 사용자의 단말이 멀웨어에 감염 되었는지 알 수 없으며, 탐지 또한 어려움 

> 따라서, 공용 USB 포트나 케이블은 가급적 사용하지 말고, 보조 배터리 또는 콘센트 이용 권고

3. USB 데이터 차단기

- 주스재킹 등 관련된 위협을 줄이고자 등장한 일종의 젠더 [7]

- 일반적인 USB는 4개의 핀으로 구성

> 충전을 위한 핀 2개와 데이터 전송을 위한 핀 2개로 구성됨

- USB 데이터 차단기는 데이터 전송을 위한 2개의 핀을 제거하여 데이터 전송을 차단하는 원리

> 데이터 전송 핀을 제거하여 데이터 유출 위험이 없으며, 멀웨어를 유포하지 못함

> 멀웨어 유포 및 데이터 유출 위험으로부터 단말을 보호하여 프라이버시를 향상

> 일반적인 USB와 크기가 비슷하여 휴대성이 뛰어나며, 저렴

4. 참고

[1] https://www.cbsnews.com/news/fbi-warns-against-juice-jacking-what-is-it/
[2] https://twitter.com/FBIDenver/status/1643947117650538498?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1643947117650538498%7Ctwgr%5E8e2bfe2d8f81b6903ee3ccdd6699d21c8023eb0a%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.cbsnews.com%2Fnews%2Ffbi-warns-against-juice-jacking-what-is-it%2F
[3] https://www.fcc.gov/juice-jacking-tips-to-avoid-it
[4] https://www.honeywellforge.ai/us/en/campaigns/industrial-cybersecurity-threat-report-2022#form
[5] https://shop.hak5.org/products/omg-cable
[6] https://www.earlyadopter.co.kr/153255
[7] https://www.amazon.com/PortaPow-3rd-Data-Blocker-Pack/dp/B00T0DW3F8/ref=sr_1_3?crid=1WASVMK1MP6UI&keywords=USB+condoms&qid=1685191337&sprefix=usb+c%2Caps%2C1011&sr=8-3&tag=muo-v2-3h3kgvk-20&ascsubtag=UUmuoUeUpU2025871&asc_refurl=https%3A%2F%2Fwww.makeuseof.com%2Fwhat-is-usb-condom%2F&asc_campaign=Evergreen

보안뉴스

보안뉴스

1. 개요

- 미국 CISA, FBI, NSA, MS-ISAC 및 이스라엘 INCD(Israel National Cyber ​​Directorate)에서 원격 엑세스 소프트웨어 보안 가이드 발표

- 공격자들은 합법적인 목적의 원격 엑세스 소프트웨어를 악용해 보안 장비의 탐지를 우회하여 침입하므로 관련 보안 강화 권고

2. 주요내용

- 원격 엑세스 소프트웨어는 합법적인 목적으로 서버 등에 설치되어 사용되므로 보안 소프트웨어에서 탐지되지 않음

- 공격자는 관련 도구를 사용해 LOTL(Living off the Land) 공격을 진행

LOTL(Living off the Land) 공격
- 자급자족식 공격
> 보안 솔루션의 성능이 향상됨에 따라 탐지를 우회하거나 보안 솔루션의 탐지 대상이 아닌 소프트웨어를 이용한 공격이 주목을 받으며 등장

- 공격 대상 시스템에  미리 설치되어 있는 도구를 활용하여 공격을 수행하며, 합법적인 과정으로 자신의 행위를 숨길 수 있으며 탐지를 더욱 어렵게 만듦
> 윈도우 CMD, PowerShell 등의 합법적 도구 및 사용자가 설치한 취약점이 존재하는 소프트웨어 등을 공격에 이용

- 다음과 같은 이점을 지님
① 보안 장비의 탐지를 우회할 수 있음: 정삭적인 툴로써 동작
② 공격 식별 감소: 기존 공격 툴의 경우 공격 시 관련된 시그니처 등 정보가 기록됨
③ 공격 준비 시간 감소: 이미 설치된 도구를 사용

- 대응방안
① MFA 적용
② 주기적 암호 변경
③ 관련 도구 사용 모니터링 및 로그 검토
④ 피싱메일, 문서 매크로 등 주의
⑤ 보안 소프트웨어 최신 업데이트 적용, 보안 기능 활성화 등

- 공격자는 초기 액세스, 지속성 유지, 추가 소프트웨어 및 도구 배포, 측면 이동 및 데이터 유출을 위해 원격 액세스 소프트웨어를 사용

> 랜섬웨어 및 특정 APT 그룹에서 자주 사용됨

> PowerShell 등의 명령줄 도구를 사용해 원격 엑세스 소프트웨어 에이전트를 배포하거나 기존에 설치되어 있는 원격 엑세스 소프트웨어 악용

> 원격 엑세스 멀웨어 등의 상용 침투 테스트 도구와 함께 원격 엑세스 소프트웨어를 사용해 여러 형태의 접근을 통해 지속성 유지

- 공격자가 주로 활용할 수 있는 원격 엑세스 소프트웨어는 다음과 같음

3. 권고사항

- 일반적인 표준을 기반으로 위럼 관리 전략 유지

- 현재 사용 중 이거나 사용 가능한 원격 엑세스 소프트웨어의 실행을 제한하는 어플리케이션 제어 구현

- 원격 엑세스 소프트웨어 사용과 관련된 로그 검토

- 네트워크를 분할하여 측면 이동을 최소화

- 원격 엑세스 소프트웨어가 사용하는 포트 및 프로토콜 차단 및 HTTPS 443을 통한 원격 트래픽 차단

- 원격 엑세스 소프트웨어가 업무적으로 필요한 경우 액세스 권한이 있는 모든 계정에 대해 MFA 적용

- 원격 엑세스 소프트웨어 계정의 권한을 최소한으로 설정

4. 참고

[1] https://www.cisa.gov/news-events/alerts/2023/06/06/cisa-and-partners-release-joint-guide-securing-remote-access-software
[2] https://www.cisa.gov/resources-tools/resources/guide-securing-remote-access-software

1. 개요

- CVE-2023-34362 이후 새로운 제로데이 취약점이 발견되는 중

2. 취약점

2.1 CVE-2023-35036

- 취약한 버전의 MOVEit Transfer에서 발생하는 SQL Injection 취약점

- 공격자는 MOVEit Transfer 앱에 조작된 페이로드를 전달하여, 최종적으로 MOVEit DB 컨텐츠의 수정 및 공개가 가능

영향받는 저번
- MOVEit Transfer 2023.0.x (15.0.x)
- MOVEit Transfer 2022.1.x (14.1.x)
- MOVEit Transfer 2022.0.x (14.0.x)
- MOVEit Transfer 2021.1.x (13.1.x)
- MOVEit Transfer 2021.0.x (13.0.x)
- MOVEit Transfer 2020.1.x (12.1)
- MOVEit Transfer 2020.0.x (12.0) 혹은 그 이전버전
- MOVEit Cloud

- 구체적인 PoC는 확인되지 않으나 아르헨티나 보안 연구원 MCKSys이 PoC 화면 공개 [2]

> 관련 내용 Github 업로드 예정

- 현재 벤더사 홈페이를 통해 업데이트가 제공됨 [3]

> 해당 패치는 CVE-2023-34362 관련 패치를 포함한 패치

2.2 CVE-2023-35708

- 취약한 버전의 MOVEit Transfer에서 발생하는 SQL Injection 취약점

- 공격자는 권한 상승 및 이후 추가적인 익스플로잇이 가능해짐

- 구체적인 PoC는 확인되지 않음

영향받는 버전
- MOVEit Transfer 2023.0.x (15.0.x)  
- MOVEit Transfer 2022.1.x (14.1.x)  
- MOVEit Transfer 2022.0.x (14.0.x)  
- MOVEit Transfer 2021.1.x (13.1.x)  
- MOVEit Transfer 2021.0.x (13.0.x)  
- MOVEit Transfer 2020.1.x (12.1)  
- MOVEit Transfer 2020.0.x (12.0) 혹은 그 이전버전
- MOVEit Cloud  

- 현재 벤더사 홈페이를 통해 업데이트가 제공됨 [7]

- 업데이트 적용 불가 시 벤더사 권장 사항

> MOVEit Transfer의 HTTP 및 HTTPS 트래픽 비활성화

> 사용자의 경우 SFTP 및 FTP/s 프로토콜을 이용해 파일 전송 가능
> 관리자의 경우 원격 접속을 통해 서버에 접근한 후 hxxps://localhost/에 엑세스

3. 참고

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-35036
[2] https://twitter.com/MCKSysAr/status/1669175203690160128?ref_src=twsrc%5Etfw
[3] https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-2023-35036-June-9-2023
[4] https://community.progress.com/s/article/Vulnerability-May-2023-Fix-for-MOVEit-Transfer-2020-1-12-1
[5] https://community.progress.com/s/article/Upgrade-and-or-Migration-Guide-for-MOVEit-Automation-and-MOVEit-Transfer
[6] https://nvd.nist.gov/vuln/detail/CVE-2023-35708
[7] https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023