꼰머의 보안공부

보안뉴스 

1. 개요

- BEC 공격자들이 탐지 기술을 회피하는 새로운 방법을 터득

- ‘불가능한 이동(Impossible Travel)’ 경고 기능을 악용
- MS는 현재 아시아와 동유럽의 해커들 사이에서 이러한 수법이 유행하고 있다고 경고

불가능한 이동(impossible travel)
- 현재 접속하려는 자가 물리적으로 불가능한 공간 이동을 감행했다고 알리는 것으로, 계정 탈취 시도를 탐지하고 어렵도록 하기위한 목적을 지님
- 접속을 시도하려는 사용자의 마지막 접속 위치와, 현재 접속 시도가 이뤄지고 있는 위치 사이의 시간과 거리를 계산하여 경고 발생
- 즉, 물리적으로 불가능한 접속 시도가 확인된 경우 경고를 발생시키는 것
- 불가능한 이동 경고가 발생한 경우 공격자들의 침투 가능성이 높음을 의미

2. 주요 내용

- 공격자들은 2가지 방식을 공격에 사용하여 ‘불가능한 이동’ 경고를 우회
① 불릿프로프트링크(BulletProftLink) 플랫폼: 대규모 악성 이메일 캠페인을 실시할 수 있도록 해 주는 플랫폼
② 피해자 지역 내 IP로 위조

- 2022년 FBI의 BEC 공격 피해 규모
> 2만 1천 건 이상의 신고 접수
> BEC 공격에 의해 피해는 최소 27억 달러

- BEC 공격은 임원 또는 관리자급의 직원을 대상으로 수행
> 금융 정보와 개인정보를 탈취하기 위해 재무 담당자와 HR 직원들을 자주 공략

- 지역 정보만 확인해서 접속 시도 트래픽의 악성 여부를 판단할 수 없다는 지적
> 브라우저 정보, 접속 후 행동 패턴, 특정 데이터의 활용 여부 등 악성을 판단할 때 참고해야 할 정보는 많기때문

3. 대응

- MS는 디마키(DMARC)를 활성화 권장

> 이메일 인증 프로토콜로, DMARC 레코드가 활성화된 메일을 수신하면 정책에 따라 메일을 검사

> 인증을 통과하면 전송되며, 통과하지 못할 경우 격리

> SPF(Sender Policy Framework)와 DKIM(DomainKeys Identified Mail)을 먼저 설정해야 함

SPF(Sender Policy Framework)
- 메일의 발신자가 정상적으로 등록된 서버인지 확인
- 메일 수신 시 발신지의 IP주소를 DNS 서버에 정의된 IP주소와 비교
- 발신자가 SPF 레코드(메일 서버의 정보와 정책을 나타냄)를 설정하여 발송
- 수신자는 발신자의 DNS에 등록된 SPF 레코드와 발송 IP를 대조하고 결과에 따라 수신여부 결정

DKIM(DomainKeys Identified Mail)
- 메일이 실제 도메인으로부터 발송되었는지 확인하여 이메일 위변조 여부를 판별
- 이메일 발송 시 발신자 측 메일 서버는 메시지 내용과 발신자의 개인키를 기반으로 DKIM-Signature를 생성 및 발송되는 메일 헤더에 첨부
- 메일 수신 시 수신자 측 메일 서버는 서명을 검증할 공개키를 DNS 서버에서 선택 및 서명 검증
- 서명의 유효성 검증에 실패할 경우 검사 결과가 ‘DKIM Fail’로 표시되며, 수신자의 메일 서버가 해당 메일을 스팸으로 차단

- 인증 관련 규정을 보다 엄격하게 설정

> 다중 인증 옵션을 활성화

- 기본 보안 수칙 준수

보안뉴스

보안뉴스

1. KeePass [1]

- 오픈소스로 작성된 비밀번호 관리 프로그램

2. 취약점

- KeePass 메모리 덤프를 이용해 마스터 비밀번호를 탈취할 수 있는 취약점

- 공격자가 메모리 덤프에 접근하게 되었다는 것은 이미 PC가 일정부분 공격자에게 탈취되었다는 의미

영향받는 버전: KeePass 2.54 이전 2.x 버전

2.1 실습

- KeePass 다운로드 후 File > New를 선택해 데이터베이스 생성

> Windows용 2.53.1 버전 사용

- 데이터베이스를 여는데 사용할 마스터 비밀번호 설정

> 마스터 비밀번호는 데이터베이스에 접속하기 위한 비밀번호로, [사진 4]와 같이 데이터베이스 접속 시 입력해야하는 값

> 해당 마스터 비밀번호 하나로 모든 비밀번호를 관리

- KeePass 프로세스 메모리 덤프 수행

> 작업관리자를 통해 메모리 덤프 진행

- 공개된 PoC를 [4] 사용한 결과 마스터 비밀번호를 추출됨

> 완전한 형태의 마스터 비밀번호는 아니지만 출력 결과를 통해 누락된 문자를 유추할 수 있음

> 마스터 비밀번호를 탈취한 공격자는 저장된 모든 자격 증명에 엑세스가 가능해짐

3. 대응방안

① 벤더사에서 제공하는 업데이트 적용

- 23.06 ~ 23.07 해당 취약점이 패치된 2.54 버전 발포 예정

> 현재 포럼을 통해 취약점이 해결된 테스트 버전을 배포 [5]

> 공개된 테스트 버전에 대해서는 PoC가 적용되지 않음을 확인

> 또한, 마스터 비밀번호가 메모리에 남아있을 수도 있으므로 시스템 변경, 데이터 덮어쓰기 등을 권고

수정내역
1. 텍스트 상자의 텍스트를 가져오거나 설정하기 위한 직접 API 호출을 실행하여 비밀이 누출될 수 있는 관리 대상 스트링 생성을 피합니다.
2. 프로세스 메모리에 무작위 문자가 포함된 더미 플래그먼트를 만듭니다.이 더미 플래그먼트는 사용자의 마스터 암호와 거의 같은 길이가 되며 실제 키를 난독화합니다.

- 업데이트 적용이 불가한 경우 다른 비밀번호 관리 프로그램 사용

> KeePassXC, Strongbox, KeePass 1.X의 경우 해당 취약점에 영향을 받지 않음

4. 참고

[1] https://keepass.info/index.html 
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-32784
[3] https://github.com/vdohney/keepass-password-dumper
[4] https://github.com/CMEPW/keepass-dump-masterkey
[5] https://sourceforge.net/p/keepass/discussion/329220/thread/f3438e6283/
[6] https://www.bleepingcomputer.com/news/security/keepass-exploit-helps-retrieve-cleartext-master-password-fix-coming-soon/
[7] https://www.boannews.com/media/view.asp?idx=118268&page=3&kind=1
[8] https://skogkatt.tistory.com/entry/%ED%8C%A8%EC%8A%A4%EC%9B%8C%EB%93%9C-%EA%B4%80%EB%A6%AC-%ED%94%84%EB%A1%9C%EA%B7%B8%EB%9E%A8-keepass-%EC%84%A4%EC%B9%98-%EB%B0%8F-%EA%B8%B0%EB%B3%B8-%EC%82%AC%EC%9A%A9%EB%B0%A9%EB%B2%95

1. 개요

- 개인정보보호위원회는 개인정보 보호법 시행령 개정안을 5월 19일 ~ 6월 28일간(40일) 입법예고한다고 밝힘

- 시행령 개정안은 지난 3월 14일 공포된 ‘개인정보 보호법’ 전면 개정에 따른 후속 조치

> 개인정보 보호법 개정안 공포 이후 산업계·시민단체· 학계의 의견 수렴

> 정보주체의 권리와 공공부문의 안전조치는 강화하고 불합리한 규제는 정비

- 주요 개정 내용은 다음과 같음

> 정보주체인 국민의 권리를 실질적으로 보장

> 공공분야에서의 안전조치를 강화

> 온라인과 오프라인으로 구분하여 이원화되어 있는 개인정보 보호 기준을 일원화

2. 주요 개정 사항

2.1 동의받을 때 국민의 실질적 선택이 가능하도록 개선

① 정보주체인 국민이 스스로 자신의 개인정보에 대한 권리를 실질적으로 행사할 수 있도록 동의의 원칙을 구체화

- 동의를 받으려면 ‘정보주체의 자유로운 의사’에 따르도록 하는 등 동의 원칙을 구체화

- 정보주체가 동의 여부를 선택할 수 있다는 사실을 구분하여 표시하도록

② 개인정보처리방침 평가제를 통해 개인정보처리방침을 단계적으로 개선할 수 있는 기반을 마련

- 개인정보처리자의 유형, 개인정보 처리 형태 등을 고려하여 개인정보처리방침 평가 대상자를 선정

- 동의 등 처리 근거가 적정한지, 개인정보처리방침을 이해하기 쉽게 수립 및 공개하고 있는지 등을 평가해 개선할 수 있도록 구체화

2.2 온라인과 오프라인 구분 없이 동일한 기준 적용 : 규제 정비

① 온라인과 오프라인으로 구분하여 달리 규율해 온 이원화된 규제를 디지털 사회에 맞는 규제로 일원화

- 온라인 기준을 중심으로 통합

- 안전조치를 위한 다양한 기술이 도입될 수 있도록 오인될 수 있는 용어를 삭제하는 등 관련 규정을 기술 중립적으로 정비

> 특정 기술을 채택해야 하는 것으로 오인될 수 있는 용어: 백신, 보안서버 등 용어 삭제, 저장·전송 시 암호화 외에 암호화에 상응하는 조치 추가 등

- 정보주체가 정보통신서비스(온라인)를 1년 이상 이용하지 않은 경우 파기하거나 별도 분리하여 저장하도록 한 규정(유효기간제)을 삭제

> 목적이 달성되었거나 보유기간이 종료되면 지체없이 파기하도록 규정

- 과징금이 위반행위에 비례하여 산정되도록 개편

> 중대하고 의도적인 위반행위에 대하여는 엄중한 과징금

> 경미한 위반행위에 대하여는 면제까지 가능

> 과징금 산정을 위한 기준이 되는 금액(기준금액)을 결정하는 비율(부과기준율) 산정 방식 변경

- 개인정보 유출 사실 인지 후 72시간 이내 개인정보위원회 또는 한국인터넷진흥원에 신고

> 개인정보가 유출되었다는 사실을 알게 된 경우 유출된 개인정보가 민감정보 또는 고유식별정보인 경우, 해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우, 1천명 이상인 경우에는 정당한 사유가 없는 한 72시간 이내에 개인정보위(또는 한국인터넷진흥원)에 신고

※ 정보주체에 대한 통지는 유출규모와 무관하게 정당한 사유가 없는 한 72시간 이내에 이행 

② 드론·자율주행차 등 이동형 영상정보처리기기가 보편화되는 환경에 맞추어 운영기준을 정비

- 영상 촬영 후 별도로 저장하지 않는 경우로서 통계 목적으로 운영하는 때에는 고정형 영상정보처리기기(CCTV 등) 설치·운영이 가능하도록 함

> 그동안 규제샌드박스 실증특례를 통해 제한적으로 운영해 온 사항을 입법화하기 위한 목적

- 국민의 생명 등을 보호하기 위하여 범죄·재난·화재 등의 상황에서 인명의 구조·구급 등을 위해 영상 촬영이 필요한 경우

> 이동형 영상정보처리기기(드론, 자율주행차 등)를 통해 촬영할 수 있음을 명확히 함

③ 통지의무 대상자의 범위를 수집 출처 통지 기준에 맞추어 정비하고 통지도 함께 할 수 있도록 개선

> 정보주체가 아닌 제3자로부터 개인정보를 수집하여 출처를 통지해야 하는 경우(수집 출처 통지)

> 개인정보 이용·제공 내역을 통지해야 하는 경우(이용내역 통지)

2.3 공공분야 개인정보 처리의 안전성 강화

① 공공부문의 개인정보 침해사고를 근절하기 위하여 안전조치 의무 강화

- 대규모 공공시스템을 운영하는 공공기관에 대한 안전조치 의무를 강화

> 개인정보파일 등록, 개인정보 영향평가 등 제도를 보완

> 공공시스템의 개인정보 유출로 인한 2차 피해를 막기 위하여 마련한 공공부문 개인정보 유출 방지대책에 따라 공공시스템 운영기관에 대한 안전조치 특례를 신설

2.4 기타

- 법 개정으로 글로벌 스탠다드에 맞게 개인정보의 국외 이전 요건이 다양화되고 국외이전 중지명령이 도입됨에 따라 그 세부적인 절차와 기준 등을 구체화

- 해외사업자의 국내대리인 지정 기준을 개정법 취지에 맞게 정비

3. 참고

1. 개요

- 미국 CISA, NSA, FBI 등에서 러시아 연방 보안국(FSB)과 연관된 것으로 추정되는 Snake 악성코드 분석 보고서 발표

- Snake 악성코드는 50여 개 국가 정부 네트워크, 연구 시설 및 언론 등을 대상으로 민감 정보 탈취를 시도

2. 주요내용

① 러시아 배후 해킹 그룹 Turla는 피싱메일과 무차별 대입 공격을 통해 자격 증명 정보 획득 및 관리자 권한 획득 시도

- 초기 액세스 권한 획득 후 Snake 악성코드 배포

> jpsetup.exe(이미지 뷰어 설치 프로그램)을 통해 Snake 악성코드 배포

> 정상적인 경로(%windows%\WinSxS\)에 WerFault.exe 등록하여 지속성 유지

WinSxS (Windows Side By Side)
- Windows OS의 "DLL Hell" 문제를 해결하기 위해 만들어짐
※ DLL Hell: DLL을 관리할 때 발생할 수 있는 모든 문제를 의미
> Windows OS는 프로그램 사용 시 DLL파일을 사용
> 업데이트 등으로 DLL이 변경되는 경우 DLL 관련 문제가 발생할 수 있음
※ DLL 버전 충돌 문제, 프로그램이 의존하는 DLL 파일을 찾을 때의 어려움, 불필요한 DLL 파일 복사본이 만들어지는 문제 등
> 이러한 문제를 해결하기 위한 목적으로 등장

- 윈도우 업데이트 시 시스템, 드라이버가 변경되는 폴더, 파일들을 WinSxS 폴더에 백업
> 프로그램 실행 시 해당 디렉터리에서 DLL에 관한 정보를 불러옴
> 이를 통해 의존성 문제를 줄일 수 있음

② 관리자 권한 획득 후 도메인 컨트롤러에 액세스

- 조직의 전체 네트워크에 대한 정보 수집 목적

> 키로거, 네트워크 스니퍼, 오픈 소스 등의 도구를 사용

③ 여러 노드를 경유하여 내부 정보 유출

- 여러 프로토콜을 이용한 통신(TCP, UDP, HTTP, SMTP, DNS 등)과 암호화를 사용해 탐지 우회

3. 탐지규칙

3.1 Snort

- 권고된 탐지 규칙을 적용하기 전 운영 환경을 고려하여 적용여부 검토

alert http any any -> any any (msg: "http rule (Cookie)";pcre:"/[0-9A-Za-z]{10}[0-9A-Za-z\/\+]{11}=/C";flow: established, to_server;sid: 7; rev: 1;)

alert http any any -> any any (msg: "http rule (Other Header)";pcre:"/[0-9A-Za-z]{10}[0-9A-Za-z\/\+]{11}=/H";flow: established, to_server;sid: 8; rev: 1;)

alert http any any -> any any (msg: "http2 rule (Cookie)";pcre:"/[0-9A-Za-z]{22}[0-9A-Za-z\/_=\;]{11}/C";flow: established, to_server;sid: 9; rev: 1;)

alert http any any -> any any (msg: "http2 rule (Other Header)";pcre:"/[0-9A-Za-z]{22}[0-9A-Za-z\/_=\;]{11}/H";flow: established, to_server;sid: 10; rev: 1;)

alert tcp any any -> any any (msg: "tcp rule";content: "|00 00 00 08|"; startswith; dsize: 12;flow: established, to_server; flowbits: set, a8; flowbits: noalert;sid: 1; rev: 1;)

alert tcp any any -> any any (msg: "tcp rule";content: "|00 00 00 04|"; startswith; dsize:8;flow: established, to_server; flowbits: isset, a8; flowbits: unset, a8;flowbits: set, a4; flowbits: noalert;sid: 2; rev: 1;)

alert tcp any any -> any any (msg: "tcp rule";content: "|00 00 00 08|"; startswith; dsize: 4;flow: established, to_client; flowbits: isset, a4; flowbits: unset, a4;flowbits: set, b81; flowbits: noalert;sid: 3; rev: 1;)

alert tcp any any -> any any (msg: "tcp rule";dsize: 8; flow: established, to_client; flowbits: isset, b81;flowbits: unset, b81; flowbits: set, b8; flowbits: noalert;sid: 4; rev: 1;)

alert tcp any any -> any any (msg: "tcp rule";content: "|00 00 00 04|"; startswith; dsize: 4;flow: established, to_client; flowbits: isset, b8; flowbits: unset, b8;flowbits: set, b41; flowbits: noalert;sid: 5; rev: 1;)

alert tcp any any -> any any (msg: "tcp rule";dsize: 4; flow: established, to_client; flowbits: isset, b41;flowbits: unset, b41;sid: 6; rev: 1;)

3.2 Yara

- Snake Queue File 탐지

rule HighEntropy
{
    meta:
        description = "entropy rule"

    condition:
        math.entropy(0, filesize) >= 7.0
}

- Snake Werfault.exe 탐지

rule PeIconSizes
{
    meta:
        description = "werfault rule"

    condition:
        pe.is_pe 
        and 
        for any rsrc in pe.resources:
            (rsrc.type == pe.RESOURCE_TYPE_ICON and rsrc.length == 3240)
        and
        for any rsrc in pe.resources:
            (rsrc.type == pe.RESOURCE_TYPE_ICON and rsrc.length == 1384)
        and
        for any rsrc in pe.resources:
            (rsrc.type == pe.RESOURCE_TYPE_ICON and rsrc.length == 7336)
}

4. 기타 대응 방안

- 암호 변경: 기본 암호 사용, 암호 유출 가능성 등을 고려하여 전사 차원의 암호 변경

- 최소권한부여: 관리자 권한 획득을 어렵게 하기 위함

- MFA 적용: 계정에 엑세스하지 못하도록 하기 위함