20.10.13 ( 애플 취약점 55개 발견, 안드로이드에서 새롭게 등장한 말락커 랜섬웨어, 기업형 랜섬웨어 'FONIX' 주의 )

1. 애플의 인프라와 시스템, 취약점 55개 발견

 

최근 3개월 동안 해커들이 애플의 인프라와 시스템에서 55개의 취약점을 발견했다고 합니다.😀

 

이 중 I-Cloud 계정을 탈취하게 해주는 취약점이 있었으며, 자동 번식 기능을 가지고 있기도 해서 자동으로 피해자의 자룔를 침해하는 것이 가능했다고 합니다.

 

이 취약점들을 발견한 사람들은 보안 전문가로써, 샘 커리(Sam Curry), 브렛 부어하우스(Brett Buerhaus), 벤 사데이푸르(Ben Sadeghipour), 사무엘 어브(Samuel Erb), 태너 반즈(Tanner Barnes)이다. 이 중 샘 커리 블로그를 통해 상세한 내용을 공개하였다고 합니다.😁

 

다음 내용은 발견된 취약점으로 공격할 수 있는 요소입니다.

• 고객 및 직원용 애플리케이션 완전 침해
• I-Cloud 계정 자동 장악
• 내부 애플 프로젝트의 소스코드 탈취
• 애플이 사용하는 산업 제어용 소프트웨어 침해
• 애플 직원들의 세션 장악을 통한 관리자 도구 및 민감 정보에의 접근

55개 취약점에 대한 CVSS 기준 위험도 입니다.

• 치명적 위험군 11개
• 고 위험군 29개
• 중간급 위험군 13개
• 저 위험군 2개

치명적 취약점은 다음과 같습니다.

• 인증 우회 취약점을 통한 애플 교육자 프로그램 완전 침해
• 인증 우회 취약점을 통한 DELMIA Apriso 애플리케이션 완전 침해
• 워머블 XSS 취약점을 통한 I-Cloud 데이터 탈취
• Author's ePublisher에의 명령 주입 취약점
• I-Cloud의 SSRF 취약점을 통한 애플 소스코드 탈취
• REST 오류 노출을 통한 Nova Admin 디버그 패널 접근
• 팬텀JS 아이튠 배너 및 책 제목 XSS 취약점을 통한 AWS 비밀 키 접근
• 애플 eSign의 힙 덤프 취약점을 통한 외부 직원 관리자 도구 침해
• 자바 Management API의 블라인드 SSRF 취약점을 통한 XML 외부 개체 프로세싱
• GBI Vertica와 노출된 GSF API의 SQL Injection 취약점
• 다양한 IDOR 및 XSS 취약점

애플에서 I-Cloud 플랫폼을 통해 메일과 내 아이폰 찾기(Find my iPhone)와 같은 서비스를 제공하기도 하며, 공격에 성공하면 I-Cloud와 연동된 모든 정보에 닿을 수 있다고 합니다. 이러한 이론에 대한 기술적 내용을 블로그에서 상세히 공개하였다고 합니다.😀

 

 

 

2. 안드로이드에서 새롭게 등장한 말락커 랜섬웨어

 

안드로이에 새롭게 등장한 말락커 랜섬웨어는 안드로이드 기반 모바일 장비들을 잠근 후 사용자가 '홈 버튼'을 누르면 협박 편지를 띄운다고 합니다.😐

 

Microsoft(MS)는 말락커는 악성 웹사이트의 다운로드 파일을 통해서 퍼져가고 있으며, 주로 인기 높은 앱이나 크랜된 게임, 영상 플레이어로 위장되어 있다고 합니다. 특히, 개발자들의 악의가 뚜렷하며 고급 기능들을 가지고 있어 탐지율이 낮다고 하네요.😨

 

안드로이드 랜섬웨어는 협박 편지를 겁쳐 띄워 피해자가 장비 자체에 접근하지 못하도록 하는 것이지, 일반적인 데스크톱 랜섬웨어 처럼 파일을 암호화하지는 않는다고 합니다. 이번 말락커는 홈 버튼 기능을 통해 발동된다는 특이한 특징과, 머신러니 모듈을 탑재해 편지가 자동으로 화면 크기에 맞게 조정이 된다고 합니다.

 

MS의 전문가들은 "일반적인 안드로이드 랜섬웨어는 'SYSTME_ALERT_WINDOW'라는 특수한 권한을 활용한다. 긴급 상황을 사용자들에게 알리기 위해 만들어진 권한을 활용하니 언제나 협박 편지가 가장 위 화면에 뜨게 된다. 그러니 사용자로서는 장비를 조작할 수 없게 됩니다." 라고 언급했다고 합니다.

 

그러나 말락커는 안드로이드가 지원하는 여러 항목의 알림 기능 중 call을 활용한다고 합니다. call은 알림 기능으로 사용자의 즉각적인 관심을 끄는 것에 목적이 있다고 합니다. 여기 onUserLeaveHint()라는 콜백 메소드까지 같이 활용하는데, 안드로이드 사용자들이 앱을 닫거나 홈 키를 누를 때 나오는 GUI화면까지도 사용할 수 있게 된다고 합니다. 즉, 장비 내에서 진행되는 모든 서비스들을 능동적으로 배경으로 보내고 협박 편지를 띄운다는 것이죠.😶

 

또한, 멀웨어는 알림 빌더를 생성하고 특별한 권한을 부여할 수 있다고 합니다. 이 때 사용되는 것이 setFullScreenIntent()라고 하며, 이를 GUI와 결합해 사용자가 장비를 조작하려고 할 때 화면에 띄운다고 합니다.😑

 

MS 연구원들이 주목한 것은 말락커의 머신러닝 모듈이라고 합니다. 안드로이드 랜섬웨어가 지속적으로 변하고 있다는 것을 보여주고 있으며, 계속해서 변종이 탄생하여 여러 발전상이 드러낼 것이기 때문이라고 합니다.

 

파일을 다운로드 받을 땐 신뢰되지 않는 파일은 잘 살펴보고 다운받으시길 바랍니다.😁

 

 

 

3. 기업형 랜섬웨어 'FONIX' 주의

 

사이버범죄 포럼에 FONIX 서비스형 랜섬웨어 운영자들이 자신들이 개발한 랜섬웨어를 소개하고 있다고 합니다.🙄

 

센티널원 보안연구가들은 이 FONIX 랜섬웨어에 대해 특별히 주의를 기울여야 한다고 합니다.

 

FONIX 랜섬웨어는 파일을 암호화하는데 4자지 방법을 사용하며, 제휴 파트너사에 피해자가 이메일을 통해 연락할 수 있고 이후 파트너사가 랜섬웨어 운영자에게 복호화 툴이나 키를 요청해서 전달하게 된다고 합니다. 피해자들이 전달한 랜섬머니는 파트너사가 25%를 FONIX 랜섬웨어 운영자에게 전해주고 나머지를 챙긴다고 하네요.😑

 

센티널원 연구진은, FONIX 랜섬웨어는 시스템 파일을 제외한 모든 파일을 암호화하며 시스템 전체가 암호화된다면 복구가 어렵다고 경고하고 있습니다😀

 

 

 

 

 

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=91708&page=1&mkind=1&kind=1

애플의 인프라와 시스템에서 취약점 55개 무더기로 쏟아져

www.boannews.com/media/view.asp?idx=91711&page=1&mkind=1&kind=1

안드로이드 생태계에서 새롭게 등장한 랜섬웨어, 말락커

www.dailysecu.com/news/articleView.html?idxno=114853

기업형 랜섬웨어 ‘FONIX’, 각별한 주의 필요해 - 데일리시큐