Min
블로그 이미지

Home

Write

Setting

About Me
Dark
Security Study/Securiy News

20.10.15 ( 해킹 조직 'FIN11'의 주요 공격방식 및 특징, '블리딩투스' 취약점 발견, 2020 국감 - 정보보호 공시제도 개선 시급, 악성코드 확산 경로 '트릭봇' 해체 실패 )

HelloMG
|2020. 10. 15. 17:10

1. 금전 목적 해킹조직 'FIN11'의 특징과 주요 공격방식

 

파이어아이 보안기업에서 금전 목적의 공격 그룹 'FIN11'에 관한 보고서를 공개했습니다. 이 보고서에 따르면 FIN11은 2016년부터 활동을 시작하여 다양한 공격 기법과 독자적인 코드군을 보유하고 있다고 합니다.😀

 

FIN11은 금전 목적의 그룹 중 가장 규모가 크고 지속력이 강한 멀웨어를 배포하며, 멀웨어 배포 전략 및 기법을 끊임없이 진화시키고 있다고 합니다. 또한, 최근 FIN11의 공격 활동은 대부분 'CLOP 랜섬웨어'를 배포해 피해자 네트워크에 침입하여 데이터를 탈취하는데까지 이어지며, 포스 멀웨어를 배포했던 예전 방식과 다르게 진화하고 있다고 합니다.😶

 

다음 FIN11에 대한 리포트 내용입니다.

  • FIN11은 대부분 독립 국가 연합의 소속으로 활동하고 있는 것으로 추정된다.
  • 전세계 다양한 지역 및 산업의 기업을 공격해왔다.
  • 최소 2016년부터 활동하기 시작한 FIN11은 멀웨어를 배포하기 위해 광범위한 피싱 공격을 실시해왔다. 다수의 피싱 공격을 실시하였으며, 매달 배포 전략을 변경한다.
  • 실질적인 수익을 얻기 위해 복합적인 탈취 공격 수법을 사용한다.

 

 

 

2. '블리딩투스' 취약점 발견

 

Google과 Intel이 리눅스 블루투스 프로토콜인 블루지(BlueZ)에서 고위험군에 속하는 취약점을 발견했다고 합니다. 블루지는 리눅스 기반 IoT 장비들에 탑재된 블루투스 기능을 구현하는데 있어 핵심적인 요소 중 하나이며, Google은 여기에 블리딩투스(BleedingTooth)라는 이름을 붙였다고 합니다.😀

 

리눅스 커널 5.9 이전 버전의 경우 블리딩투스 취약점에 노출되어 있다고 합니다. 블리딩투스 취약점의 가장 큰 특징은 '제로 클릭 공격'을 가능하게 한다는 것인데, 이는 피해자가 특정 링크를 누르거나 파일을 열지 않아도 공격이 성립이 된다고 합니다. 그리고 공격이 성공할 경우 공격자의 권한이 상승한다고 하네요.😁

 

Google은 깃허브 게시글을 통해 "공격자가 피해자의 블루투스 주소를 알아낼 경우 악성 l2cap 패킷을 보냄으로써 DDoS 공격을 하거나 커널 권한을 가지고 임의 코드 실행 공격을 할 수 있다."라고 설명했답니다. 그리고 악성 블루투스 칩을 통해서도 블리딩투스 취약점을 발동시키는게 가능하다고도 썻답니다.😮

 

CVE-2020-12351의 관리번호를 부여받았으며, CVSS를 기준으로 8.3점을 받아 고위험군으로 분류되었다고 합니다. 타입 컨퓨전(Type Confusion) 취약점이며, net/bluetooth/l2cap_core.c에서 발견된다고 합니다. 타입 컨퓨전을 일으키면 영역 외 메모리에 접근할 수 있으며, 이를 통해 코드를 실행시키거나 일부 요소를 마비시킬 수 있게 된다고 합니다. 이런 공격이 가능한 이뉴는 블루지를 커널 내에서 구현했을 때 사용자가 제공하는 입력값을 검증하는 과정이 불충분하기 때문이라고 하네요.😀

 

다음은 Google이 공개한 익스플로잇 영상 및 추가 정보, 깃허브 주소입니다.

 

- 영상 주소

https://www.youtube.com/watch?v=qPYrLRausSw&feature=emb_logo

- 추가정보 주소

https://security.googleblog.com/

- 깃허브 주소

https://github.com/google/security-research/security/advisories/GHSA-h637-c88j-47wq

 

Intel에서도 리눅스 커널 사용자들에게 5.10 이상 버전으로 업데이트할 것을 권고했으며, 불충분한 접근 제어 때문에 발생하는 중간급 위험군 오류 두 개(CVE-2020-12352, CVE-2020-24490)에 대한 픽스를 발표했다고 합니다.😀

 

Intel이 공개한 취약점 세부 내용과 픽스는 다음의 주소에서 확인하시면 됩니다.😁

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html

 

 

 

3. 2020년 국감, 정보보호 공시제도 개선 시급

 

이번 국정감사에서 KISA가 기업의 정보보호 책임성 강화와 이용자의 알권리 보장을 위해 시행한 정보보호 공시제도에 참여한 기업이 36곳에 불과하다고 합니다.🤨

 

과기정통부는 기업으로부터 정보보호에 대한 투자를 이끌어내고 각종 보안사고를 미리 예방하려는 취지에서 ISMS 인증 의무를 부여하고 있습니다. 또한 ISMS 인증제도와 정보보호 공시제도를 상호 보완적으로 운영하기 위해 정보보호 공시에 참여하는 기업을 대상으로 ISMS 인증 수수료를 30% 감면해주는 혜택을 제공하고 있다고 합니다.

 

ISMS 인증 의무 대상기업은 정부가 정보보호 관리 책임성이 높은 기업들을 한정해 놓은 것으로 정보보호 공시제도의 대상 기업들을 선별할 때도 이를 포함하도록 고려해야 한다는게 과기정통부의 입장이라고 하네요.😁

 

따라서 ISMS 인증 의무대상 기업을 정보보호 공시제도의 대상 기업으로 본다면 36개 기업은 755개 기업의 5%에도 못미치는 수준이라고 합니다.😥

 

지난해에는 1억 5000만원의 예산으로 총 28개 업체에 컨설팅을 지원했지만 21개 업체는 참여하였고 나머지 7개 업체는 공시에 참여하지 않았다고 합니다.

 

컨설팅을 신청하는 업체들은 기업의 신뢰도를 향상시키고 마케팅에 활용하려는 취지에서 자발적으로 신청을 하지만, 최종적으로 정보보호 관련 예산 비율이 저조하여 공시하기 어려운 수준이거나 의무가 아니기 때문에 CEO 결심 단계에서 포기해버리는 경우가 많다고 합니다.😭

 

현행법상 정보보호 공시는 의무가 아니며 기업당 500만원의 예산을 들여 약 4회에 걸친 컨설팅을 진행하고도 기업 내부사정에 의해 공시를 하지 않겠다라고 하면 제재할 수 가없는 실정이라네요🙄

 

이에 정보보호 공시제도 예산 집행의 실효성을 담보하고 기업의 정보보호를 강화하기 위해 기업의 공시 참여를 확대할 제도적 대안 마련이 필요한 시점이라고 언급하였습니다.😄

 

 

 

4. MS 연합체, 악성코드 확산 경로 '트릭봇' 해체 실패

 

MS를 비롯한 IT 회사들이 연합해 악성 프로그램 확산 경로인 '트릭봇' 봇넷 해체 작업을 시도했지만 실패했다고 합니다.😥

 

트릭봇 명령자와 조정 서버, 도메인 등 파악을 하지 못했으며, "트릭봇에 대해 새로운 인프라가 짜여져 대체 되었다"고 한 관계자가 언급했다고 합니다.

 

"트릭봇 해체 작업의 효과는 일시적이었고 제한적이었다. MS 비롯한 연합체는 이번 결과에 개의치 않고 계속해서 해체 작업을 이어갈 계획이다." 라고 관계자가 언급했다고 합니다.😁

 

트릭봇은 러시아어를 구사하는 해커들이 운영하는 전 세계적인 봇네트로, 현재 활성화 된 봇넷 중 가장 큰 규모라고 합니다. 특히, MaaS(서비스로서의 멜웨어)란 활동 모델로 다른 시스테들을 감염시켜 확산을 강화하는 것이 특징이라고 합니다.😀

 

트릭봇은 미국 최대 의료법인 중 하나인 '유니버셜 헬스서비스'를 공격한 랜섬웨어를 확산시키기 위해 사용된 바 있다고 합니다. 류크나 콘티와 같은 랜섬웨어 확산 집단들에게 감염된 PC에 대한 접근이 가능하도록 네트워크를 제공하기도 했다네요! 이외에도 사기범, 국가적인 행위자, 산업 스파이단을 위해서도 악용된다고 합니다.😑

 

이번 해체 작업은 MS, FS-ISAC, ESET 등이 참여했으며, 먼저 트릭봇의 서버 및 악성코드 모듈에 대한 조사를 실시했다고 합니다. 또한 트릭봇에 감염된 PC를 제어하고 추가 모듈을 제공하기 위해 봇넷이 사용한 서버를 포함해 총 12만5천개 이상의 트리봇 악성코드 샘플을 수집 및 분석했다고 합니다. 또한, 수개월동안 악성 프로그램 내 정보를 추출하고 구조화하는 과정을 거쳤다고 합니다.😁

 

위의 근거로 법원에서 트릭봇 서버에 대한 통제를 허가권을 획득해 해체 작업에 착수했다고 합니다.😀

 

현재 트릭봇에 감염된 PC 및 IoT 장치는 지금까지 100만대 이상으로 추산되었으며, 연합 회사들은 향후 전세계 인터넷 서비스 제공업체 및 긴급 PC 준비팀(CERT)들이 이용자들에게 PC 감염 사실을 알릴 수 있도록 할 계획이라고 합니다.😁

 

 

 

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=91801&page=1&mkind=1&kind=

 

금전 목적 해킹조직 ‘FIN11’의 주요 공격방식과 특징은?

보안 솔루션 기업 파이어아이가 금전 목적의 공격 그룹 ‘FIN11’에 관한 내용을 담은 보고서를 공개했다. 맨디언트에 따르면, FIN11은 2016년부터 활동을 시작했으며, 다양한 공격 기법과 함께 ‘Fl

www.boannews.com

www.boannews.com/media/view.asp?idx=91808&page=1&mkind=1&kind=

 

리눅스 블루투스 프로토콜에서 심각한 ‘블리딩투스’ 취약점 나와

구글과 인텔이 리눅스 블루투스 프로토콜인 블루지(BlueZ)에서 고위험군에 속하는 취약점을 발견했다. 블루지는 리눅스 기반 사물인터넷 장비들에 탑재된 블루투스 기능을 구현하는 데 있어 핵��

www.boannews.com

www.dailysecu.com/news/articleView.html?idxno=114920

 

[2020 국감] 4년간 정보보호 공시제도 참여기업 36곳에 불과…제도 개선 시급 - 데일리시큐

KISA(한국인터넷진흥원. 원장 김석환)가 기업의 정보보호 책임성 강화와 이용자의 알권리 보장을 위해 2016년 8월부터 시행하고 있는 정보보호 공시제도에 참여한 기업이 36곳에 불과해 실적이 저�

www.dailysecu.com

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29604&key=&dir_group_dist=&dir_code=&searchDate=

 

MS 연합체, 악성코드 확산 경로 '트릭봇' 해체 실패

마이크로소프트(MS)를 비롯한 IT 회사들이 연합해 악성 프로그램 확산 경로인 '트릭봇' 봇넷 해체 작업을 시도했..

www.ahnlab.com

 

'Security Study > Securiy News' 카테고리의 다른 글

20.10.19 ( 개인정보보호 연차보고서 - 위원회 4곳, 배송 실패 관련 DHL 사칭 악성메일, 보안 강화 2단계 인증 및 주요 IT 서비스 인증방법 )  (0) 2020.10.19
20.10.16 ( 'Zoom' 종단간 암호화 적용, 유비소프트와 크라이텍을 공격한 에그레고르 랜섬웨어, 인트코멕스의 초대형 유출 사고, 해킹 발생률이 높은 중소기업 무료 보안도구도 안쓴다? )  (0) 2020.10.16
20.10.14 ( 구글 키보드 AI 기능, 10주년 맞은 인스타그램의 보안 강화 기록, 싱가포르 CCTV 해킹 사고 발생, 일반 기업 대상 보안 권고 기준 마련 검토, 확진자 개인정보 보호강화 위한 안내문 배포)  (0) 2020.10.15
20.10.13 ( 애플 취약점 55개 발견, 안드로이드에서 새롭게 등장한 말락커 랜섬웨어, 기업형 랜섬웨어 'FONIX' 주의 )  (0) 2020.10.13
20.10.12 ( 개인정보보호 연차보고서 - 국가보훈처·인사혁신처·법제처·식약처, 내정보를 유출한 기업에 과징금 258원?, 파이브 아이즈 암호화 기술에 대한 백도어 요구 )  (0) 2020.10.12

티스토리툴바