2017-07-17 보안 뉴스

1. 적외선을 사용하여 데이터를 도용하는 ATM 스키마
[https://www.scmagazine.com/scammers-stealing-atm-data-using-infrared-tech/article/675044/]
[http://securityaffairs.co/wordpress/61058/cyber-crime/infrared-insert-skimmers-attacks.html]
미국의 신용 카드 스키밍 범죄자들은 최근 적외선 통신 기술을 이용하여 범죄를 저지르고 있다. 그들은 도난당한 결제 카드 데이터를 ATM 근처에 있는 숨겨진 카메라로 전송하는 적외선 안테나를 장착하였다. 금융 업계 관계자는 텔레비전 리모트가 수신기로 정보를 전송할 수있게 해주는 기술과 동일한 기술이라고 덧붙였다. 숨겨진 카메라는 전송받은 카드 데이터를 수집하고, ATM 사용자의 비디오를 녹화하는 이중 기능을 제공한다. 이 기술을 통해, 범죄자는 현장에서 떨어져 있어도 범죄를 저지를 수 있었다. 경찰은 최근 이 기술을 사용하는 범죄자를 다수 목격했으며, 몇몇 ATM기에서 이 유형의 스키마를 제거했다고 밝혔다.

2. 21년전 취약점 Kerberos 프로토콜 취약점 패치(Windows, Linux)
[https://www.bleepingcomputer.com/news/security/21-year-old-bug-in-kerberos-protocol-gets-patch-in-windows-linux/]
Kerberos 인증 프로토콜의 두 가지 구현에서 위협 요소가 인증 절차를 우회 할 수 있는 취약점에 대한 패치를 받았다. 이 취약점은 "Orpheus'Lyre"라는 연구원 팀에 의해 발견되었고, Kerberos 프로토콜의 세 가지 구현 중 두 가지에 영향을 주었다. 이에 따라 Microsoft는 Kerberos 프로토콜이 사용 된 프로젝트에 대해 보안 업데이트에서 Kerberos 구현 취약점 (CVE-2017-8495)을 패치했다. Debian, FreeBSD 및 Samba 또한 CVE-2017-11103으로 추적되는 결함에 대한 패치를 출시했다.

3. OSX/Dok 악성코드가 Mac OS를 대상으로 유포되어 은행 계좌 정보를 훔쳐
[https://www.scmagazine.com/osxdok-still-stealing-apple-certs-to-bypass-gatekeeper/article/675233/]
Check Point 연구원은 MacOS 사용자를 대상으로하는 MIT(Man-in-the-middle)공격과 결합된 피싱 캠페인을 발견했다. 이 공격은 은행 웹 사이트를 모방하여 은행 계좌 정보를 훔치기 위해 OSX/Dok멀웨어를 확산시켰다. 연구원은 페이지에 열거된 저작권 기간의 잘못된 사용, 기존 Credit-Suisse SSL 인증서 및 URL의 인증 토큰 소유 실패로 인해 가짜 사이트를 발견했다. 공격자들은 macOS 보안 기능인 GateKeeper를 우회하기 위해, 수십 개의 Apple 인증서를 구매한 것으로 알려졌다. 악의적으로 조작된 응용 프로그램은 피해자에게 신뢰를 얻기위해 Apple이 사용하는 것과 유사한 이름을 가지고 있다. 또한 희생자의 OS설정을 수정하여 일부 애플 서비스의 보안 업데이트를 사용하지 못하도록 하고, 로컬 호스트 파일을 수정함으로써 탐지 및 제거가 더욱 어려워진 것으로 보인다.

4. PC 전자파를 분석하여 AES256 암호화 키 복구
[https://www.bleepingcomputer.com/news/security/experts-recover-aes256-encryption-key-from-a-pcs-electromagnetic-emissions/]
이 장치는 "Van Eck phreaking"으로 알려진 측면 채널 공격을 이용하고 AES256 알고리즘에서 암호화 키를 복구하기 위해 특별히 제작되었다. Fox-IT 및 Riscure의 연구원 팀은, 전자기를 통해 암호화 키를 추론하는 전자 부품을 사용하여 장치를 구성했다. 공격은 일반적으로 값 비싼 장비를 사용하지만 연구원들은 €200(230 달러) 정도의 장비를 이용해 대처할 수 있다고 말한다. 스니핑 장치가 대상에서 약 1 미터 떨어진 곳에 배치되면 장치는 암호화 키를 탐지하기 위해 최대 5 분이 필요하다. 즉, 이론적으로 공격자가 목표물에 가까이 다가갈수록 장치에서 오는 전자기파가 강해지고, 장치가 암호화 키를 탐지하는 데 필요한 시간이 짧아진다고 연구원들은 밝혔다.

5. AlphaBay Market 서비스 종료
[http://thehackernews.com/2017/07/dark-web-market-exit-scam.html]
마약 총 및 기타 불법 제품을 판매하는 다크 웹 장터 중 하나인 AlphaBay Market은 아무런 사전 설명 없이 서비스를 종료했다. 이달 초부터 이어진 반복적 접속불가 현상은 국제당국에 의한 폐쇄로 보인다. 올해 초, 해커가 AlphaBay 사이트 뿐만 아니라 여러 사용자의 200,000개 이상의 비공개 메시지를 해킹당했다고 보도되었다. 이 웹 사이트는 유지 관리를 위해 때때로 다운되지만, 고객들은 가동 중지 시간에 대해 관리자로부터 사전 안내를 받지 않았기 때문에 Bitcoin을 모두 도난 당했다고 추측하고 있다.

6. 자격 증명을 탈취하는 악성코드 Ovidiy 암암리에 판매 중
[https://www.scmagazine.com/bargain-basement-credentials-stealing-malware-picks-on-browsers/article/675220/]
오비디(Ovidiy)는 주로 브라우저를 대상으로 자격 증명을 탈취하는 Malware로, 주로 러시아 사용자에게 약 7~13달러의 가격으로 판매되고 있다. Proofpoint는 블로그를 통해, Ovidiy는 6월 이후 지속적인 개발을 하고 있다고 밝혔다. 구매자는 구글 크롬처럼 단일 모듈로 선택할 수 있고, 선택한 모듈이 적을수록 금액이 낮아진다고 한다. 또한 맬웨어가 압축된 첨부 파일 및 링크 형태로 전자 메일을 통해 확산되며, 다양한 파일 호스팅, 크래킹 및 핵심 사이트에서 제공되는 가짜 소프트웨어 도구로도 활용될 수 있다고 말했다. 이 맬웨어는 지속성 메커니즘이 없기 때문에 재부팅 이후에는 컴퓨터에 남아있음에도 불구하고 실행되지는 않는것으로 보인다. Ovidiy Stealer는 상대적으로 쉽게 작업 할 수 있도록 간단하고 효율적인 자격 증명을 허용한다. 잦은 업데이트 및 안정적인 지원 시스템을 통해 Ovidiy Stealer는 훨씬 더 광범위한 위협이 될 수 있다.