CoAP이라는 프로토콜 사용하는 새로운 디도스 증폭 공격

파워 낮고, 네트워크 불안정한 장비들을 위한 UDP 프로토콜의 일종

SSDP 증폭 공격보다 효율성 낮지만, 코앱 인기 변화에 따라 지속적 위협 될 수도

[보안뉴스 문가용 기자] 사이버 공격자들이 최근 ‘코앱’이라고 하는 프로토콜을 남용해 반사형 및 증폭형 디도스 공격을 하기 시작했다고 보안 업체 넷스카웃(NETSCOUT)이 경고했다. 코앱은 Constrained Application Protocol(CoAP)의 준말로, 일종의 애플리케이션용 프로토콜이다. 불안정한 네트워크 내에 연결되어 있는 파워 낮은 컴퓨터 장비들 중 HTTP와 유사한 UDP(포트 5683)를 통해 작동하는 것들을 위해 마련된 것으로, 주로 중국의 모바일 폰과 사물인터넷 장비들 사이에서 주로 사용된다.

코앱을 남용하는 디도스 공격은 제일 먼저 어뷰징 가능한 코앱 장비를 스캔하는 것에서부터 시작된다. 이런 장비가 발견됐을 때, 공격자들은 스푸핑된 패킷을 이 장비들을 통해 다량으로 흘려보낸다. 현재까지 분석된 바에 의하면 공격자들에게는 코앱에 대한 깊은 지식은 없는 것으로 보인다고 한다. 하지만 다른 공격자들의 비슷한 공격 시도나 학습을 통해 공격의 고급화가 이뤄질 것으로도 보인다.

넷스카웃의 보안 전문가들에 의하면 코앱 프로토콜에 대한 스캐닝 행위는 요 근래 지속적으로 이어지고 있다고 한다. “대부분 /well-known/core에 대한 GET 요청입니다. 1월에는 코앱을 사용한 디도스 공격이 크게 증가하기도 했습니다.”

코앱의 평균 증폭 인수는 34로, 인터넷을 통해 접속이 가능한 코앱 장비들 대부분은 중국 영토 내에 있다. 대부분 모바일 P2P 네트워크를 활용하고 있으며, 따라서 네트워크 내 코앱 장비들 간 연결성은 단기성이며, 주소도 주 단위로 바뀐다. “그래서 코앱 디도스 공격자들은 IP 주소를 계속해서 스캔해야 합니다.”

그럼에도 공격자들이 코앱 공격에 취약한 IP 주소의 목록을 구축하는 게 불가능한 건 아니다. “이러한 목록을 확보한 공격자들은 취약한 장비들을 사용해 계속해서 패킷을 내보낼 수 있게 됩니다. 이 때 사용되는 출처 주소는 스푸핑된 것으로, 공격의 표적을 이리로 지정하면 디도스 공격이 성립됩니다.”현재까지의 분석에 의하면 “코앱을 남용한 디도스 공격은 지정학적이나 논리적으로 널리 분산된 표적들을 향하고 있으며, 피해자들 간 공통점이 발견되지 않았다”고 한다. “공격 지속 시간은 평균 90초가 넘으며, 초당 100 패킷 이상의 용량을 보여주고 있습니다.”

넷스카웃이 인터넷을 스캔했을 때 발견된 취약한 코앱 장비들은 388344대였다. 이 중 81%는 중국에 있었고, 나머지는 브라질, 모로코, 대한민국, 미국에서 발견됐다. 위에서 언급된 /well-known/core에 대한 요청에 대해, 중국에 있는 장비들 대부분은 QLC 체인(QLC Chain) 응답을 되돌려주었다. QLC 체인은 P2P 네트워크의 일종이다.

​

구글의 지메일 기능 악용한 BEC 공격, 많아지고 빨라지고

구글, 사기성 계정 생성 막으려 비슷한 여러 이메일 주소 하나로 인식

BEC 공격자들, 이를 활용해 다양한 이메일 주소를 하나의 계정에서 관리

[보안뉴스 문가용 기자] 사이버 범죄자들이 구글의 지메일에 있는 계정 보안 기능을 남용해 다양한 웹사이트에서 가짜 계정을 빠르게, 대량으로 생성하고 있다고 보안 업체 애거리(Agari)가 밝혔다. 이러한 현상에 대해서는 이전부터 경고가 있어 왔다. 이 기능은 여러 지메일 주소가 결국 같은 계정을 가리키고 있다는 걸 확인해주는 것으로, 예를 들어 johnsmith@gmail.com이나 john.smith@gmail.com이나 jo.hn.smith@gmail.com이나 구글은 전부 같은 주소로 확인한다. johnsmith@gmail.com이라는 계정을 보유한 사람은 보내는 사람이 위 세 가지 버전 중 어떤 곳으로 메일을 보내든 전부 받을 수 있게 된다.

구글의 대변인은 “타인의 이름이나 사용자 이름을 함부로 사용할 수 없도록 마련한 장치”라고 이 기능에 대해 설명했다. “지메일 주소는 해당 소유자에게 있어 고유해야 합니다. 누구라도 점 몇 개 찍어 쉽게 가져올 수 없는 것이어야 하죠. 그렇기 때문에 다른 사람의 이름에 교묘한 점을 찍어 계정을 생성하려고 해도 실패할 수밖에 없습니다.”

하지만 이 기능이 최근 타 사이트의 계정 생성 기능과 얽히기 시작했다. 애거리에 따르면 “신용카드 회사나 소셜 미디어 사이트 등에서 계정을 만들 때, 대부분은 이름에 점이 찍히면 다른 계정으로 인식한다”고 설명한다. 대부분의 경우 johnsmith@gmail.com과 john.smith@gmail.com이 다르게 인식된다는 것이다. “이를 이용해 공격자들은 비슷하면서도 서로 다르게 인지되는 이메일 주소를 여러 개 만들 수 있게 됩니다.”

애거리는 최근 사업 이메일 침해(BEC) 공격자들이 한 개의 웹사이트에서 여러 개의 ‘점 찍힌’ 이메일 계정을 만들고, 이를 전부 한 개 지메일 계정으로 통합하는 방식을 사용하고 있는 걸 발견했다. “이렇게 함으로써 공격자들은 네 개의 미국 기업들에 48개의 신용카드 신청서를 제출하고, 최소 6만 5천 달러를 사기쳤습니다. 뿐만 아니라 11건의 세금 관련 사기 공격도 바로 이 지메일 통합 기능을 사용해 실행했고, 우체국에 사기성 주소 변경 신청도 12번이나 했습니다.”

애거리는 “문제는 지메일의 기능 그 자체에 있는 것이 아니”라고 강조했다. “지메일이 취약하기 때문에 이런 일이 발생하는 게 아닙니다. 지메일의 정상 기능을 자기들 좋을 대로 사용하는 법을 공격자들이 익힌 것이죠. 여러 개의 사기성 이메일을 훨씬 편리하게 운영하고 깔끔하게 관리하는 법을 말입니다.”

​ 

참조사이트  
     

 http://www.dailysecu.com

 http://www.boannews.com

 http://www.boan.com

 http://www.dt.co.kr/

 http://www.datanet.co.kr/

 http://www.itdaily.kr

 [패치 및 업데이트]

 Moxa ThingsPro 2 Series 제품 보안 업데이트 권고

□ 개요

 o Moxa社는 스카다 시스템 또는 IoT 제품의 원격 관리를 위해 사용하는 ThingsPro 2 Series 플랫폼의 보안 업데이트 발표

 o 영향 받는 제품을 이용할 경우 시스템 권한 탈취, 네트워크 침투 등의 공격에 노출될 수 있어 최신 버전으로 업데이트 권고

□ 설명

□ 영향을 받는 제품 및 버전

 o ThingsPro 2 Series  소프트웨어 버전 2.1 또는 이하

□ 해결 방안

 o ThingsPro 2 Series의 사용자 비밀번호를 8자리3조합 이상의 안전한 비밀번호로 변경하여 사용

 o ThingsPro 2 Series의 펌웨어를 최신버전(2.3 이상)으로 업데이트 수행

□ 기타 문의사항

 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]

[1] https://www.moxa.com/en/support/product-support/security-advisory/thingspro-2-series-system-software-vulnerabilities

[2] https://ics-cert.kaspersky.com/reports/2019/01/22/security-research-thingspro-suite-iiot-gateway-and-device-manager-by-moxa/

http://www.krcert.or.kr/data/secNoticeList.do

 http://www.microsoft.com/korea/security/default.mspx

 http://www.adobe.com/kr/downloads/updates/

 [최신 바이러스 정보]

​​ ​금일 최신 바이러스 정보 없습니다.

http://www.viruschaser.com 

  http://www.viruslist.com

  http://alyac.altools.co.kr/

  http://www.ahnlab.com/

 ​

​

[보안TIP]

지난해 중국에서 가장 많이 악용된 취약점은 ‘MS 오피스’ 취약점

[보안뉴스 온기홍=중국 베이징] 중국 정보보안업체 루이싱정보기술은 자체 조사 결과를 바탕으로 지난해 중국에서 널리 퍼진 정보보안 취약점 ‘톱10’은 △CVE-2018-0802 △CVE-2018-4878 △CVE-2018-8174 △CVE-2018-8414 △CVE-2018-8120 △CVE-2018-4990 △CVE-2018-4903 △CVE-2018-4993 △CVE-2018-8440 △CVE-2018-15982 순이었다고 밝혔다. 이 가운데 ‘CVE-2018-0802’ 취약점은 지난해 중국에서 이용된 비중이 29.95%로 가장 높았다. 이 취약점은 ‘CVE-2017-11882’와 같이 마이크로소프트 오피스(office)의 ‘EQNEDT32.EXE’ 수식 편집기 프로그램에서 출현한 또 하나의 취약점이다. 또한 ‘CVE-2017-11882’ 취약점 패치를 우회하는 취약점으로 모든 오피스 버전에 영향을 끼칠 수 있다. 이 회사는 ‘CVE-2018-0802’와 관련, “공격자는 컴퓨터 사용자를 꾀어 악성코드가 들어 있는 오피스 파일, 웹페이지, 스팸 메일 등을 열게 하고 취약점을 촉발한다”며, “이 때문에 많은 공격자들은 이 취약점 사용을 매우 즐겨 하게 됐고, 이 취약점이 지난해 중국에서도 널리 유행하게 됐다”고 설명했다. 이 취약점은 폰트 명칭의 길이에 대해 검사를 진행하지 않기 때문에 공격자는 악의적인 폰트명을 만들어서 임의 코드를 실행할 수 있다고 이 회사는 덧붙였다.

중국에서 지난해 두 번째로 많이 이용된 정보보안 취약점은 ‘CVE-2018-4878’으로 전체의 26.96%를 차지했다. 이어 ‘CVE-2018-8174’는 15.26%의 점유율로 3위를 기록했다. 2위의 ‘CVE-2018-4878’는 어도비 플래시(Adobe Flash) 플레이어(28.0.0.137)와 이전 버전에 존재하는 취약점으로 공격자가 시스템을 제어하는데 이용될 수 있다.

루이싱정보기술 측은 ‘CVE-2018-4878’에 대해 “공격자가 피싱 전자우편을 발송하고 컴퓨터 사용자를 꾀어 악성 플래시 콘텐츠가 삽입된 오피스 파일을 열게 하거나 피싱 웹주소 링크를 클릭하게 해서 취약점을 촉발한다”고 설명했다. ‘CVE-2018-4878’는 특히 지난해 해커 조직의 암호화폐 채굴 바이러스 전파에 이용됐다. 컴퓨터 사용자가 악성 링크를 클릭하면 취약점을 가진 플래쉬 파일에 접속하게 되고, 취약점을 촉발한 뒤 자동으로 암호화폐 채굴 바이러스를 내려 받아 실행한다.

이터널 블루 취약점, 가장 심각한 영향 끼친 보안취약점 중 하나

중국에서는 지난해 ‘이터널 블루(Eternal Blue)’ 취약점인 ‘CVE-2017-0144’이 여전히 가장 심각한 영향을 끼친 보안 취약점 가운데 하나로 지목됐다. ‘CVE-2017-0144’는 마이크로소프트 윈도우(Windows) OS의 SMB 서비스 중 존재한 원격 코드 실행 취약점이다. 원격 공격자는 특제된 데이터 패킷 발송을 통해 취약점을 촉발시키고, 이 취약점을 이용해 코드를 실행한다고 이 회사는 설명했다. 이 회사는 “많은 기업들의 인터넷에서 ‘이터널 블루’ 취약점 패치를 하지 않은 기기들이 존재한 것으로 확인됐다”며 “이 때문에 ‘이터널 블루’로 인한 피해는 지금까지 지속되고 있다”고 밝혔다.

이터널 블루는 윈도우의 보안취약점을 이용해 만들어진 해킹 툴이며, 2017년 상반기 전 세계에 퍼진 ‘워너크라이(Wannacry)’ 랜섬웨어의 경우 이터널 블루 코드를 개조해 만들어졌다. 랜섬웨어 ‘Satan’와 ‘Lucky’, 암호화폐 채굴 바이러스 ‘MsraMiner’도 이터널 블루 코드를 이용해 전파를 진행할 만큼 이터널 블루의 영향 범위는 매우 넓다.

이 회사는 “공격자들은 보안 취약점 이용 지식을 확보하지 않고도 이터널 블루 취약점 공격을 개시할 수 있게 되면서 사이버 공격의 문턱이 매우 많이 낮아졌다”고 지적했다.

.http://www.krcert.or.kr/data/secNoticeList.do

http://www.microsoft.com/korea/security/default.mspx

http://www.adobe.com/kr/downloads/updates/