[W@S 2023] 최신 보안 동향

cybergangster·2023년 5월 8일
0

미분류

목록 보기
10/10
post-thumbnail

최신 보안 동향 ref.

거성화폐 채굴 봇넷 Docker AWS 자격증명 노린다. (데일리시큐)

  • 컨테이너 플랫폼에 암호화폐 채굴 악성코드를 설치하는 것이 처음 발견(2020), 암호없이 온라인으로 관리 API 포트를 노출하는 도커 시스템을 찾아 컨테이너 플랫폼을 침해하고 있었음
  • 도커 컨테이너 플랫폼을 사용하고 있다가 클라우드 서비스 위에 가상화 컨테이너 플랫폼을 올려 최근에 많이 사용~
  • 도커 컨테이너를 사용하다 보면 외부에서 사용하고 싶을 때가 있음, 보안적인 부분을 잘 설정해서 제어를 해야 하는데- API를 제어하는 특정 권한들을 주게 되는데 API Key 등이 노출되는 경우도 있고, 인스턴스나 데이터베이스를 제어해야 하는데 관련된 API 정보들이나 키값들이 노출되는 경우 발생
  • 원격으로 도커를 제어할 수 있는 환경에서 노출이 되었고, AWS 관련 자격 증명(관리자 권환)이 노출됨
  • 도커 컨테이너 환경에 들어가 악성코드 설치
  • 다른 IT 시스템으로 전환해 많은 서버를 감염시키고 더 많은 암호화를 배포하기 위해 AWS 서버에 대한 자격 증명을 훔침
  • AWS에 관련된 자격 증명 파일, config 관련 정보들이 평문으로 저장되어 있으면 위험함
  • 외부에서 접근 가능 > 침투 > key값 등 탈취 > 위험
  • 가상화폐 채굴하는 봇넷들이 도커/클라우드 서비스에 올라가 있고, 외부에서 제어하는 과정에서, 공격자들이 침투를 하여 key값 등 중요 정보를 탈취하고 이를 사용해 악성코드를 심는 등 악의적인 행동을 함

딥웹에서 개인정보가 많이 거래된다는데, 딥웹이 무엇일까

  • 31개의 한국 웹사이트의 1만개가 넘는 개인 정보가 유출이 됨
    • 딥웹에서 31개 한국 웹사이트 13만 4,698명 계정 정보 팔았음
  • 크리덴셜 스터핑(Credential Stuffing) : 보통 1개의 아이디와 패스워드를 공통적으로 사용한다는 것을 이용한 공격
  • 월드와이드웹 :
    • 오로지 인터넷 정보의 4%만이 ‘www’로 시작하는 월드와이드웹
    • 구글, 네이버 등 검색엔젠으로 찾아볼 수 있는 웹사이트들이 여기에 포함됨
    • 빙상의 수면 위에 보이는 부분처럼 대중이 웹상에서 접근 가능한 이 부분을 서비스웹(surface web)이라고도 부름
  • 딥웹:
    • 인터넷 정보의 90%는 딥웹 영역에 속함
    • 검색엔진에 수집되지 않는 정보들로 사용자 데이터베이스, 웹메일 페이지, 등록이 필요한 웹 포럼, 지불장벽(Paywall) 이면의 페이지 등이 딥웹의 속성을 띠고 있음
    • 의도적으로 숨기거나 보안을 위해 감추는 경우가 많음
  • 다크웹:
    • 암호화된 네트워크에 존재하기 때문에 보통의 검색엔진이나 브라우저로는 방문할 수 없는 웹사이트들
    • 다크웹으로 통하는 길 중 유명한 게 토르(Tor) 브라우저를 이용하는 법
    • 월드와이드웹에서는 금지하는 것들이 번성하는 경우가 적지 않음
    • 토르 브라우저는 사용하는 게 불법은 아니지만 익명으로 사용하는 것이기 때문에 범죄자들이 많이 사용하여 악용되는 경우가 많음, 게다가 코인도 익명? 익명+익명=범죄 저지르기 딱 좋구만
    • 범죄 목적으로 사용되기 때문에 좋은(?) 정보는 거의 없음
  • 해당 유출은 딥웹보다는 다크웹에 더 가깝다고 볼 수 있음
  • 개인정보를 거래할 때 코인으로 거래하는 등
  • 앞으로도 많이 발생할 것이고 방지하고 해결하는 것에 대한 공부가 필요할 것임

랜섬웨어 해킹! 민감한 개인정보 대거 유출, 성형외과, 산부인과 등

  • 랜섬웨어 - 파일들을 암호화해서 협박을 해서 금전을 요구하는 것 > 문서 파일에 있는 중요한 정보 뿐만 아니라 민감한 개인정보까지 빼내감 > 딥웹에 공개 > 코인으로 공개
  • 너무 많은 기능들이 있으면 백신에 걸리기 때문에, 간단하게 목적 달성 위주
  • 의료쪽의 경우 의료 시스템 작동을 멈추게 할 수 있어 위험
  • 해킹한 유출 정보를 경쟁사로 보내는 유출도 있음

사물인터넷 장비 동원한 스와팅 ?? 도를 넘는 범죄 행위!! (보안뉴스)

  • 가정용 사물인터넷 장비들 해킹 > 이 집이 자기 집인것처럼 경찰들에게 허위 신고/장난 신고 > 해킹한 장비들을 통해 스와팅 장면을 생생하게 라이브로 송출 > 신고를 위한 장비도 해킹으로 마련한 것이라 진범을 잡는 것도 어렵다고 함
  • 스와팅(swatting): 경찰에 장난으로 신고해 특수부대가 엉뚱한 장소를 급습하게 하는 것을 말함
  • 스와팅은 동영상 스트리밍 서비스가 유행하면서 함께 유행하기 시작한 장난, 자칫하면 사람의 목숨도 위협할 수 있는 장난
  • 무선 AP에서 취약점이 많이 나왔고, 지금도 존재함 > 2008~2010년도 무선 AP가 회사에 많이 설치되었던 시기 > 가장 많이 나왔던 취약점 - ID/PW 미설정, 디폴트, 취약하게 설정되어있거나, 취약한 key값들
  • 무선 AP에 IoT 가가 연결/설치 증가로 해당 범죄 증가
    • 관리자 패스워드 꼭 설정하기
  • shodan.io 에서도 보면 관련 키워드들이 많이 노출되어 있음
    • 쇼단은 인터넷에 연결된 다양한 하드웨어 장비들의 노출된 정보를 제공하는 검색 엔진으로, 전세계에 분산되어 있는 크롤러가 랜덤하게 IP, Port들에 대해서 접속을 시도하여 메타데이터를 구축, 데이터베이스에 저장하고, 이를 게시/제공함
  • 제품에 대한 보안 가이드 참고하면 좋음
  • 피해자들의 공통점
    • 피해자들은 한 가지 비밀번호로 모든 장비와 서비스를 보호하고 있었음
    • 장비들의 경우, 대부분 제조사에서 정한 디폴트 비밀번호였음
    • 디폴트 비밀번호는 매우 약하고, 사용자들은 이를 바꾸지 않음
  • 비밀번호와 같은 정보는 다크웹의 해커들 사이에서 활발하고 꾸준하게 거래되는 품목

월패드 해킹과 앞으로 IoT 보안관제의 중요성

  • 무선 AP 관련 해킹 > IoT 관련 해킹 > 월패드에 대한 해킹 - 다 이어져 있음
  • 월패드: IoT 기능을 연동하고 제어하는 홈네트워크 허브
  • 다크웹(IP 추적이 안되는 웹)에 국내 아파트 사생활이 담긴 영상이 암호화폐 등으로 판매되고 있음
  • 이미 많이 노출되어 왔었음
  • 네트워크 분리의 필요성 > 쉽지 않음
  • 한번 뚫리면 안쪽으로 쑥쑥 들어갈 수 있다고 생각하면 됨
  • DDoS
  • 펌웨어
  • 사생활 관련 > 접근제어
  • 관리자 페이지에 대한 취약한 보안
  • 재택근무가 많아짐에 따라… 보안적으로…

0개의 댓글