이 글에서는 LockBit 3.0 랜섬웨어 공격 사례를 분석하여 실제 공격이 실행되는 행위와 예방할 수 있는 방법을 설명한다. LockBit 3.0 랜섬웨어는 무엇인가? LockBit 3.0 랜섬웨어 (LockBit Black) 는 랜섬웨어 범죄 조직 LockBit이 제작한 랜섬웨어이다. 2019년 9월 첫 공격이 발생했고, 업그레이드 된 LockBit 2.0 으로는 2021년 7월 말 까지 꾸준히 활동해왔다. 이 그룹은 전 세계 기업들을 대상으로 [...]
AWS와 같은 클라우드 공격 표면에도 많은 시스템들이 디폴트 페이지 그대로 방치되어 있다. AWS 클라우드 자산 특성을 잘 이해하는 엔지니어나 AWS의 디폴트 페이지를 봤던 사람들이라면 연관된 키워드를 사용해 OSINT (Open Source Intelligence) 검색으로 디폴트 페이지 상태의 방치된 시스템을 쉽게 탐지할 수 있다. AWS 역시 특정 제품명을 몰라도 쉬운 몇 가지 키워드로 클라우드 공격 표면을 찾아낼 수 [...]
디폴트 페이지 노출 이란, 시스템이 활성화된 상태로 공격 표면에 방치된 기본 설정 페이지를 뜻한다. 모든 시스템은 설치하고 맨 처음 가동되는 디폴트 페이지가 존재한다. 디폴트 페이지에서는 초기 시스템을 세팅하거나 여러 가지 설정 작업이 가능하다. 해커가 디폴트 페이지 노출 취약점을 찾는 방법 공격 표면에는 생각보다 많은 시스템들이 디폴트 상태로 아무 설정도 하지 않고 방치된 채 존재하고 있다. [...]
딥페이크 (Deepfake) 란 A.I. 기술을 활용한 이미지 합성 기술이다. 실존하는 인물의 초상이나 특정 부위를 기존의 이미지 또는 비디오에 합성한 영상 편집물을 총칭한다. 합성하려는 인물의 얼굴이 담긴 고화질 동영상을 딥러닝하여 기존의 동영상에 프레임 단위로 합성하는 것이다. 한국의 경우, 이러한 딥페이크 영상물을 제작해 배포하면 초상권 침해 내지 퍼블리시티권 침해에 해당할 수 있다. 더 나아가 딥페이크를 활용한 음란물의 경우 [...]
최근 웹 서비스를 제공하는 기업에 약 20시간 동안 Get Flooding Attack 유형의 디도스 공격 사례 가 발생했다. CIP Team은 해당 기업의 협조로 공격 당시 데이터를 제공 받았으며, Criminal IP로 공격 데이터를 분석하였다. (기업의 이름은 익명에 붙이지만 모든 데이터는 다 실제 데이터임을 밝힌다.) 사이트의 로그인 페이지로 다양한 공격 트래픽이 들어왔으며, 해당 공격으로 사이트의 로그인 서버에 심각한 부하가 발생해 로그인 기능이 마비되었다. 웹 [...]
디버그 모드가 활성화된 장고(Django) 웹 어플리케이션을 Criminal IP (https://www.criminalip.io/ko)에서 검색하면 3,100개가 넘는 웹 어플리케이션에서 DB계정 및 패스워드, 그리고 API 키 가 인터넷에 그대로 노출되어 있는 것을 확인할 수 있다. 이는 장고로 개발된 사이트를 이용해 기업의 개인 정보나 중요 문서 등을 손쉽게 탈취할 수 있다는 것을 의미한다. CIP팀은 장고(Django)와 라라벨(Laravel) 등의 웹 어플리케이션과 관련 키워드 검색을 [...]
크립토재킹(Cryptojacking)은 암호화폐(Cryptocurrency)와 하이재킹(Hijacking)의 합성어로, 다른 사람의 컴퓨터 리소스를 무단으로 사용해 암호화폐를 채굴하는 행위를 말한다. 사이버 범죄자들은 악성 링크가 포함된 스팸 이메일을 보내 감염 시키는데, 피해자의 컴퓨터에 크립토마이닝 Javascript 코드를 로드하는 웹사이트 링크를 클릭하도록 유도한다. 이러한 방식으로 사용자 몰래 설치하는 암호화폐 채굴 악성코드가 빠르게 증가하고 있으며, 크립토재킹 공격을 받은 기업은 네트워크가 중단되거나 클라우드 요금 폭탄을 맞을 [...]
내 이력서 파일 주민등록등본 또는 신분증 사본, 성적표 등이 인터넷에 돌아다닌다면 어떤 기분일까? 복합기(MFP, Multi-Function Printers)로 각종 중요한 개인정보를 스캔해 관공서 등에 제출하는 것은 기업과 개인 누구에게나 발생하는 일상적인 일이다. 이 같은 중요한 개인정보 파일의 스캔된 파일을 온라인으로 전달할 때에는 ZIP 압축파일에 비밀번호를 설정하거나 이메일 또는 원드라이브, 드롭박스 등의 파일 다운로드 링크에 다운로드 기간 제한을 [...]
워싱턴 DC에 위치한 사이버 보안 회사 볼렉시티(Volexity)1)에 의하면 인터넷에 연결된 웹서버에 대한 침해대응을 수행하던 도중, Atlassian Confluence 서버가 설치된 서버에 웹쉘이 업로드 되어 있다는 것을 발견했다. 볼렉시티는 Atlassian Confluence 와 연관된 문제라고 판단하여 익스플로잇 코드를 제작해 보았고, 최신 패치가 완료된 상태에서도 원격코드 실행이 가능한 제로데이 취약점임을 확인 한 후, 해당 이슈를 Atlassian 에 리포트 하였다 (미국 [...]
NAS 보안 문제로 많이 거론되는 것들은 큐냅(QNAP)과 시놀로지(Synology) 등이 있다. 인터넷에 무방비로 노출되어 있기 때문에 CVE 로 공개되는 취약점 외에도 간단한 대입공격에 의해서 쉽게 NAS의 중요 자료들이 노출될 수 있다. 최근에는 그런 상용 NAS 제품 외에도, 오픈소스나 프리웨어로 사용되고 있는 간이 NAS 에도 많은 문제가 지적되고 있다. 대표적인 케이스로는 HFS HTTP File Server 가 있다. 클릭 몇 [...]
