SomeNotes247

클라우드(cloud) 해킹 대응책은 계정 분리 2020.10.9일 아이클라우드(iCloud)를 포함한 애플(Apple) 서비스에서 발견된 55개 취약점이 공개됐다. 이들은 7~9월에 걸쳐 애플에 보고됐는데, 애플이 패치를 완료하기를 기다려 공개된 것이다. 이 중 11개는 원격코드 실행, 정보 유출, 계정 탈취 등 심각한 것이다. 사용자와 애플 직원 앱을 완전 장악, 아이클라우드 계정 탈취, 애플 프로젝트의 소스코드 탈취, 관리 도구와 민감한 고객 정보에 접근할 수 있는 애플 직원의 세션 탈취 등이 포함됐다. 몇 가지 구체적인 사례를 본다. ade.apple.com(Apple Distinguished Educators) 사이트는 인증 우회 취약점이 있었다. 해커는 기본 암호를 이용해 관리자 콘솔에 접근하고 임의의 코드를 실행할 수 있다. Delmia Apriso라는 창고 관리 솔루션은 암호 재설정 기능에 결함이 있었다. 이를 악용해 해커는 선적 정보와 상품 목록을 조작하고, 직원 배지를 인가할 수 있다. 심지어 악의적인 계정을 새로 만들어 이 소프트웨어를 완전히 장악할 수 있다. authors.apple.com은 작가들이 창작물을 애플 북스에 출판할 수 있는 사이트인데, 해커는 ePub 전자책 파일 업로드 툴을 이용해 임의의 코드를 실행할 수 있다. 일반인들에게 가장 충격적인 것은 아이클라우드의 XSS(cross-site scripting) 취약점일 것이다. 이를 악용하기 위해 해커가 할 일은 오직 표적에게 icloud.com이나 mac.com 주소로 특별하게 조작된 이메일을 보내는 것 뿐이다. 악성 메일을 Apple Mail에서 열어보면, 그 계정은 해커에게 완전히 장악된다. 그 결과는 개인 정보를 완전히 탈탈 털리는 것이다. 아이클라우드에 저장한 문서, 사진, 동영상, 주소록, 일정 등 모든 데이터를 탈취당할 수 있다. 게다가 이 취약점은 wormable이다. 한 피해자의 주소록에 있는 연락처로 자동으로 퍼져나간다. 이렇게 클라우드 서비스 자체의 취약점을 이

PC의 UEFI에 침투하여 악성 모듈을 삽입하는 악성코드가 발견됐다. LoJax에 이어 역사상 두번째의 UEFI rootkit이다. 카스퍼스키(Kaspersky)가 발견했으며, MosaicRegressor라고 이름 붙였다. 메인보드의 UEFI(에전의 BIOS)에 존재하기 때문에 보안 소프트웨어에 잘 탐지되지 않으며 제거도 어렵다. 물론 HDD나 SSD 같은 저장장치를 초기화하거나 교체해도 소용없다. 모자이크리그레서는 모듈화된 다단계 다운로더이다. 해커로부터 최종 페이로드(payload)를 다운로드해서 설치하는 것이 임무다. 모자이크리그레서의 초기 감염 경로, 즉 UEFI에 어떻게 침투하는 지는 확인되지 않았다. 다만 카스퍼스키는 물리적으로 PC에 접근하는 것을 유력한 시나리오로 보고 있다. USB 드라이브로 부팅하는 과정에서 전용 UEFI 업데이트 툴을 이용해, 악의적으로 변조된 UEFI 이미지를 심는 것이다. 또한 원격에서 해킹하는 것도 가능할 것으로 봤다.  UEFI의 인증 취약점, 즉 정상적인 UEFI 이미지인지 확인하는 과정의 취약점을 이용해 원격에서 변조된 이미지로 업데이트하는 것이다. 이를 수행할 악성코드는 스피어 피싱 등으로 전달될 수 있다. 카스퍼스키에 따르면, 이런 UEFI 루트킷이 발견되는 것은 상당히 드문 경우라고 한다. 방어자 입장에서는 보안 앱에 잘 탐지되지 않기 때문이고, 공격자 입장에서도 고도의 기술이 필요하고 위험 부담이 크기 때문이다. 관련 자료 LoJax Rootkit, UEFI로 침투하는 악성코드 참고 자료 MosaicRegressor: Second-ever UEFI rootkit found in the wild  New 'MosaicRegressor' UEFI Bootkit Malware Found Active in the Wild