2017.01.23 – Daily Security Issue

설 명절 앞두고 인터넷,문자이용 사기 급증 “URL주소 클릭 안돼요”

http://www.dailysecu.com/?mod=news&act=articleView&idxno=18209

오라클, 4월달부터 MD5 서명된 JAR 파일 신뢰 하지 않음

http://www.securityweek.com/oracle-will-stop-trusting-md5-signed-jar-files-april?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner

확장자 숨겨 악성 파일 열어보게 만드는 메일 유포 주의

http://m.cctvnews.co.kr/news/articleView.html?idxno=65593

안드로이드 뱅킹 트로잔 소스코드 온라인에 공개돼

소스코드가 유출되며 즉시 변종들이 나타나기 시작했다. 러시아 출신의 백신 제작자에 따르면 유출된 소스코드는 굉장히 잘 만들어졌으며 다른 사이버 범죄자들의 이목을 끌만한 소스코드라고… 실제로 유출된 소스코드는 BankBot 파밍악성코드에도 이용되
https://www.bleepingcomputer.com/news/security/android-banking-trojan-source-code-leaked-online-leads-to-new-variation-right-away/

인기 사진보정 앱 Meitu, 사용자 데이터를 중국에 있는 서버로 전송

중국 개발사 eponymous 가 개발한 이 앱은 안드로이드에서만 천만명 이상이 이용하는 인기 앱이다. 2008년 출시 했으나 데스크톱 용 에서나 찾아볼 수 있는 고급 편집기능 등을 지원하면서 2016년 말이 되서야 인기를 끌었다. 이 앱은 안드로이드 기기에 25개 이상의 권한을 요구하며…
https://www.bleepingcomputer.com/news/mobile/popular-meitu-app-caught-collecting-user-data-and-sending-it-to-servers-in-china/
https://nakedsecurity.sophos.com/2017/01/20/meitu-app-is-all-the-rage-but-privacy-concerns-abound/

Skyfin 신종 안드로이드 트로이 목마

Skyfin 안드로이드 트로잔, 설치된 휴대폰의 구글 플레이스토어를 하이재킹해 다른 유료앱을 백그라운드에서 다운로드 받을수 있어
https://www.bleepingcomputer.com/news/security/android-trojan-hijacks-google-play-store-covertly-downloads-or-purchases-apps/

지난달 우크라이나 기반시설 또 해킹공격 받아

http://www.dailysecu.com/?mod=news&act=articleView&idxno=18216

윈도 업데이트, 2월부터 데이터베이스 방식으로 변경

http://www.dailysecu.com/?mod=news&act=articleView&idxno=18215

US-CERT, SMB 취약점 제로데이 공격 경고

http://www.dailysecu.com/?mod=news&act=articleView&idxno=18213

가짜 시만텍 인증서

(유출 여부 확인안됨) Symantec messing with certs, issued fake
https://www.mail-archive.com/dev-security-policy@lists.mozilla.org/msg05455.html

핸디소프트 그룹웨어 코드서명 악성코드 유포에 활용

http://www.etnews.com/20170119000346

랜섬웨어로 인한 세인트루이스 전역의 모든 공공 도서관 폐쇄

https://www.bleepingcomputer.com/news/security/ransomware-locks-down-public-libraries-at-all-locations-across-saint-louis/

---

읽을거리

바이오 인증 방식중에 하나인 심전도를 암호로 사용했을 때의 문제점

https://www.bleepingcomputer.com/news/security/your-heartbeat-as-a-password-smart-or-stupid/

PHP include and bypass SSRF protection with two DNS A records

https://youtu.be/PKbxK2JH23Y

Find Linux Exploits by Kernel version

리눅스 Kernel Exploit Code 모음, Kernel EK를 찾으려면 처음에 어떻게 접근해야 할까?
https://www.blackmoreops.com/2017/01/17/find-linux-exploits-by-kernel-version/

Targeted Kerberoasting(Active Directory Authentication)

http://www.harmj0y.net/blog/activedirectory/targeted-kerberoasting/

[POC] Windows 10 x64 v1511 Local Privilege escalation

ArbitraryOverwrite exploit for Win10 x64 v1511 w/ SMEP bypass
파이썬 소스코드
https://github.com/GradiusX/HEVD-Python-Solutions/blob/master/Win10%20×64%20v1511/HEVD_arbitraryoverwrite.py

[POC] C++ SSH backdooring script

http://pastebin.com/SD0rpvH7

윙버드 루트킷 분석 보고서 – Wingbird rootkit analysis

http://artemonsecurity.blogspot.kr/2017/01/wingbird-rootkit-analysis.html?utm_campaign=crowdfire&utm_content=crowdfire&utm_medium=social&utm_source=twitter#!/2017/01/wingbird-rootkit-analysis.html

Neverquest 파밍악성코드 제작자 스페인에서 체포

http://securityaffairs.co/wordpress/55547/cyber-crime/neverquest-author-arrested.html
http://thehackernews.com/2017/01/neverquest-fbi-hacker.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29

결국 단축키를 통해서 HTA 취약점을 악용한 랜섬웨어 Spora가 등장

HTA 에 관한 내용은 처음이라 읽어볼만 할듯
https://blog.gdatasoftware.com/2017/01/29442-spora-worm-and-ransomware