일일 보안이슈
VaultPress, MITM 을 통한 RCE 취약점
MITM 취약점이 VaultPress 1.8.4 워드프레스 플러그인에서 발생, 이로인해 공격자가 평문 통신을 읽을 수 있고, 워드프레스 호스트에서 PHP 코드를 실행할 수 있다. 아직 패치되지 않은 상태. VaultPress 백엔드서버와의 통신에서 서버측 HTTPS 인증서의 무결성 검증을 하지 않아 발생. MITM 상황하에 모든 트래픽을 R/W 할 수 있다. OVE-20160728-0002
상세분석보고서
대전광역시 문화 관련 사이트, 악성코드 경유지로 활용돼
대전광역시 문화 관련 사이트의 하위 페이지 일부가 외부 공격에 의해 권한 탈취 이후 악성코드 경유 페이지로 활용된 것으로 파악됐다. 이미 공격자가 웹 서버 권한 및 다양한 권한을 획득했을 가능성이 높기 때문에 철저한 보안 점검을 통해 재발하지 않도록 주의해야한다.
기사원문 국문
Metasploit을 위한 취약서비스 에뮬레이터 툴 출시
취약한 서비스를 에뮬레이션하고, Metasploit 침투테스트 플랫폼에서 더 많은 정보를 얻을 수 있게 해주는 오픈소스 툴이 출시됐다. 기존에도 취약 OS 이미지를 제공해왔으나 부족한 실정. Jin Qian 은 그의 블로그에서 이 서비스를 소개. 현재 100여개의 취약서비스를 에뮬레이션 가능.
기사 원문
정교한 파일리스 공격 분석
이 트윗의 강조된 부분은 파워쉘 스크립트의 인코딩된 “SourceFireSux” 문자열을 보여준다. 이를 단서로(?) 보안연구원들은 악성 워드 문서와 파워쉘 RAT 로 구성된 공격이 unblocked DNS 요청을 통해 C&C 서버와 통신하는 것을 밝혀냈다. 이 공격은 AV 제품 우회를 위한 파일리스(혹은 non-malware1)형태를 띈다. 기사는 어떤 과정으로 이를 분석했는지에 대한 설명
기사원문
구글 EMF 취약점 임시패치 다시 이슈화
구글은 패치시한을 넘긴 MS의 EMF 취약점에 대해 POC 를 공개한 바 있다. MS 는 최근 이에 대한 패치를 내놨으나 아직 취약점이 완전히 패치되진 않은것으로 밝혀져.
기사원문
다음 카페 회원 주소록, 구글에 또 노출…자꾸 반복되는 이유
- non-malware – 지난 몇 년간 발생해왔지만 이슈화된 것은 2016년. OS에서 신뢰하는 프로그램을 숙주로 삼아(?) 동작하며, 파일시스템상 어떤 흔적도 남기지 않는 공격 방식. 예를들어, 악성 워드매크로 문서가 포함된 피싱메일로 침투한 악성코드는 실행 시 시스템 메모리 상에서 파워쉘, WMI 등을 이용해 동작한다. 이 과정에서 어떤 감염 시스템에 어떤 파일이나 바이너리도 드랍하지 않는다. ↩
