일일 보안이슈
Gigabyte 펌웨어 결함으로 UEFI Ransomware 설치 허용
지난 BlackHat Asia 2017 security conference 에서 Cylance 의 연구원들은 Gigabyte BRIX 라는 작은 컴퓨팅 디바이스의 펌웨어에 존재하는 두 가지 취약점을 공개했다. 이 취약점을 통해 공격자는 악성코드를 UEFI 펌웨어에 작성할 수 있다.
침투 테스트중 UEFI 랜섬웨어 POC 를 설치하는데 성공. 랜섬웨어의 예를 들었지만, 동일 취약점을 이용해 루트킷을 심어 APT 공격에 활용할 수 있다고 밝혔다. 영향받는 장비는 GB-BSi7H-6500 (firmware version vF6) 와 GB-BXi7-5775 (firmware version vF2). 기가바이트는 취약장비중 GB-BXi7-5775 는 단종됐고, 지원종료기한에 다다라 패치하지 않을것이라고 밝혔다.
CVE-2017-3197, CVE-2017-3198
기사원문
신종 모듈형 악성코드 Felismus RAT 발견
Forcepoint 는 Felismus RAT 이라는 숙련된 전문가에 의해 만들어진 것으로 보이는 신종 모듈형 악성코드를 발견했다. 이 악성코드는 네크워크 통신 암호화, 네트워크 메세지 타입별 적어도 세 개 이상의 다른 암호화 방법 사용, 등 아주 정교한 Anti Debugging 기법이 적용돼있다. 또한 수사를 어렵게 하기 위해 추적 가능한 이메일 주소의 재사용또한 피하고있다.
자가 업데이트 기능을 내장하고 있고, 현재 다수의 AV 제품에서 탐지가 안되고 있다. 기능 자체는 파일 업로드/다운로드, 리모트쉘 등 여타 RAT 과 비슷. adobeCMS.exe 로 위장한 샘플로 분석 진행중. 몇 주 전 처음 수집됐으나 활동은 6개월 이상 지속한것으로 보여.
기사원문
갤럭시 S8 얼굴인식, 사진으로 우회가능
심도센서가 없는 한 사진으로 우회가는한게 정상이긴 한데…
기사원문
ASUS B1M 프로젝터 remote root exploit
The thttpd 2.25b web server runs by default on 192.168.111.1 and is accessible when a client connects to the device in access point mode. It is possible to inject commands into the embedded webserver of the projector which of course is running with full “root” privileges. The response of the commands can be echo’d back to the user by manipulating parameters to a CGI script as seen below.
GET /cgi-bin/apply.cgi?ssid="%20"`CMD` HTTP/1.1
Host: 192.168.111.1
