일일 보안이슈
Adobe Flash Player 로 위장한 안드로이드 악성앱
이 악성앱은 구글 플레이 스토어에서 발견된 이후 제거된 상태이지만, 지난 2016년 11월 이후 제거시점까지 10만에서 50만 사이의 다운로드를 기록해. F11 이라 명명된 이 악성앱은 전형적인 다운로더나 랜섬웨어, 혹은 휴대폰에 어떤 악성행위를 하는것은 아니지만, 사회공학적 기법을 이용, Flash Player 사용에 19$를 결제하도록 유도한다. 안드로이드용 Flash Player 원래 무료료 이용가능하나 너무 많은 보안 취약점으로인해 지난 2012년 이후로 사용 중단된 상태. 사실 이 앱을 scam 으로 분류하기 애매한 구석이 있으나 이 앱에 대한 수사를 진행한 Lukáš Štefanko 는
“Factually, this is a scam. Legally, the crooks behind this operation tried to avoid the scam label. However, because of how they implemented their trick, it’s safe to call it a scam,”
라고 밝혔다. 기사원문
자바 AMF3 라이브러리 RCE 취약점
Deserialization 과 관련된 취약점이 자바에 구현된(?) AMF3 에서 발견됐다. 이 취약점은 원격의 미인증 사용자가 RCE 와 XXE 공격을 수행할 수 있게한다. 이로인해 서버의 중요 데이터가 노출될 수 있어. 기사원문. 분석보고서
Deserialization 란, 딕셔너리나, 트리구조 등 선형(직렬)으로 표현하기 힘든 자료형을 네트워크 전송 등 데이터처리의 목적으로 일종의 배열 형태로 바꾸는 것을 직렬화(Serialize)라고 하는데 이것을 다시 원래의 자료형태로 바꾸는 작업을 말한다.
AMF란 Action Message Format 의 약자로 2001년 Flash Player 6를 시작으로, 플래시 개발사인 Macromedia 에서 Flash 플레이어와 원격 서비스간 객체 접근 및 데이터 교환용으로 만든 http 기반의 프로토콜 이름. 더 쉬운 설명은 여기, 스펙문서는 여기를 참고. AMF3 는 이 AMF의 최신 버전.
XXE 공격은 Xml eXternal Entity 의 약자로 XML 문서에서 동적으로 외부 RUI의 리소스를 포함시킬 수 있는 External Entity를 사용해 서버의 로컬파일 열람이나 DoS등을 유발할 수 있는 공격이다. 보통 XML Request를 파싱하는부분에서 발생한다. 좀 더 자세한 내용은 여기를 참고.
No More Ransom, 랜섬웨어 복호화툴 15종 추가
지난해 출범한 No More Ransom 프로젝트가 새로운 보안벤더와 협력하며 가용성을 높여가고 있다. 이젠 14개국 언어와 협력사들이 제공한 40여개의 무료 복호화툴을 지원. 베공하는 복호화 툴은 다음과 같아. 자세한 내용은 홈페이지 참조. 기사원문
– Rakhni Decryptor (updated 2-3-2017 with Dharma)
– Rannoh Decryptor (updated 20-12-2016 with CryptXXX v3)
– Damage Decryptor
– Crypton Decryptor
– Merry X-Mas Decryptor
– BarRax Decryptor
– Alcatraz Decryptor
– Bart Decryptor
– Crypt888 Decryptor
– HiddenTear Decryptor
– Noobcrypt Decryptor
– CryptoMix Decryptor
– Popcorn Decryptor
– Marlboro Decryptor
– GlobeImposter Decryptor
– MRCR Decryptor
– Globe3 Decryptor
– Derialock Decryptor
– PHP Ransomware Decryptor
– WildFire Decryptor
– Chimera Decryptor
– Teslacrypt Decryptor
– Shade Decryptor
– CoinVault Decryptor
– Jigsaw Decryptor
– TM Ransomware File Decryptor
– NMoreira Decryptor
– Ozozalocker Decryptor
– Globe Decryptor
– Globe2 Decryptor
– FenixLocker Decryptor
– Philadelphia Decryptor
– Stampado Decryptor
– Xorist Decryptor
– Nemucod Decryptor
– Gomasom Decryptor
– Linux.Encoder Decryptor
Broadcom Wi-Fi 칩을 통한 해킹위험 계속
펌웨어 버전 6.37.34.40 Broadcom Wi-Fi 칩이 이에 해당. 애플(아이폰)과 구글(넥서스)은 취약점 패치를 지난 월요일 출시, iOS 는 10.3.1 update, 구글은 Android April 2017 Security Bulletin에서 해당내역 확인 가능. 다른 벤더사 스마트폰 이용중이라면 조금 더 기다려야. 이 취약점엔 많은 이용자가 있는 삼성의 플래그쉽 스마트폰도 포함돼. 기사원문
– Galaxy S7 (G930F, G930V)
– Galaxy S7 Edge (G935F, G9350)
– Galaxy S6 Edge (G925V)
– Galaxy S5 (G900F)
– Galaxy Note 4 (N910F)
크롬의 “안전함” 사이트 무조건 신뢰 말아야
크롬 주소표시줄의 초록 글자 “안전함” 공지는 SSL 인증서의 이름과 도메인명이 일치한다는 표시일 뿐 해당 도메인이 피싱사이트가 아니라는 보장은 안해. 워드프레스 보안회사 WordFence 의 글에 따르면 구글, MS, 애플 등으로 위장한 피싱사이트의 SSL 인증서가 한 개 이상의 CA로부터 발급된것을 다량 확인했고, 이런 합법적 인증서는 크롬 브라우저상 “안전함” 표시를 띄울수 있다고. 설령 해당 인증서가 revoked 됐더라도 이는 크롬의 개발자 모드에서만 확인 가능할 뿐 주소표시줄 상에는 여전히 안전함으로 표시되 문제. 기사원문
방글라데시 중앙은행 절도사건 북한 관련 증거 발견
지난 2014 소니픽처스 해킹사건의 주범으로 알려진바 있는, 미국 정부가 북한이라 지목한 Lazarus 그룹. 이번 방글라데시 은행 해킹사건과 연관된 것으로 보여. 근거는 인터넷 접속이 매우 제한적인 북한으로 향하는 IP이력. 기사원문
The logs show that the server had at one point connected with an Internet Protocol address from North Korea, an unusual sign given that the country has very limited internet access.
