일일 보안이슈
암호 걸어둔 악성워드매크로문서, URL sniff 키로거 설치
문서내 악성 워드매크로로 동작하고, 악성코드가 실행된단 점에서 기존의 워드매크로와 차이점은 없으나 이메일에 비밀번호가 적혀있고, 이 비밀번호를 입력해야 문서를 열 수 있단 점에서, 자동분석 머신 등에선 분석이 불가능해지는 효과가 있다. 비밀번호를 걸면 문서 파일 자체도 암호화 되기에 정적분석이 불가능하고, 비밀번호 입력이라는 사용자 입력이 필요함과 동시에, 이메일 본문에서 비밀번호를 읽는 행위의 사람이 개입해야 하는 일이 많아지기 때문. 기사원문
고의적으로 IoT 기기를 먹통으로 만드는 악성코드
BrickerBot 라 불리는 이 악성코드는 Telnet 포트로 접속이 가능한 IoT 기기들을 대상으로 저장소 충돌, 커널 파라미터 재설정을 통해 기계를 완전히 못쓰게 만드는(보통 벽돌이라 표현) 행위를 수행. 보안회사 Radware 의 허니팟에 서 발견된 이 악성코드는 지난 3월 20일 첫 출현. 리눅스 BusyBox 기반 IoT 기기들을 대상으로 활동한다. 현재까지 두 종류의 변종이 관찰됨. BrickerBot.1 BrickerBot.2 가 그것. 이런 유형의 공격은 기기의 영구적 손상을 불러온단 점에서 PDoS(Permanent Denial of Service) 혹은 phlashing 으로 불린다. 자세한 내용은 Radware 의 보고서 참고. 기사원문
Apache Struts 2 취약점 Cerber 전파에 이용
CVE-2017-5638 로 명명된 아파치 스트럿츠 2 취약점의 PoC 가 공개된 이후 얼마되지 않아 해커들은 악성코드 유포를 위해 이 취약점을 악용하기 시작했다. 대다수는 유닉스 시스템에 백도어를 심고, DDoS 봇으로 활용하는 것이었으나 최근 윈도우 머신을 대상으로 한 악성활동이 포착됐다. F5 Networks 는 윈도우 기반 서버에 Cerber 랜섬웨어를 설치하려는 시도를 지난 3월 20일 발견. SANS Technology Institue 또한 이 글에서 지난 수요일 있었던 동일한 유형의 공격을 보고했다. 기사원문
중국 연관 해커, 미 무역협회 공격
중국과 연관있는것으로 보이는 해커가 무역협회 웹사이트를 해킹해 특정 웹사이트 방문자를 대상으로 정찰(정보수집, reconnaissance) 악성코드를 유포하는것을 포착했다. Fidelis Cybersecurity 는 트럼프 미 대통령과 시진핑의 회담이 있기 불과 몇 시간 전인 목요일, 이 공격에 대한 보고서를 발표했다. 이 공격은 Operation TradeSecret 으로 명명. 기사원문
MS 정확히 어떤 사용자데이터 수집하는지 드디어 공개
기존엔 추상적으로만 인식했던 사용자 경험 수집항목에 대한 세부내용을 공개하고 항목별로 동의할 수 있는 인터페이스 제공. 기사원문
東方星蓮船(동방성련성) RensenWare
외국에는 Undefined Fantastic Object 로 알려진 슈팅게임, 게임이지만 2억점이상 되면 PC 파일 암호화하는 특징이 있다. MalwareHunterTeam 은 최근에야 발견한것 같지만, 국내 커뮤니티에서 발견된진 수개월 된 듯(?). 네이버 보안까페 바이러스제로에도 감염사례 올라와. 자신을 제작자라 주장하는 사람의 게시글. 기사원문
읽을거리
WordPress 취약점 점검 도구 WPForce
WinOS 미패치 취약점 점검 도구 Sherlock
로컬 PC에서 로컬 권한상승 취약점을 찾는 취약점 점검도구. PowerShell 로 작성. 점검 가능한 취약점 목록. 링크
- MS10-015 : User Mode to Ring (KiTrap0D)
- MS10-092 : Task Scheduler
- MS13-053 : NTUserMessageCall Win32k Kernel Pool Overflow
- MS13-081 : TrackPopupMenuEx Win32k NULL Page
- MS14-058 : TrackPopupMenu Win32k Null Pointer Dereference
- MS15-051 : ClientCopyImage Win32k
- MS15-078 : Font Driver Buffer Overflow
- MS16-016 : ‘mrxdav.sys’ WebDAV
- MS16-032 : Secondary Logon Handle
동방성련선의경우 일반적인 게임이지만
련건웨어는 그 게임의 메모리를 통해 특정 조건을 만족해야 파일이 풀이는 랜섬웨어를 개발한겁니다
게임자체는 랜섬웨어가 아닙니다
피드백 감사합니다 수정했습니다.
랜섬웨어의 소스코드는 어제(4/6) 자로 공개된것을 확인했습니다. 현재 관련게시글은 삭제된 상태지만 구글 캐쉬페이지를 통해 내용을 확인할 수 있었습니다.
디씨인사이드 원본글
http://gall.dcinside.com/board/view/?id=touhou&no=5293829
Github 소스
https://github.com/0x00000FF/rensenware
그 “동방성련선”은 그냥 게임이구..
련선웨어는 복호조건이
“성련선의 메모리를 조사해 일정 점수를 만족”
인 랜섬웨어입니다.
위 답글의 공개된 소스코드는 련선웨어로 게임 “동방성련선” 과는 별개임을 알려드리는 바 입니다.
샘플을 직접 본게 아니라 자꾸 오류가 나는군요. 수정했습니다. 감사합니다.