일일 보안이슈
ShadowBrokers 공개 툴 MS 사전 패치완료
첫 공개당시엔 가장 강력한 공격툴로 생각했지만, 분석결과 이 툴(Eternalromance)이 공략하는 대부분의 취약점은 이미 패치된 상태로 밝혀졌다. MSRC(Microsoft Security Responce Center)는 블로그를 통해 공격도구와, 그에 해당하는 패치된 취약점 식별번호를 공개했다.
하지만 Hacker House 의 보안연구원 Matthew Hickey 은 최신 패치가 완료된 Win 2008 R2 SP1 (x64)에서 FuzzBunch 툴로 테스트했다고 주장하는 공격시연영상을 공개했다. 가상환경에서 이뤄진 이 테스트는 2분이 채 지나지 않아 공격이 성공하는 모습을 보여준다. 시기상 Mathew Hickey 가 테스트한 시점은 패치가 완료돼 공격이 실패했어야 할 시점이다. 기사원문
CradleCore 랜섬웨어, 소스코드 판매
Forcepoint 는 비공개포럼에서 CradleCore 랜섬웨어 제작자가 자신의 소스코드를 판매중인것을 발견했다고 블로그를 통해 밝혔다. CradleCore 는 최근 RaaS 비지니스 모델에서 벗어나 소스코드를 판매하기에, 고객 맞춤형 소스코드를 제작할 잇점이 있다. C++ 소스코드로 제공, 감염PC를 관리할 PHP 웹서버스크립트와 함께 제공된다. 몇몇 토르기반 사이트에서 2주 전부터 판매중인것을 발견, 가격은 0.35 비트코인(약 400$), 네고가능. 기사원문
브라우저 Punycode 렌더링 문제
몇 년 전으로 거슬러가보면, ICANN(Internet Corporation for Assigned Names and Numbers, 국제인터넷주소관리기구) 이 non-ASCII 문자열을 웹 도메인 명에 사용토록 투표한 적이 있다. 하지만 Cyrillic “а” (U+0430) 와 Latin “a” (U+0041) 같은 유니코드 문자열(non-ASCII)은 외형이 완벽히 동일해, 피싱사이트와 혼동할 여지가 있고, 이런 연유로 ICANN 은 non-ASCII 문자로 유니코드 대신 Punycode에 투표했다. Punycode 는 ASCII 문자를 사용하여 유니코드 텍스트를 표현하기 위한 표준 방법이다. 예를들면 중국어 短 는 Punycode xn—s7y 와 같다.
하지만 최근 이 Punycode 문자열을 URL 표시줄에서 랜더링해 주는것이 보안상 위협으로 나타나고있다. 예를들어 xn-pple-43d.com 란 도메인명은 apple.com 로 출력되는데(여기서 a는 Latin a 가 아닌 Cyrillic a)이는 기존의 Latin a 를 사용하는 apple.com 과 완전히 동일해보이기 때문이다. xn-pple-43d.com 로 인증서를 발급받으면, 주소창에서도 초록색으로 표시되 사용자는 피싱사이트에 있음을 전혀 알지 못하게 된다. Punycode 렌더링이란 편의기능이 오히려 보안위협이 되는 샘. xn-- 접두어는 ‘ASCII 호환 인코딩’을 의미.
Chrome, FireFox, Opera, Opera Neon 은 Punycode 랜더링을 지원, IE, Edge, Vivaldi, Brave 브라우저는 지원하지 않는다. 기사원문
네이버 사칭메일 주의
발 송 자 : “네이버” notices@helpnaver.com
관련 제목 : 회원님의 아이디를 보호하고 있습니다!
어베스트코리아 블로그
읽을거리
ShadowBrokers 에 노출된 최약 OS 버전정리
단 돈 5$ 짜리 WiFi jammer 시연영상
