일일 보안이슈
Hajime 봇넷, 30만대 이상의 IoT 기기 감염
Kaspersky 는 지난 2016년 10월 알려진 IoT 악성코드 Hajime 감염기기가 적어도 30만대 이상일 것이라 밝혔다. 비슷한 시기 활동안 Mirai 가 DDoS 공격 기능을 가진데 반해 Hajime 는 단순히 몇몇의 포트를 닫아 Mirai 와 유사한 위협(알려진 계정정보 브루트포스)을 차단하는 기능만을 한다. 기본적으로 P2P 봇넷으로 설계됐지만, 아직까지 이런 활동을 하는 의도는 파악되지 않았다. 시만텍은 최근 화이트해커가 만든 악성코드라고 예상하기도 했지만 언제든 범죄활동에 쓰이도록 악성코드가 수정될 수 있다. 확실한것은 Hajime 의 제작자가 꾸준히 코드를 업데이트하고 있단 사실. 이 시점에 악성코드 전파엔 세 가지 기법을 활용한다. TR-069 익스플로잇, Telnet 기본계정설정, Arris cable modem 비밀번호 가 그것. 특히나 TR-069 익스플로잇은 아주 최근 추가된 기능이다. 기사원문
안드로이드용 파밍악성코드 BankBotAlpha 분석 정보
2016년 12월 19일 첫 출현한 악성코드, 러시아 포럼에서 DIY 튜토리얼의 형태로 출현했다. 현재 안드로이드 소스코드 전체와 서버사이드 소스(PHP) 모두 누구나 다운로드 받을 수 있게 공개된 상태. 다양한 변종이 출현하기까지 그리 오랜 시간이 걸리지 않았다. 분석자로 Fortinet 블로그
StringBleed, CVE-2017-5135
SNMP 인증우회, Incoreect Access Control 형 취약점. 분석내용과 PoC
Terror EK 분석 보고서
WinServer 2003 SP2 ‘ERRATICGOPHER’ SMB RCE 취약점
메모리 충돌로 인한 취약점. (힙 오버플로우로 예상) 자세한 내용은 PoC 참고
읽을거리
포렌식 관점에서의 실행추적 방법의 발전
5년전 Mandiant 는 ShimCacheParser 툴의 POC를 공개, 이후로 ShimCache 메타데이터는 포렌식 관점에서 주요 단서로 급부상했다. 5년의 시간이 흐르는동안 기업차원에서 ShimCache 메타데이터를 활용하는 커뮤니티 활동은 거의 없었지만 최근 AppCompatProcessor 의 릴리즈가 있었다. AppCompatProcessor 는 기업차원의 활용(?)에 ShimCahceParser 를 손쉽게 쓸 수 있도록 도와주는 툴. FireEye 블로그
