일일 보안이슈

크롬 버그로 인한 웹서버의 사용자 A/V 기록

구글 크롬브라우저의 UX 디자인결함으로 인해 악성 웹사이트가 사용자에게 어떤 시각적 경고도 띄우지 않고 오디오나 비디오를 수집할 수 있는것이 밝혀졌다. AOL 개발자 Ran Bar-Zik 은 이 취약점을 지난 4월 10일 구글에 알렸으나 구글은 이를 유요한 보안문제로 간주하지 않았다. 따라서 앞으로 패치도 되지 않을 예정. 구글에 따르면 경고창이 뜨지 않을 뿐이지, 탭 표시창에 기록중임을 알 수 있는 아이콘이 뜬다고, 하지만 상황을 개선키 위한 방법을 모색중이라고 한다. 기사원문

“This isn’t really a security vulnerability – for example, WebRTC on a mobile device shows no indicator at all in the browser,” a Chromium member replied to the researcher’s report.
“The dot is a best-first effort that only works on the desktop when we have chrome UI space available. That being said, we are looking at ways to improve this situation.”

ShadowBrokers, 월간 구독비용 $21,000

ShadowBrokers 는 이미 앞으로의 취약점 공개는 월간 제한된 사용자(Wine of Month)에게만 하기로 발표한 바 있다. 이번에 공개된 것은 비용을 지불하는 구체적인 방법. 100ZEC(Zcash, 현재기준 $21,519 정도)를 6월 1일~30일 사이 zcaWeZ9j4DdBfZXQgHpBkyauHBtYKF7LnZvaYc4p86G7jGnVUq14KSxsnGmUp7Kh1Pgivcew1qZ64iEeG6vobt8wV2siJiq 에 ‘encrypted memo field’ 에 수신 가능한 이메일주소를 적어 납부하면 된다고. 기사원문

앞으로 공개될 내용은 다음과 같다.

• 웹 브라우저 익스플로잇
• 라우터 악용 익스플로잇
• 모바일 악용 익스플로잇, 해킹도구
• Windows 10 악용 익스플로잇
• 중국/이란/북한에서 유출된 핵 데이터 프로그램 등

재밌는점은 크라우드펀딩으로 이 금액을 모으는 움직임도 있다. 다만, 참여한다고 무조건 공유하는 것이 아닌 금액별로 차등공개. 스스로 Shadow Brokers Response Team 이라 밝힌 이 모집 그룹의 주체는 Hacker Fantastic 과 x0rz 로 이들을 신뢰할지 말진 전적으로 본인의 판단.

Judy 안드로이드 악성코드 플레이스토어에서 36,500,000 다운로드

악성 클리커. Checkpoint 는 블로그를 통해 한국회사에서 제작하고 구글 play store 에 등록된 41개 이상의 안드로이드 앱이 악성 클리커 동작을 수행한다고 밝혔다. 이 악성앱들은 이엔아이스튜디오 의 Kiniwini(홈페이지) 에서 퍼블리싱중. 이 회사에서 제작치 않은 다른 여러 앱에서도 동일 클리커가 발견됐으나, 이 둘간의 접점은 아직 명확치 않은 상태. 분석가는 고의성이 있든 없든, 같은 개발자가 관련있을거라 생각한다고 밝혔다. 이 앱 다운로드시, 감염기기를 원격 C2서버로 등록하고, 자바스크립트를 포함한 악성 페이로드를 다운로드한 후 악성 행위를 수행한다.

“It is quite unusual to find an actual organization behind the mobile malware, as most of them are developed by purely malicious actors,” CheckPoint researchers say.
“The malware opens the URLs using the user agent that imitates a PC browser in a hidden webpage and receives a redirection to another website,” the researchers say. “Once the targeted website is launched, the malware uses the JavaScript code to locate and click on banners from the Google ads infrastructure.”

최소 작년 4월 플레이 스토어에 첫 업로드된 이 악성 앱들의 목록은 다음과 같다. 현재 구글플레이스토어에선 더이상 다운로드가 불가능하지만, 제작사에 따르면 애플 앱스토어에선 아직 다운로드 가능 상태. 기사원문

• Fashion Judy: Snow Queen style
• Animal Judy: Persian cat care
• Fashion Judy: Pretty rapper
• Fashion Judy: Teacher style
• Animal Judy: Dragon care
• Chef Judy: Halloween Cookies
• Fashion Judy: Wedding Party
• Animal Judy: Teddy Bear care
• Fashion Judy: Bunny Girl Style
• Fashion Judy: Frozen Princess
• Chef Judy: Triangular Kimbap
• Chef Judy: Udong Maker – Cook
• Fashion Judy: Uniform style
• Animal Judy: Rabbit care
• Fashion Judy: Vampire style
• Animal Judy: Nine-Tailed Fox
• Chef Judy: Jelly Maker – Cook
• Chef Judy: Chicken Maker
• Animal Judy: Sea otter care
• Animal Judy: Elephant care
• Judy’s Happy House
• Chef Judy: Hotdog Maker – Cook
• Chef Judy: Birthday Food Maker
• Fashion Judy: Wedding day
• Fashion Judy: Waitress style
• Chef Judy: Character Lunch
• Chef Judy: Picnic Lunch Maker
• Animal Judy: Rudolph care
• Judy’s Hospital: Pediatrics
• Fashion Judy: Country style
• Animal Judy: Feral Cat care
• Fashion Judy: Twice Style
• Fashion Judy: Myth Style
• Animal Judy: Fennec Fox care
• Animal Judy: Dog care
• Fashion Judy: Couple Style
• Animal Judy: Cat care
• Fashion Judy: Halloween style
• Fashion Judy: EXO Style
• Chef Judy: Dalgona Maker
• Chef Judy: ServiceStation Food
• Judy’s Spa Salon

XData 랜섬웨어 마스터키 공개

또 다른 랜섬웨어 XData 가 BleepingComputer.com 의 커뮤니티를 통해 랜섬웨어 마스터키를 공개했다. XData 랜섬웨어는 2017년 5월 중순, 우크라이나를 대상으로 활동한 랜섬웨어. guest0987654321 란 이름의 유저는 RSA 개인키를 공개했다. 이에 카스퍼스키는 복호화 도구 RakhniDecryptor 를 바로 릴리즈. 기사원문

리눅스 주요 명령어 sudo 업데이트

우분투 리눅스에 존재하는 sudo 취약점 CVE-2017-1000367 의 패치 릴리즈. Ubuntu Security Notice USN-3304-1에 따르면, 우분투 17.04, 16.10, 16.04 14.04 및 Kubuntu, Xubunt 등을 포함한 다른 모든 버전에 패치할 수 있다. sudo 취약점은 로컬의 비 관리자 계정 사용자가 관리자 권한으로 파일을 덮어쓸 수 있는 취약점. 기사원문

읽을거리

POC

Eldorado Ransomware

Gomme Ransomware

Globe Ransomware

WordPress Plugin Huge-IT Video Gallery 2.0.4 – SQL Injection