일일 보안이슈

코드인잭션 기능이 있는 안드로이드 루팅 악성코드 플레이스토어 첫 발견

백그라운드에서 악의적 작업을 수행키 위해 기기 보안설정 사용을 중지하는 새로운 Android 기반 악성코드가 공식 Play 스토어에서 탐지됐다. 일단 정상 앱처럼 보이게 한 후, 임시로 악성코드로 전환하는 방식으로 구글의 앱 검증 매커니즘을 우회했다. Kaspersky는 게임 앱 colourblock 로 위장하여 배포중인 이 앱을 플레이스토어에서 첫 발견. 삭제되기 전 까지 5만 다운로드를 기록했다. Dvmap 으로 명명. 관련기사1, 관련기사2

WIN10 Guest 계정, 관리자계정 접근인증 우회

CVE-2017-0213 를 활용한 우회 시연. hackingarticles.in

WannaCry 를 흉내낸 안드로이드용 랜섬웨어

중국인 해커가 개발한 WannaCry 와 비슷한 인터페이스를 사용하는 안드로이드용 랜섬웨어를 Qihoo 360 가 발견됐다. “King of Glory” 라는 유명 중국 게임으로 위장하여 배포중. 대게의 안드로이드 랜섬웨어가 “화면잠금” 레벨에 머무르는데 반해, 이 악성코드는 AES 로 실제로 암호화하는데 주목할만하다. 안드로이드 기기의 성능한계로 10kb 이하의 파일만 암호화, 동작안정성을 위해 . 으로 시작하는 파일과 android, com, DCIM, download, miad 하위는 암호화하지 않는다. Avast 의 Nikolaos Chrysaidos 에 따르면 외부 저장소(SD 카드등)에 있는 파일만 암호화 한다고. 요구몸값은 약 6$. QQ, Alipay, WeChat 으로 납부가능. 관련기사

By the looks of it, the ransomware is obviously the work of amateur ransomware operators who have a fetish for getting arrested. (본문발췌)

서울시여성능력개발원, 회원 계정 같은 비번으로 초기화해 공개 ‘파장’

랜섬웨어, 사이버 공격에 대비한단 뜻으로 모든 계정의 비밀번호 1234 로 초기화. 정부산하기관에서 보안상 취약한 방법을 사용했다는 사실이 납득 불가. [보안뉴스(http://www.boannews.com/media/view.asp?idx=55165)]

CertLock Trojan, 보안프로그램 실행 방해

Adware 와 PUP 계의 새로운 트렌드는, 자신만의 보호 프로그램을 설치하여 윈도우즈 사용자가 보안프로그램을 실행하고 감염을 치료하는것을 더 어렵게 만드는 것이다. 이런 트렌드는 SmartService rootkit 에서 관찰됐는데, AV 실행을 차단하고 .
5월 말 보안포럼에서 여러 사용자가 보안프로그램 설치가 안된다고 호소하는것이 확인됐다. 설치 시도시, 차단된 인증서란 경고와 함께 설치에 실패하는 것. 조사결과 이는 CertLock 의 감염에 의한것으로 드러났다. 자세한 내용은 기사원문 참고. 차단하는 인증서 thumbprints 는 다음과 같다.

ExploitAlert

Win UAC bypass Via FodHelper Registry Key POC