2017.06.12 – Daily Security Issue

일일 보안이슈

나야나 랜섬웨어 관련 정보

나야나 측에서 발표한 공지

2017년 6월 10일 01시 30분 경 랜섬웨어 공격을 최초 확인하였고, 랜섬웨어 공격 발견 즉시 저희는 인터넷진흥원 및 사이버수사대에 신고 조치하였으며 현재 조사 및 수사 중
– Erebus 랜섬웨어에 감염, OS는 리눅스 서버, 감염대수 153대
– 내부, 외부 백업본까지 모두 감염, 사용자가 가진 백업파일로 복구 가능(???)
링크 1
링크 2

관련 뉴스

지난 일요일, SBS, YTN 등등등 주요 뉴스사 거의 다 기사화
http://biz.chosun.com/site/data/html_dir/2017/06/11/2017061101717.html
http://view.asiae.co.kr/news/view.htm?idxno=2017061021255729724
http://www.ytn.co.kr/_ln/0102_201706111056482960
http://news.sbs.co.kr/news/endPage.do?news_id=N1004238947&plink=ORI&cooper=NAVER
http://www.boannews.com/media/view.asp?idx=55228&kind=1

관련 정보

윈도우용 Erebus VirusTotal 샘플

  • 구글에서 7fv4vg4n26cxleel.onion.to 검색하면 감염 사이트 일부 확인 가능
  • 약 천칠백육십만원을 #Erebus Linux 랜섬웨어 제작자에게 보낸 웹 사이트 관리자가 확인
  • #Erebus #Linux #Ransomware 결제 유도 사이트는 언어코드 설정이 zh-cn 중국어 기반으로 작성
  • 중국어: zh-CN (중국 본토, 간체), zh-TW (대만, 번체), zh-HK (홍콩, 번체)
  • 이번껀과는 별개지만 2016년 12월 #Erebus 랜섬웨어에 대구 서버 운영회사의 웹 서버 파일들이 암호화되어 비트코인이 전달된 주소(윈도우용)
    https://blockchain.info/address/1NMdL3phNSLp6ppFe3RGMGXsGVoZ9P7bvK
  • 특이하게도 두개의 웹 사이트는 머신ID(B088433450D4FF7C2F5B103580A37FCF) 값이 동일하며, 현재 복호화 키와 도구를 다운로드 가능
  • agarbatti.co.kr
  • junix.co.kr

Easy Chat Server Remote Password Reset

등록페이지인 register.php 에서 아무 사용자의 비밀번호라도 원격에서 미인증 사용자가 초기화 할 수 있는 취약점 POC

Joomla COM_ALPHACONTENT 4.0.11 SQL injection Vulnerability

POC

X-ray 사진 SNS에 그만 올리세요

편집하지 않은 상태의 X-ray 사진엔 피사체를 식별할 수 있는 정보가 모두 담겨 있어. 비단 피사체 식별 뿐 아닌, 해당 병원의 내부 네트워크정보까지 나오는 경우가 있으니, 자신만 피해보는것이 아님. 저엉히 찍고 싶다면, 뼈 부분만 잘라서(Crop) 업로드 하라고… 기사원문

SambaCry is coming

삼바크라이와 관련된 분석정보

FaceBook을 이용한 피싱

Social engineering + identity theft + phishing = $$$, 기사원본

jumpingwhale

풀스택 분석가가 되고싶은 목마른 다이버. 우물이 없어? 내가 팔게!

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.