일일 보안이슈
ExploitAlert
V4Solution Admin Panel Bypass
Satara Shiksha Admin Panel Bypass
Keshvi Construction Admin Login Bypass upload sh3ll
JustClickChennai Admin Panel Bypass
PHP script exploit SQL Injection vulnerability in Joomla 3.7
우크라이나 회계 소프트웨어 M.E.Doc 경찰수사 실시
우크라이나 경찰은 회계 소프트웨어 M.E.Doc 의 제작사를 수색하는 비디오를 공개했다. M.E.Doc 은 알려지지 않은 방식으로 해킹되어 최근 NotPetya 등의 악성코드 배포에 사용된적 있다. 우크라이나 사이버경찰 페이지. ESET 연구원은 M.E.Doc 업데이트 코드내 존재하는 very stealthy 한 악성코드를 발견했었다. 이는 지난 4월 중순 불명의 공격자가 취약점 exploiting 을 통해 인젝션 시켰을 것으로 보인다. 인젝션된 악성코드는 백도어를 설치, 원격의 공격자가 접근할 수 있도록 했고, M.E.Doc 이 설치된 고객사 거의 100만여대의 PC에 설치됐다.
보안연구원은 엔드포인트에 설치된 이 백도어를 통해 여러 악성 명령어를 수행할 수 있고, 나아가 WannaCry 같은 다른 악성코드 프로그램도 설치할 수 있다 말했따.
M.E.Doc 제작사는 자신의 업데이트 서버가 해킹됐음을 부인한 전적이 있다. 하지만 여러 연구원들은 물론 심지어 MS 조차 이 제작사가 NotPetya 사태의 시발점이라 강하게 비판했다. 최근 이 방법은 사용해 NotPetya는 물론 가짜 WannaCry 랜섬웨어까지 배포중. 기사원문. 물리적 위협이 있을리 만무한 IT 개발사에 산탄총으로 무장한 경찰이 들이닥치는 것 부터 사태의 심각성을 잘 알 수 있다.
가짜 WannaCry 랜섬웨어, NotPetya의 배포시스템 사용
지난주 M.E.Doc 업데이트 시스템을 통해 배포된건 NotPetya 뿐만이 아니었다. 카스퍼스키에 따르면 가짜 WannaCry 랜섬웨어 또한 같은 방식으로 유포됐다고. M.E.Doc 이 설치된 PC가 있다면, 즉시 사용을 중단하고 별도의 공지가 있을 떄 까지 프로그램을 삭제할 것을 권고. 기사원문
OpenBSD 새 기능, 커널 ASLR
OpenBSD 에 새 기능이 추가됐다. 이는 배 재부팅 시 마다 고유한 커널을 생성(?)해 시스템을 보호하는것. OppenBSD 6.2 릴리즈부터 적용된다. 이 기능은 KARL(Kernel Address Randomized Link)라 불리고, 내부 커널파일들을 무작위 순서로 재연결 해, 매번 다른 커널 바이너리 blob을 생성하는 방식으로 동작한다. 현재 사용되는 버전은, 커널파일이 미리 정의된 순서로 연결되, 모든 사용자는 통일한 커널을 같는다.
Theo de Raadt 이 개발한 KARL 은 새로운 커널은 매 설치, 업그레이드, 그리고 재부팅 시 마다 제공한다. KARL 을 ASLR(Address Space Layout Randomization)과 혼동하는건 곤란하다. ASLR의 경우 유저영역만 랜덤화 해, KVA(Kernel Virtual Address pace)는 여전히 동일한 형태로 남기 때문. 완전한 의미의 ASLR이라 말할 순 없다.(물론 PatchGaurd 등의 보호기능이 있기는 하다) 자세한 내용은 기사원문
BTCWare 랜섬웨어 최초버전, 복호화 도구 출시
BTCWare 제작자는 이번 주 BleepingComputers 포럼에 BTCWare 피해자를 지원하겠다고 발표한 바 있다. 기사원문
Azer 랜섬웨어(CryptoMix 랜섬웨어 변종) 출시
Cryptomix 의 변종, Azer 랜섬웨어라 명명. Malware Hunter Team이 CryptoMix 복호화 도구를 발표한 이후 처음 발견됐다. 기사원문 과 샘플 VirusTotal 링크
WannaCry 모방하는 모바일 랜섬웨어 SLocker
일부 커뮤니티 게시판을 통해 확산되기에 감염자는 그리 많진 않음. Trend Micro 분석보고서. 법인은 감염 5일만에 잡힘. 체포관련 기사원문. 관련샘플 VirusTotal 보고서
Humax WiFi 라우터 0-day 취약점
Humax WiFi 라우터 모델, HG-100R 에서 공격자가 WiFi 자격증명을 손상(?)시키고, 심지어 콘솔 관리자 비밀번호를 가져갈 수 있는 취약점이 Trustwave SpiderLabs 연구원에 의해 발견됐다. 기사원문
읽을거리
Google CTF 2017 – Pwnables – Inst_Prof – Writeup
https://dilsec.wordpress.com/2017/07/06/google-ctf-2017-pwnables-inst_prof-writeup/