일일 보안이슈
ExploitAlert
PDNS Manager RCE
Oramentos Admin Panel Bypass
Administrativo web Radio 2013 Admin Panel Bypass
Chrome 59.0.3071.115 RCE 취약점 시연
2017/07/04 자 업로드. 세부정보 미공개상태.
0day RCE Exploit for Google Chrome 59.0.3071.86
Exploit Type: Remote code execution, Sandbox escape.
Exploitation Parameters: Bypasses ASLR, Bypasses DEP / W ^ X, Bypasses EMET Version 5.52±
Privilege Level Gained: Medium
for more information contact : lupus.cyber@gmail.com
Vault7 덤프, 윈/리눅스 OS 대상 SSH 크리덴셜 탈취기능 드러나
도구이름은 BothanSpy(윈OS 대상) 와 Gyrfalcon(리눅스 기기 OpenSSH 대상)로 명명. 두 도구 모두 활성화된 모든 SSH 세션의 크리덴셜을 탈취하는 역할을 한다. 기사원문
BothanSpy는 Shellterm 3.x 의 확장프로그램으로 기기에 설치되며, Xshell1 이 정상적으로 실행중이어야만 동작한다.
“In order to use BothanSpy against targets running a x64 version of Windows, the loader being used must support Wow64 injection,” the leaked CIA user manual reads.
“Xshell only comes as a x86 binary, and thus BothanSpy is only compiled as x86. Shellterm 3.0+ supports Wow64 injection, and Shellterm is highly recommended.”
Gyrfalcon 은 32/64bit 리눅스에서 동작하고, 탐지를 피하기 위해 CIA에서 개발한 JQC/KitV 루트킷을 이용한다. 대상 OS는 CentOS, Debia, HREL, openSUSE, Ubuntu. Gyrfalcon 은 OpenSSH 세션 트레픽의 전체 혹은 일부를 수집할 수 있고, 추후 수집한 정보를 빼내기위해 암호화 된 파일에 저장해둔다.
“The tool runs in an automated fashion. It is configured in advance, executed on the remote host and left running,” the user manual of Gyrfalcon v1.0 reads.
“Sometime later, the operator returns and commands gyrfalcon to flush all of its collection to disk. The operator retrieves the collection file, decrypts it, and analyzes the collected data.”
CopyCat 안드로이드 악성코드 1400만기기 감염
새로 발견된 이 악성코드는 1400백만여대 안드로이드 기기를 감염시켜 2개월만에 1500만 달러의 부정 광고수입을 기록했다. CopyCat으로 명명, 감염기기 루팅 기능이 있고, 지속 동작하며 Zygote 데몬(안드로이드 기기에서 앱 실행을 담당하는 정상 데몬)에 악성코드를 인젝션하고, 공격자에게 기기에 대한 모든 제어를 갖게한다.
CheckPoint 에 따르면 감염기기중 800만여대 기기는 이미 루팅된것으로 보여… 주 피해국가는 인도를 포함한 동남아지역. 제법 오래 된 기종인 안드로이드 5.0 이하 버전의 기기들의 CVE-2013-6272(VROOT), CVE-2015-3636(PingPongRoot), CVE-2014-3153(Towelroot) 취약점을 주로 공략한다. 기사원문
북한 미사일 도발에 관심있다면, 이 악성코드를 조심하세요
Talos는 7월 4일 시작된 RAT을 활용한 공격활동을 포착. 이 RAT는 KONNI로 명명. KONNI 는 3년 넘게 미확인 상태로 활동한 키로거, PC식별정보, 스크린샷 탈취, 추가악성코드 다운로드 등의 기능이 있는 RAT(Remote Access Trojan)형 악성코드.
실행시 MS Office 문서를 열어주는 실행파일이 포함된 이메일로 배포된다. 그리고 이 문서에는 북한의 미사일 시험발사에 관한 영문이 써 있음. 특이한 점은 이 내용이 지난 7월 3일 한국의 연합뉴스에서 복사 붙여넣기 한 내용이란 것. 이후 KONNI 의 두 가지 다른 버전인 event.dll 와 errorevent.dll 를 드랍한다. 64bit는 두 파일 모두 드랍, 32bit는 errorevent.dll 만 드랍한다. 자세한 내용은 기사원문 참고
VirusTotal-for-Crooks 운영자 체포
악성코드 제작자가 자신이 제작한 악성코드들이 AV에서 탐지하는지 안하는지 테스트해보기 위한 서비스 VirusTotal-for-Crooks 의 운영자가 체포됐다. VirusTotal 은 일반적으로 검사하는 파일이 VT에 업로드 되고, 샘플 및 검사 결과가 AV 벤더사에 공유될 수 있기에 해커가 직접 이용하기엔 부적합. VirusTotal-for-Crooks 는 “no distribute scanners” 로도 불린다. 기사원문
WWE 유출사고
미국의 유명 레슬링협회(?) WWE에서 300만건에 달하는 레스링펜들의 주소, educational background(교육배경?), 수입, ethnicity(인종?)및 그외 정보 유출 기사원문
Perl 개발진, MySQL 취약점 해결
Perl 개발진이 DBD—MySQL 의 클라이언트 – 서버간 암호화 통신에 MITM 공격을 가능케 했던 취약점을 해결했다. 이 취약점 CVE-2017-10789은 DBD:mysql 모듈(v4.043이하) 에서 mysql_ssl=1란 설정값이 제대로 적용되지 않아 발생. mysql_ssl=1은 설명 상 모든 통신은 암호화 될 것이라 나와있지만, 실제론 그렇지 않았다2. 이로인해 MiTM이 가능. 패치는 강화된 SSL 암호화미지원시 연결을 거부하는 방식으로 이뤄짐. 기사원문
“The DBD::mysql module through 4.043 for Perl uses the mysql_ssl=1 setting to mean that SSL is optional (even though this setting’s documentation has a “your communication with the server will be encrypted” statement), which allows man-in-the-middle attackers to spoof servers via a cleartext-downgrade attack, a related issue to CVE-2015-3152.”
구글 Broadpwn 취약점 패치 (CVE-2017-3544)
Broadpwn 은 안드로이드 기기에서 기기소유자의 인지 없이 RCE 가 가능한 취약점. Broadcom의 WiFi 칩 제품군 BCM43xx 과 관련있다. 이 취약점을 발견한 Nitay Artenstein 에 따르면 비단 구글만의 문제가 아닌, 동일 칩셋을 사용하는 iOS도 영향받을거라고. 패치 발표 및 기사원문
읽을거리
카스퍼스키, 무료 오픈소스 포렌식툴 출시
VMware Workstation Pro Pwning 과정 및 분석보고서
pwning 에 필요한 각종 우회기법 등과 접근방법에 대한 과정을 실제 workflow 대로 작성. 블로그
