일일 보안이슈
ExploitAlert
CVE-2017-10798, ObjectPlanet Opinio v7.6.3 RXSS
Windows EternalBlue SMB RCE .py Exploit
CVE-2017-4918, VMware Horizonas macOS Client Code Inj
RaidenHTTPD 2.0.44 – User-Agent – HTML Inj, XSS
Dahua IP CAM CVE-2017-7925,7927
Hikvision IP CAM CVE-2017-7921,7923
LockPoS 랜섬웨어
Arbor Networks는 PoS(Point of Sale)기기를 대상으로한 악성코드가 활동중인것을 포착했다. 수동으로 설치된 드랍퍼에 의해 실행됨. 이 악성코드는 과거 브라질을 주 공격목표로 삼았던 Flokibot 이 쓰던 C2서버와 관련있어보인다. LockPoS 로 명명된 이 악성코드는 지난 6월말 컴파일되어, 드랍퍼를 사용해 explorer.exe 프로세스에 인젝션해 동작한다. 드랍퍼는 또한 자기 파일의 리소스영역에서 여러 컴포넌트를 실행한다. 자세한 동작과정은 기사원문 참고. 관련 샘플
정상 ffmpeg 를 활용하는 .NET 악성코드
토르브라우저를 C2 통신에 활용하는 것 처럼, 악성코드배포에 정상 어플리케이션(ffmpeg VirusTotal 스캔결과)을 악용하는건 어제오늘일이 아니다. ffmpeg는 오픈소스 크로스 플랫폼 동영상 녹화, 변환, 스트리밍 솔루션. MalwareBytes가 이번에 발표한 악성코드는 그 행위에 ffmpeg 가 제공하는 강력한 기능(스트리밍)을 사용. 보통 스파이웨어는 주기적 스크린샷 전송으로 충분하지만, 이 악성코드는 감염PC 화면을 아예 스트리밍 해… 자세한 분석 정보는 MalwareBytes 블로그 참고
- 2a07346045558f49cad9da0d249963f1 (Dropper)
- 049af19db6ddd998ac94be3147050217 (Dropped PE(C#))
- 9c9f9b127becf7667df4ff9726420ccb (loader)
- 85d35dd33f898a1f03ffb3b2ec111132 (final payload)
Let’s Encrypt 무료 와일드카드 인증서 서비스 발표
HTTPS 통신을 더 많은 이용자가 쉽게 쓸 수 있도록, Let’s Encryt는 2018년 1월부터 wildcard 인증서를 발급할것이라 발표했다. Let’s Encrypt 는 Mozilla, 미시간대학, EFF(Electronic Frontier Foundation)이 창설했고, Cisco, Akamai 의 지원을받는 유명 무료 인증서발급기관. wildcard 인증서는 exe로 끝나는 모든 파일을 뜻하는 *.exe 와 같이, *.MyDomainName.com 처럼 소유 도메인 하위의 모든 호스트가 사용할 수 있는 인증서. 취지는 좋으나 새로운 우려도 낳고 있다.
Let’s Encrypt 는 지난 2015년 12월 프라이빗 베타 서비스를 끝내고 정식 출시, 2016년 3월까지 수백만건의 인증서를 발급했다. 지난주에는 발급건수가 이미 1억건을 돌파했다 발표, 발급 건수만 놓고 보면 세계에서 가장 많은 인증서를 발급한 기관중 하나가 됐다. 우려라 함은, 무료 인증서도 좋지만, 피싱 사이트 또한 ‘초록색 주소표시줄’을 보여줄 수 있을 거란 것. 기사원문
“Cybercriminals can create thousands of fake websites using Let’s Encrypt’s wildcard certificates, all with a seemingly trustworthy glowing green padlock in the web browser address field,” Bocek told SecurityWeek. “We have seen bad actors abuse Let’s Encrypt certificates before: more than 14,000 certificates were issued for PayPal phishing websites by Let’s Encrypt, a powerful example of how bad guys exploit Certificate Authority business processes.”
Verizon 고객정보 1400만건 노출
원인은 하청업체(? NICE System)의 잘못된 Amazon S3 서버 접근설정 때문. 웹에 노출돼있던 서버는 브라우저에 단순히 URL을 치는것으로 접근할 수 있었고, verizon-sftp 란 서브도메인을 사용. 노출된 데이터애는 버라이즌 콜센터 로그가 포함된다. 유출된 데이터 및 위험도에 관한 자세한 내용은 기사원문 참고.
광고 부정클릭에 가상 데스크탑을 이용하는 Magala Trojan
Kaspersky는 IE 9 이상이 설치된 WinOS 에서 동작하는 광고 부정클릭을 통해 수익을 얻는 신종 악성코드 Magala 를 발견. 특이사항으로 부정클릭을 위해 가상 데스크탑(바탕화면?)을 사용한다. 핵심동작은 가상 바탕화면을 만들고, Maps Galaxy 를 설치하고, IE 기본페이지를 MyWay(hp.myway.com)으로 만드는 브라우저 툴바를 설치하고, Google 검색엔진을 사용토록 변경한다. 이후 C2서버로 접속해 특정 키워드 목록이 나열된 텍스트파일을 다운받고 이 키워드를 MyWay 웹사이트에 쿼리한다. 쿼리 결과로 받은 페이지를 파싱해 처음 나오는 링크를 클릭, 대게 처음 나오는 링크는 promoted 광고인 경우가 많다. 기사원문
읽을거리
비밀번호건 문서파일을 첨부한 이메일로 유포되는 악성코드
이와같은 형태의 악성코드가 유포되는 방식을 잘 설명한 기사.
가장 널리 유포된 MacOS 악성코드는 가상화폐 채굴기
한컴오피스 7월 정기 보안 업데이트
MS NTLM 취약점 분석보고서
Tizen OS 에 존재하는 27000개 에러
Tizen 은 삼성전자와 인텔이 함께하는 타이젠 연합에서 에서 개발중인 OS. 리눅스 커널기반 오픈소스 프로젝트이다. 삼성은 최근 스마트 TV에 타이젠 OS를 탑재, 이후 모든 스마트 TV에 탑재 예정. Andrey Karpov가 작성한 이 OS에 발견된 여러 에러에 관한 설명
