일일 보안이슈
ExploitAlert
FTPGetter 5.89.0.85 Remote SEH BoF
Orangescrum 1.6.1 Multiple Vulnerabilities
Orion Elite Hidden IP Browser Pro, Multiple Vulnerabilities
Condition Zero BSP map exploit
Designed By Alkawebs – AdminBypass
WDTV Live SMP 2.03.20 Remote Password Reset
Windows Defender 업데이트, Process hollowing 와 Atom bombing 탐지가능
다른 프로세스에 임의로 코드를 실행하는 Cross-process 기법, Process howllowing(PE 이미지 스위치) 과 Atom bombing 을 Windows Defender 업데이트를 통해 탐지 가능하게 패치됐다. 누가 절대 막을수 없는 공격이랬던가…
Process hollowing 은 아래 다섯 단계를 걸쳐 수행됨
1. 정상프로세스 suspended 로 생성(explorer.exe lsass.exe 등)
2. suspended 상태에서 원래 프로세스 코드의 image base를 확보한 상태로 메모리 섹션을 재할당.(이 과정에서 NtUnmapViewOfSection 루틴 호출)
3. RWE 메모리 할당, 악성코드로 교체 준비
4. PE이미지 쓰고, EIP 를 교체된 이미지의 EP로 수정
5. Resume Process
AtomBombing 은 자체 분석 포스트 참고.
MS 는 Win Defender ATP Creators Update 를 통해 함수호출을 계측(? instrumented)하고 인젝션을 탐지하는 통계모델을 구축했다고 발표. Microsoft 블로그
Exte CryptoMix Ransomware 변종 출시
AZER 버전의 변종, 동일한 10개의 RSA키를 계속 사용, 오프라인에서도 암호화 가능. EXTE 확장자 사용. 기사원문
AlphaBay Market 서비스 종료
알파베이 마켓은 가장 큰 다크웹 시장 중 하나. 약물, 총기류, 기타 비합법적 물건을 판매한다. 이달 초부터 이어진 반복적 접속불가 현상은 국제당국에 의한 폐쇄로 보인다. 7월 4일 아무런 예고 없이 서비스를 종료한 알파베이는 이미 결제를 한 많은 이들에게 패닉을 안겨줬다. 이는 모두 사기를 위한 큰 그림이었다 말하는 사람도… Wall Street Journal에 따르면 실상은 AlphaBay 운영자중 한명인 Alexandre Cazes의 체포 후 벌어진 일이라 한다. 자세한 내용은 기사원문참고
Ubuntu for WIn10 릴리즈
두 달 전 MS는 WinOS 에 Ubuntu, Fedora, SUSE 를 설치할 수 있게 하겠단 계획을 발표. 윈도우즈 스토어를 통해 설치, 리눅스 앱을 사용가능. MicorySoft 블로그, Ubuntu now available from the Windows Store!
CRBR Encryptor 랜섬웨어로 암호화된 파일 복구 가능
신규설치 WordPress 사이트 대상, WPSetup 공격
WPSetup 이라 명명된 이공격은 지난 5~6워간 관찰됨. 공격자가 특정 URL(myWordPressDomain.com/wp-admin/setup-config.php)을 스캔. 이 URL 은 WordPress 설치에 사용되는 페이지. 이 URL이 셋업페이지를 포함한다면, 해당 호스트가 워드프레스를 최근 설치하고, 아직 설정하지 않은 상태라는 뜻. 워드프레스를 ZIP 압축해제를 통한 원클릭 인스톨러로 설치했을 경우, 설정을 마치기까지 찰나의 순간(?)동안 URL 스캔에 노출된다면, 해당 웹호스팅에 대해 공격자가 모든 권한을 가질 수 있다는 뜻. 워드프레스 외부접속이 불가한 호스트에서 수행하고, 복사 붙여넣기 하는게 안전. 기사원문
NZMR 랜섬웨어 분석 및 삭제방법
NZMR Ransomware 는 백도어와 유사하게, PC에 상주하며, 민감정보/개인정보 탈취 PC정보수집, 사용자계정탈취, 인터넷뱅킹 자격증명 탈취등의 행위도 포함돼 있다. 이 악성코드 수동치료를 위한 step by step 가이드
읽을거리
HOW TO EXPLOIT ETERNALROMANCE/SYNERGY TO GET A METERPRETER SESSION ON WINDOWS SERVER 2016
