일일 보안이슈
ExploitAlert
MAWK ( AWK Interpreter ) 1.3.3-17 BOF
MS IE – ‘mshtml.dll’ RCE (MS17-007)
Epic Privacy Browser – History Leakage
사이버 공격그룹 CopyKittens
여러 국가의 정부기관, 국방, 학술기관을 대상으로한 새로운 거대 공격그룹이 발견됐다. Trend Micro 와 이스라엘기업 ClearSky 이 발간한 보고서에 따르면 이란과 관련된 공격그룹이라고. CopyKittens(혹은 Rocket Kittens)라 명명된 이 그룹은 지난 2013년부터 이스라엘, 사우디 아라비아, 터키, 미국, 요르단, 독일을 대상으로 활동. 악성링크가 포함된 이메일, CVE-2017-0199 를 활용한 악성문서, Havij, sqlmap, Acunetix 등 SQL 인젝션 도구를 활용한 서버 익스플로잇 등을 공격벡터로 활용한다. 기사원문
“The group uses a combination of these methods to persistently target the same victim over multiple platforms until they succeed in establishing an initial beachhead of infection – before pivoting to higher value targets on the network,” –Trend Micro blog
FruitFly 추가 정보
웹캠캡쳐, 키보드/마우스 컨트롤/하이재킹, 악성코드 설치 등 백도어 기능을 갖춘 MacOS 대상 악성코드. 지난 5년간 활동해왔으나 발견된건 불과 수개월 전. MalwareBytes 의 Thomas Reed 첫 발견 이후, Synack 의 Patric Wardle 은 적어도 400대 이상의 Mac 이 FruitFly의 변종 FruitFly 2 에 감염된것을 확인. 정확한 감염경로는 미확인, 해킹당한 웹서버나 피싱 이메일, 혹은 위장 어플리케이션 등을 통해 전파될 것이라 추측. 기사원문
Adobe, Flash Player 2020년까지 점진적 서비스 종료
플래시 재생을 위해 크롬에선 이미 별도의 허용절차가 필요. 아마존도 플래시 광고 차단정책 취하고 있어. 취약점의 아이콘, 드디어 사라진다. 기사원문
CrowdStrike, 사이버보안 검색엔진 출시
클라우드 기반 엔드포인트 보안제품업체 CrowdStrike, Falcon MalQuery 기반 검색엔진 출시. 다른 검색엔진보다 250배 빠르다고 광고. 기업고객만 체험가능 기사원문
크롬 60, 출시
API 관련 업데이트가 주. UI 관련 변화 없음. 40여개 보안 취약점 패치. 가장 큰 변화는 Paint Timing API. 이 API는 크롬이 웹 페이지를 “그리는데”(paint)걸리는 시간을 측정할 수 있어, 웹 개발자들의 활용성이 좋을듯. 두번째 변화는 CSS Font-display protperty. 이 기능은 웹페이지 표시 위해 폰트를 다운로드 하는동안 OS의 기본 폰트를 사용할지 말지 선택할 수 있는 기능. 페이지 로딩동안 아무것도 보이지 않는 상황을 방지해준다. 기타 사항은 기사원문과 위 링크 참고.
가상머신 식별에 마우스 움직임을 활용하는 파밍 악성코드
7월 발견된 Ursnif 파밍 악성코드의 변종은 가상머신 탐지를 위해 사용자 마우스 입력을 활용하는것으로 밝혀졌다. 일반적으로 자동분석환경이라면 마우스 이벤트는 없다는 점에 착안한듯. 완전히 새로운 방식은 아님. 기사원문
5분만에 ATM 기기 해킹하기, 시연
XP 지원종료라는 MS의 경고에도 불구, 많은 ATM 이 여전히 XP 를 사용중. Positive Technologies 는 ATM기기에 구멍을 뚫어 USB 케이블을 꺼내 ATM에 물리적으로 접촉해 해킹하는 시연영상을 발표. 동영상 링크 (15초 광고주의)
읽을거리
크로스플랫폼 Python RAT ‘Stitch’
교육/연구목적으로 파이썬으로 제작된 RAT. HiddenTear도 교육용이었지만 악용하는건 해커의 역량. WinOS MacOS LinuxOS 에서 서로 다른 페이로드를 생성토록 설계됐다. 부팅시 이메일 발송, 키로거 등의 기능도 존재. 소스코드
한국, 일본서 지속 활동중인 사이버 공격그룹 ‘Tick’
국방 및 첨단산업기술 유출에 촛점을 맞추고 활동. Daserf 라는 자체제작 악성코드 사용. 기존에는 C2서버로 익명서버를 사용했지만, 최근에는 주로 다른 웹사이트를 해킹해 C2서버로 활용. 분석 보고서
