일일 보안이슈
ExploitAlert
NSWEB Admin Login Bypass
Ultimate Affiliate Pro WordPress Plugin <= v3.6 XSS
FormCraft – Premium WordPress Form Builder <= v3.2.31 XSS
WebKit: JSC: uninitialized memory reference in arrayProtoFuncSplice
WebKit WebCore::RenderSearchField::addSearchResult heap BOF
신종 Qt 백도어 CowerSnail
WinOS 대상 백도어. SambaCry 취약점을 무기화해 채굴봇 배포에 악용한 공격그룹과 동일 공격그룹의 작품으로 밝혀졌다. C++ GUI 프로그래밍 프레임워크 Qt로 작성됨. MFC 등은 가끔 보이나 QT로 작성된것은 이례적. Qt로 작성됐기에 컴파일 환경에 따라 크로스 플랫폼이 가능하다. 기능과 성능 자체에 획기적은 것은 아니나 Qt로 작성된 악성코드는 매우 드문것은 사실. Kaspersky 연구원 Sergey Yunakovsky 에 따르면 현재까지 많은 기능을 제공친 않고, 기본 기능인 단순 백도어로만 동작한다고. CowerSnail 이 사용한 C2 서버 cl.ezreal.space:20480 는 위에 언급한 것 처럼 EternalRed 가 사용한 C2와 동일 서버. 자세한 내용은 기사원문 참고.
“해킹툴” 이 갖는 취약점들
해킹툴 자체 취약점으로 인해 해커가 역으로 공격 당할 수도 있어. 한국에서 주로 활동하는 Gh0st RAT 의 경우 파일탈취 기능에 있어 해커가 다운로드하는 파일이 원래 감염PC 어디에 있었는지 검증하는 로직이 없어, 해커의 PC에 백도어를 심는것도 가능. 이 외에도 Ghststat RAT, PlugX, XtremeRat 등을 예로 들 수 있다. 기사원문
MS, 25만$ 상당 버그바운티 프로그램 개설
주로 아래 목록 대상 버그바운티. 가장 높은 현상금이 걸린 프로그램은 25만$의 Hyper-V와 20만$의 Mitigation bypass and Bounty for defense. 자세한 사항은 MS Security TechCenter 참고
– Windows 10, Windows Server 2012 and Insider Previews
– Microsoft Hyper-V
– Mitigation Bypass Techniques
– Windows Defender Application Guard
– Microsoft Edge Browser
청소로봇 Roomba 가정 내부 지도 수집
Roomba는 미국에서 유명한 375~899$ 사이의 전공청소 로봇. 단순 센서에 의한 움직임 뿐 아닌 가정 내 지도를 그리고 거장하고 있었단 사실이 밝혀졌다. 문제는 이를 서드파티 업체에 판매할 계획중이라는 것. 개인정보 침해임은 명백하다.
초기 모델은 충돌감지에 IR센서와 충돌센서에 의지했지만, 하이엔드 Wi-Fi 지원 기기를 생산한 2015년부터는(Roomba 980 모델이 이에 해당) SLAM(Simultaneous Localization And Mapping) 기술이 적용되 충돌 회피는 물론 집 안 지도를 그릴 수 있게 된 것.
이 정보가 회사입장에서 무슨 쓸모가 있냐 하겠지만, Apple Amazon 등 홈스피커 제조업체에서 음향개선에 이용될 수 있고, 스마트 공기청정기 기능개선, Apple ARKit등 활용처는 의외로 많아 보인다. 기사원문
Fireball 악성코드 제작자 체포
올해 초부터 활동을 시작해 2억5천만여대 이상의 PC를 감염시킨 애드웨어 Fireball 의 제작자를 중국당국이 체포에 성공했다. CheckPoint 에서 처음 발견했을 당시 이미 인도 2500만대, 브라질 2400만대, 멕시코 1600만대, 인도네시아 1300만대, 미국 550만대 이상이 감염된 상태. 정상애플리케이션 다운로더를 위장한 고전적인 전파방식을 사용했다.
감염시 브라우저 확장으로 설치되고 기본 검색공급자 및 시작 화면을 에드웨어 제공엔진으로 교체. 이 외에도 감염PC의 웹 트레픽 감청, 악성코드 실행, 추가 플러그인 설치 등의 악성행위를 수행할 수 있다.
체포된 세 사람은 모두 Rafotech 직원으로 이 애드웨어로 현재까지 8000만 위안(약 13,120,000,000 원)의 수익을 올린것으로 보인다. 기사원문
UniCredit 은행 해킹, 40만 계좌 노출
UniCredit 는 공식성명을 통해 서버가 해킹당해 40만개의 클라이언트(계좌?)가 노출됐다 밝혔다. UniCredit 은 이탈리아 소재 은행. 자세한 내용은 기사원문 참고.
FreeRDP 코드실행 취약점 패치
FreeRDP 는 MS RDP 서비스를 이용할 수 있는 오픈소스 프로그램. 오픈소스다 보니 FreeRDP 라이브러리는 다른 여러 상업 프로그램에서 쓰이는 중. Cisco Talos 는 FreeRDP 2.0.0-beta1 윈도우즈, 리눅스, MacOS 버전에서 RCE와 DOS로 연결되는 6개의 심각한 취약점이 있는것을 발견. CVE-2017-2834 로 식별되고 현재 패치됨. 취약점 관련 기술분석보고서와 패치된 버전을 받을수 있는 링크. 기사원문
NanoCore 개발자 유죄선고
오픈소스(not copyleft but just code open) 원격관리도구를 표방하며 어떤 난독화도 적용치 않은 .dot 기반 RAT, NanoCore 의 개발자가 유죄를 선고받았다. 아주 그럴듯한 홈페이지도 서비스하면서 합법적이라 주장하긴 했지만 침해사고에 즐겨등장하는 RAT이었음은 자명한 사실. Reversenote 자체분석 보고서. 도구는 쓰는 사람의 책임이라지만 그래도… 기사원문
