일일 보안이슈
ExploitAlert
Redhat, FreeIPA 2.213, Session hijacking
SocuSoft, Flash Slideshow Maker Professional, Content Forgery, XSS
안드로이드 악성코드 Svpeng, 변종 발견
카스퍼스키에 따르면 유명 안드로이드 파밍 악성코드 Svpeng 의 신종이 발견됐다고 한다. 지난달 중순 활동이 포착됐고, 키로깅 기능이 추가됐다. 키로깅에는 스마트폰 사용에 장애가 있는 사람들을 위해 기기를 핸들링 할 수 있는 다른 방안을 제공하는 안드로이드 자체 기능인 Accessibility Services 를 이용한다. 추가된 기능은 키로거 뿐 아닌, 자신에게 기존보다 더 높은 권한을 할당해 감염기기에서 언인스톨 되는것을 방지하는 행위도 있다. 기존에 알려진 동일한 안드로이드 서비스를 이용한 악성 캠페인으론 Cloack and Dagger 가 있다. 기사원문
아마존 BLU 사 안드로이드 스마트폰 판매중지조치
BLU는 안드로이드 스마트폰 제조사. 여기서 제조된 기기에 preinstall 된 악성코드가 벌써 두 번째 발견되자, 아마존은 자사 오픈마켓에서 관련 기기판매를 모두 중단. 기설치된 악성코드는 작년 11월 Kryptowire 의 보안연구원이 첫 발견. BLU는 이에따른 조치를 취했다고 발표했지만 금주 Black Hat 컨퍼런스에서 Kryptowire 는 기기 정보수집 기능이 여전히 존재한다고 발표. 이에 BLU 는 “inaccurate and false reports,” 라고 대응. 기사원문
아마존 Echo 도청 장치로 둔갑 가능
Amazon Echo 는 Alexa voice service 를 통해 음악 재생, 홈 IoT 제어, 기타 명령등을 수행하는 아마존에서 개발한 인공지능 비서. 비슷한 서비스로는 한국의 빅스비, 시리 등이 있다. 음성을 상시 모니터링하며 모든 음성중 기기에 명령을 내리는 음성만 식별해 적절한 인터렉션을 수행하지만, Mike Barnes 는 Black Hat 에서 기기를 해킹해 Echo로 들어오는 모든 음성을 탈취할 수 있음을 밝혀. 자세한 내용은 여기와 여기, 기사원문
읽을거리
Frida를 이용한 TeamViewer 패스워드 추출 방법
Phase 배포 체계를 적용한 TwoFace 웹쉘 분석
Powershell Opfuscation/Deopfuscation
2016년 가을과 2017년 봄, Daniel Bohannon 은 오픈소스 파워쉘 난독화 프레임워크인 Invoke-Obfuscation 과 Invoke-CradleCrafter 를 출시. 파워쉘 악성코드의 시그니처 기반 공격탐지의 한계를 시연하기 위한 코드. 핵심 내용은 시그니처 기반 탐지가 아니라, 어떻게 난독화 됐음을 식별하여 의심되는 코드라 판단할것인가에 대한 것.
Revoke-Obfuscation 은 PowerShell’s AST 에 기반. 100~300ms 의 짧은 시간 내에 난독화여부를 판단할 수 있다.
Invoke-CradleCrafter
Invoke-Obfuscation Github
Revoke-Obfuscation Github
