일일 보안이슈
ExploitAlert
DALIM SOFTWARE ES Core 5.0 build 7184.1 XSS And CSRF
DALIM SOFTWARE ES Core 5.0 build 7184.1 Server-Side Request Forgery
DALIM SOFTWARE ES Core 5.0 build 7184.1 Remote File Disclosures
Bademjooon sabzy calam cms SQLi
Design by annvision Upload Shell
IsraBye, 랜섬웨어로 위장한 반이스라엘 데이터 파괴 악성코드
랜섬웨어 인 척 하는 반 이스라엘, 반 친팔레스타인인 데이터 파괴(와이퍼, Wiper)악성코드가 발견됐다. 랜섬웨어처럼 화면을 잠그고 복구될 것 처럼 안내하지만, 파일 내용은 모두 반 이스라엘 메시지로 대체되어 복구는 불가능하다. Avast 보안연구원 Jakub Kroustek이 첫 발견. 다행히 볼륨 쉐도우 카피 등과 같은 방식으론 복구 가능. 기사원문.
맥용 애드웨어 Mughthesec
플래시 플레이어 설치파일로 위장. OperatorMac 악성코드군의 변종으로 보인다고. 맥주소 기반 VM 탐지기법과 정상 애플 개발자 인증서로 서명되어있다는 특징이 있다. 이로 인해 애플의 GateKeeper 시스템에서 탐지하지 않는다. Synack 의 보안연구원 Patric Wardle 에 따르면 삭제를 위해선 OS 재설치를 권장. 애드웨어 동작에 어떤 추가 악성코드 다운로드가 있었을지 모르기 때문. 기사원문
While it’s quite easy to remove the adware from infected computers, in a technical breakdown of the Mughthesec infection routine, Wardle points out that other files dropped by the adware on infected hosts allows the malware operator to drop as many secondary adware payloads as he wants.
우크라이나 남성, NotPetya 배포 및 조세회피 제공? 으로 체포
우크라이나의 51세 남성 Sergey Neverov 이 NotPetya 배포혐의로 체포됐다. 그는 IT에 관심이 많은 비디오 블로거. 하지만 우크라이나 경찰의 언론 발표자료에 따르면 Neverov 는 NotPetya 의 개발자도 아니고, 전세계적인 악성코드 배포에도 직접적인 관련도 없다. 다만 경찰은 NotPetya의 복사본을 소셜 네트워크 계정을 통해 전파시켜 400대의 PC를 감염시킨 혐의 및 조세회피를 도왔다는 혐의로 체포.
정확히 말하자면, 조세회피의 목적을 가진 회사의 PC를 의도적으로 NotPetya에 노출시킨것이 문제. 랜섬웨어에 감염되며 과세 근거자료를 암호화시켜버린것. 하지만 이게 전부일까? 위에 언급했듯이 그는 11000명의 유튜브 팔로워를 가진 비디오블로거. 자신의 얼굴을 비디오에 그대로 노출하는 등 신분을 감추는 행위에 별 관심이 없는 사람이다.
우크라이나가 NotPetya에 감염되기 시작했을 때 그는 복호화방법을 찾기 위해 해당 랜섬웨어를 분석. 여타 분석가가 그러하듯이 샘플을 다운로드 받고 자신의 PC에서 실행. 하지만 그의 유튜브 동영상에서 알 수 있듯이 시연을 위한 감염은 두 번이나 실패했다.
세번의 시도끝에 감염 시연에 성공한 그는 소셜계정에 샘플을 업로드하고, 정보공유목적으로 샘플을 공유. “use at your own risk” 란 문구도 빼놓지 않았다. 무엇보다 이로인해 그가 얻는 이득은 아무것도 없어. 하지만 현재 그는 경찰에 체포된 상태. 기사원문
Vault 7 덤프, CouchPotato, 원격 비디오 감시 툴
위키리크스는 CIA 가 사용하는 해킹툴들을 차례로 공개하는 중. 이번에 공개된 툴은 CouchPotato 로 명명된 원격으로 RTSP/H.264 비디오스트림을 은밀하게 수집할 수 있는 툴이다. RTSP 은 엔터테인먼튼와 커뮤니케이션 시스템에서 미디어 스트리밍 서버를 제어하기 위해 설계된 프로토콜. 이 툴은 AVI 비디오 파일로 스트림을 저장하거나, 전 후의 비디오 프레임을 비교하여 차이가 클 경우 이를 JPG 로 저장하는 기능등을 지원한다. 아래는 툴 매뉴얼 발췌
“collect either the stream as a video file (AVI) or capture still images (JPG) of frames from the stream that are of significant change from a previously captured frame,”
CouchPotato 는 비디오/이미지 인코딩/디코딩 과 RTSP 접속을 위해 FFmpeg 을 활용. 또한 ICE v3 “Fire and Collect” loader 을 지원토록(파일리스 동작토록) 설계됐기에 감염 PC에 은밀히 설치될 수 있다. 어떤방식으로 공격대상 PC에 잠입하는지는 알려진 바 없어. 하지만 지금까지 유출된 툴로 봤을 때 기존의 도구나 익스플로잇을 활용할 것이라 생각할 수 있다. 기사원문28The+Hackers+News+-+Security+Blog%29)
MS, Win10에서 중국 CA 더이상 신뢰치 않기로
취약점이 발견되었던 WoSign 및 StartCom에서 발행 한 인증서를 사용 중단한다고 발표. 현재까지 발급된 모든 인증서는 자가 만료일까지 정상동작 할 것이나 2017년 9월 26이후 발급된 인증서는 모두 동작하지 않을것. MS Technet 블로그 와 {기사원문}(https://www.infosecurity-magazine.com/news/microsoft-removes-trust-from/)
읽을거리
카스퍼스키 2017년 2분기 APT Trends 발표
MS, Win10 Pro for Workstations 발표
Win Server 2012 에 처음 소개된 ReFS 는 NTFS를 대체할 파일시스템으로 높은 가용성을 갖고 있다. Win 10 for Workstations 는 더 빠르고 확장된 하드웨어 지원 및 더 빠른 파일 공유방식 SMB Direct 등이 포함될것. 가을 Creators Update 에 릴리즈될 예정. 발표자료
HackinItaly 캠페인 타개의 비하인드 스토리
HackinItaly 는 2500대의 QNAP NAS 봇넷을 보유한 악성 캠페인. QNAP 은 유명 NAS 제조사. 이 악성캠페인의 공격자를 체포하기 까지의 뒷 이야기. 기사원문
Acrobat Reader DC RCE 취약점 분석
Koadic C3 COM Command & Control – JScript RAT
파이썬으로 작성. UAC 우회(eventvwr, sdclt 활용) 등의 기능 제공. Github 소스코드
