일일 보안이슈
ExploitAlert
Xamarin Studio for Mac API documentation update
ClipBucket 2.8.3 – Multiple Vulnerabilities
Easebay Resources Bypass admin & Shell upload
Apple iOS 10.3 – UI SMS Access Permission Vulnerability
Philex CMS – Directory Traversal
MS Edge: Chakra: Uninitialized arguments
MS Edge: Chakra: incorrect jit optimizaton with TypedArray setter #3
MS Edge: Chakra: JavascriptFunction::EntyCall doesn’t handle CallInfo properly
MS Edge: Out-of-bounds read in CInputDatTimeScrollerElement::_SelectValueInternal
MS Edge: Chakra: Uninitialized arguments2
MS Edge: Chakra: Integer overflow in EmiNew
MS Edge: Chakra: EmitAssignment uses the”this” register without initializing
MS Edge: Chakra: Incorrect usage of TryUdeleteProperty
MS Edge: Chakra: Incorrect usage of PushopFrameHelper in InterpreterStackFrame::ProcessLinkFailedAsmJsModule
MS Edge: Chakra: PreVisitCatch doesn’t cll SetIsCatch for all cases
MS Edge: Chakra: incorrect jit optimizaton with TypedArray setter #2
MS Edge: Chakra: InterpreterStackFrame::rocessLinkFailedAsmJsModule incorrectly re-parses
MS Edge: Chakra: Type confusion in JavasriptArray::ConcatArgs
크롬 확장플러그인 8개 하이재킹
얼마전 독일의 구글 크롬 확장플러그인 Copyfish의 개발자가 피싱공격을 당하며 해당 제품이 악성 광고를 호스팅하는데 악용되는 사건이 있었다. ProofPoint 에 따르면 지난 한달간 비슷한 형태의 공격을 당한 플러그인은 8개에 이른다고. 해당 목록은 다음과 같다. 기사원문
– Chrometana (1.1.3)
– Infinity New Tab (3.12.3)
– CopyFish (2.8.5)
– Web Paint (1.2.1)
– Social Fixer (20.1.1)
– TouchVPN (?)
– Betternet VPN (?)
미 방산업체 노리는 Lazarus
PaloAlto 가 발간한 보고서 에 따르면 북한 사이버 공격자들은 미 방산업체를 대상으로 한 공격에 열중인것으로 보인다. 주로 남한 공공기관을 목표로 삼았던 이들이 최근 미국으로 대상을 바꾼것은 최근 연이은 핵실험에으로 인한 국제적 긴장상태에 기인한것으로 보인다. 이 공격의 배후에 Lazarus 가 있다는 근거는 다음과 같다. 자세한 내용은 기사원문 참고.
– 2017년 4월 있던 매크로 소스코드 재활용
– 2017년 4월 동일한 XOR 복호화키 및 동일 페이로드 사용
– 유사한 디스크 쓰기 기능
– 메타데이터의 유사도 등…
jpg 파일로 위장한 SyncCrypt 랜섬웨어
보안연구원 xXToffeeXx 는 SyncCrypt 라 명명된 신종 랜섬웨어를 발견. WSF 파일이 첨부된 스팸메일로 유포된다. 암호화 후 확장명은 .kk로 교체. WSF 파일이 악성코드 배포에 사용되는건 상대적으로 드문 일. 이 랜섬웨어는 랜섬웨어 본체를 다운로드 하는데 독특한 방식을 사용한다.
내부에 ZIP 압축파일이 포함된 이미지를 다운로드 및 그로부터 암호화에 필요한 파일을 압축해제 하는식으로 동작. 이로인해 VirusTotal 의 대부분 벤더에서 이를 진단하지 않는것으로 보인다. 이미지가 업로드된 사이트는 다음 세 곳. 브라우저로 열 시에는 단순히 이미지만 나오기에 악성행위를 하지 않는다.
copy /b MyPicture.jpg + MyArchive.zip OutFile.jpg 명령어를 이용해 두 파일의 바이너리를 단순히 합칠 수 있다. 같은 방식으로 생성된 페이로드(그림파일)로 보임. JPG 파일은 그림파일 뒤에 추가 바이너리가 있어도 문제없이 이미지를 출력할 수 있다.
자세한 내용은 기사원문 참고
이미지 업로드 사이트
- https://image.ibb.co/mxRgXF/arrival.jpg
- https://sm.uploads.im/X8IOl.jpg
- https://185.10.202.115/images/arrival.jpg
관련 해쉬
- 877488d8f43548c6e3016abd33e2d593a44d450f1910084733b3f369cbdcae85 (sync.exe)
- 3049a568c1c1cd4d225f8f333bf05e4560c8f9de5f167201253fedf35142fe3e (CourtOrder_845493809.wsf)
- c6565d22146045e52110fd0a13eba3b6b63fbf6583c444d7a5b4e3a368cc4b0d (image files)
새로운 DDoS 공격방식, Pulse Wave
Pulse Wave 라 명명된 새로운 DDoS 공격 메쏘드가 기존의 특정 DDoS 솔루션 방어기능을 우회하는데 효과적인것으로 나타났다. 기존의 DDoS 공격의 공격 트래픽을 시분위 그래프로 표현했을 때, 커다란 산 모양이었다면, Pulse Wave 는 말 그데로 일정한 주기로 트래픽이 오르락 내리락 하는 공격방식. 이를 위해선 DDoS 봇넷의 정밀한 컨트롤도 동반되야 한다. 기사원문
iptime 펌웨어 엡데이트
- 11AC 유무선공유기
A2004NS-R,A2004NSplus,A2003NS-MU,A2004ns,N904V,N904plus,N904,N8004V,N8004R,A604V,A604,A2008,A2004R,A2004plus,A2004,A104R
A1,A104NS,A8004NS-M,A6004NS-M,A3004NS-dual,A3003NS,A1004NS,RingAP,A3004-dual,A3,A104,A1004V,A1004 - 11N 유무선공유기
N604Vplus,N604V,N604Rplus-i,N604Rplus,N604R,N604plus-i,N604plus,N6,N5-i,N5,N3-i,N3,N2plus-i,N2plus
N2Eplus,N2E,N1plus-i,N1plus,N1E,N104V,N104R,N104Q-i,N104Q,N104plus-i,N104plus,N104K,mini2,mini3,N6004R
MobileAP1,N604Black,N104Black,N604Tplus,N604T,N704V3,N704BCM,N704-A3,N702BCM,N604S,N604A,N104S-r1,EW302N - 유선공유기
T16000,T24000,V504,T3004,T3008
Cerber 랜섬웨어 기능 추가
사진파일 등 파일 유효성을 검사해 올바르지 않은 파일일 경우, 암호화를 수행치 않는다. 많은 자동분석머신에서 가짜 그림, 문서파일을 생성하고 이 파일의 변화를 모니터링 해 랜섬웨어 동작을 탐지하는 기능을 제공하는데 그것을 우회하기 위한 것으로 보임. 최대한 분석 시간을 늦추는 효과를 기대할 수 있다. 기사원문
안드로이드 애드웨어 GhostClicker
구글 플레이에 업로드된 340여개 앱에서 발견된 광고 자동클릭 애드웨어. 이중엔 “Aladdin’s Adventure’s World” 같은 500만 다운로드 이상을 기록한 앱도 있다. 대게 기기 속도향상 앱, 클리너엡, QR 스캐너 등에 포함. Trend Micro 분석보고서
