일일 보안이슈

ExploitAlert

A M Technologies SQLi
Apple iOS < = 10.3.1 kernel exploit
MediaWiki < 1.29.1 – Multiple Vulnerabilities
Visual Chile CMS SQLi
Xupload – Arbitrary File Upload

신종랜섬웨어 Defray

ProofPoint 가 발견한 신종랜섬웨어 Defray. 8월 중 선택적 대상에게만 활동하는 두 랜섬웨어를 포착. 하나는 주로 Healthcare 산업과 교육업을 타겟으로 했고, 나머진 제조업과 기술산업을 타겟으로 했다. C2서버 호스트명에 따라 Defray로 명명. 워드 문서가 첨부된 이메일로 유포. 영국과 미국을 대상. 워드문서 내에는 임베디드된 실행파일이 포함. (정확히는 OLE packager shell object)
관련샘플

defrayable-listings[.]000webhostapp[.]com
kinaesthetic-electr.000webhostapp[.]com

안드로이드 랜섬웨어 원클릭 제너레이터(?)

Symantec은 해킹포럼과 중국내 유명 소셜 네트워크 서비스 광고를 통해 해커가 되고싶은 사람들이 다운로드 할 수 있는 안드로이드용 TDK(Trojan Development Kits, 악성코드 개발 키트)를 발견. 매우 쉽고 간단하게 커스텀 랜섬웨어를 개발할 수 있다. UI를 통해 커스터마이징 할 수 있는 항목은 다음과 같다.
– 랜섬웨어 언락 키
– 랜섬웨어 아이콘
– 코드 난독화에 사용될 기법
– 감염기기에 표시될 화면

위 항목들을 설정하고 ‘Create’버튼만 누르면 랜섬웨어를 생성. 사용료를 지불하면, 외부 저장소에 ‘ready-to-ship condition’상태로 랜섬웨어가 생성된다. 기사원문

구글오류로 일본 인터넷 1시간 가량 불능사고

지난 8/25(금) 12:22PM ~ 1:01PM 까지 일본에서 한시간 가량 ‘인터넷 정전’ 발생. 12:22 PM 발생한 BGP route hijack 이 원인. BGP는 메이저 ISP 업체간 상호연결에 사용되는 라우팅 프로토콜. ISP들이 자신의 네트워크에 어떤 IP가 사용가능상태인지 공지하는데 의존적이다. BGP route hijack 은 ISP 측이 그들이 서비스하지 않는 잘못된 IP주소블럭을 공지했을 때 발생. ISP 들은 BGP route table 에서 AS(Autonomous System) 번호로 식별된다.
구글(그 규모로 인해 자신만의 고유 AS 번호를 갖고있는)은 실수로 일본 ISP 업체들 소유의 IP블럭을 공지, BGP route hijack 이 발생했다. 이로인해 Verizon 등 다른 ISP 업체들은 일본으로 갈 트래픽을 구글 서버로 전송하기 시작. 결과적으로 일본에 인터넷 정전을 발생시켰다. 기사원문

익명의 인물, 수천대의 IoT 기기 텔넷 로그인정보 공개

PasteBin에 현재 로그인가능한 IoT 기기 대상 텔넷 로그인 정보가 6월 11일 이래로 게시돼어 있음을 Sky Security 의 연구원 Ankit Anubhav 가 발견했다. 여기엔 IP 주소, 사용자명, 비밀번호가 포함. 현재까지 1775개의 로그인정보다 여전히 동작하는것으로 확인. Mirai 등이 사용하는 기기 기본설정 로그인 정보등 포함되 해킹에 악용될 수도 있다. 발견자는 이에대한 후속조치로 소유자 및 ISP 업체에 연락했다고… 기사원문

왕좌의 게임으로 위장한 중국내 공격 캠페인

최근 이슈화된 왕좌의 게임 유출본으로 위장한 공격캠페인이 포착됐다. 지난 주 “Wanna see the Game of Thrones in advance?”란 제목으로 피싱 이메일이 유포중임을 포착. 파워쉘을 실행하는 바로가기가 포함된 docx 문서를 첨부해 유포했다. 파워쉘은 9002 RAT를 설치하는 역할. 중국소재 공격그룹으로 알려진 APT17(a.k.a Deputy Dog, Group 27) 가 이 캠페인의 배후에 있는것으로 보인다. 기사원문

UMCI 와 IE, (CVE-2017-8625 분석)

UMCI 는 User Mode Code Integrity 의 약자. 유저모드 코드 무결성을 점검. 보통 UMCI 는 신뢰할 수 없는 바이너리의 실행을 방지하는 역할. 이로인해 WinOS 에서 코드실행을 좀 까다롭게 한다. 이 포스트는 보통은 차단되는 오브젝트를 예로 들어 UMCI 를 우회하는것을 소개한다. MSHTML 와 CHM 을 이용한 방법. (8월 업데이트로 패치된 상태)