일일 보안이슈
ExploitAlert
Contact Manager 1.0 ‘femail’ Parameter SQLi
PTCEvolution 5.50 SQLi
Icecream screen recorder DLL Hijacking
Microsoft Windows Kernel win32k!NtGdiGetGlyphOutline Pool Memory Disclosure
Netdecision 5.8.2 Local Privilege Escalation
CCleaner 해킹, 악성코드 배포해
CCleaner 는 Piriform 에서 제작하고 Avast가 인수한 20억건의 다운로드를 기록한 세계적으로 가장 많이 쓰이는 PC최적화 프로그램중 하나. 최근 공식 웹사이트가 해킹돼 악성코드를 유포했다. 지난 8월 15일부터 9월 12까지 공식 홈페이지를 통해 프로그램을 다운받은 사용자라면 PC를 점검할 필요가 있다. Cisco Talos 에 따르면 Avast 의 다운로드 서버가 알수 없는 공격자에게 해킹돼 원본 설치파일을 바꿔치기 한것으로 보여. 기사원문
대형포털사이트 이용자 대상 피싱
중소 쇼핑몰 웹사이트를 해킹해 포털사이트 로그인 피싱 페이지를 삽입하고, 네이버나 다음에서 검색해 접속하면 피싱 페이지로 이동시키는 공격이 발견됐다. jjencode 난독화 사용. 보안뉴스
Vevo Music Video Service 해킹
Vevo는 소니 뮤직 엔터테인먼트와 유니버셜 뮤직 그룹, 아부다비 미디어, 워너 뮤직 그룹, 알파벳 Inc 가 공동으로 창설(?)한 벤처기업. 이번에도 OurMine 소행. 3.12TB의 민감 데이터를 유출했다 주장. 기사원문
BlueBorne, 블루투스 공격
BlueBorne 은 블루투스를 사용하는 PC, 스마트폰, IoT 플랫폼 전체를 공격할 수 있는 신종 공격 기법. 이 기법을 발표한 Armis Lab 에 따르면 공격 수행에 패어링등의 과정도 필요치 않다고. 심지어 다른 기기와 페어링 된 상태의 기기도 해킹 가능. 관련 취약점은 다음과 같다. ((CVE-2017-0785, CVE-2017-0781, CVE-2017-0782, CVE-2017-0783) Armis Lab 홈페이지 에서 리눅스 기기 시연 외에도 더 많은 정보와 영상을 찾을 수 있다.
워드문서를 이용한 새로운 형태의 공격
MS 워드 문서를 활용한 새로운 형태의 공격이 사용자 정보를 수집하고 있다고 Kaspersky 는 밝혔다. 기존과 다르게 별도의 매크로, 익스플로잇, 기타 어떤 액티브 컨텐츠를 사용치 않음. 피싱 이메일 첨부파일로 유포되고 OLE2 파일포맷을 띈다. 내부엔 외부 PHP 서버로 가는 링크가 포함돼있고, MS 오피스로 파일을 여는 순간, 오피스는 PHP 링크에 접근, 이로인해 공격자는 접속한 PC에 대한 제한된 정보를 수집할 수 있게 된다. kaspersky 기술문서와 기사원문
파이썬 공식 패키지 리포지터리에 업로드된 가짜 패키지
SK-CSIRT 는 공식 파이썬 패키지 배포 리포지터리에서 정상 패키지로 위장한 각종 악성 페키지를 발견. 예를들어 urllib3-1.21.1.tar.gz 는 정상, urllib-1.21.1.tar.gz 는 정상을 위장한 악성. pip 을 포함한 여러가지 방법으로 사용자 PC에 다운로드 될 수 있다. 현재까지 알려진 가짜 패키지는 다음과 같다. 확인법 및 대응방안은 원문 참고
– acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition)
– apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms)
– bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file)
– crypt (uploaded 2017-06-03 08:03:14, impersonates crypto)
– django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api)
– pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash)
– setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools)
– telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib)
– urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3)
– urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3)
LiteBit 가상화폐 거래소 또 해킹
LiteBit.eu 는 다양한 가상화폐를 지원하는 네덜란드 소재의 가상화폐 거래소. 이번 침해사고로 두 달 간 벌써 두번째 기록. 자세한 내용은 기사원문 참고.
한글 문서를 이용한 공격
TrendMicro 는 HWP 파일내 PostScript 를 활용한 해킹공격에 관한 보고서를 발표. PostScript 자체에서 쉘코드를 실행할 순 없기에, 시작폴더등 윈도우 실행시 자동실행되는 위치에 악성파일을 드랍하는 방식으로 동작. 자세한 내용은 보고서 원문 참고.
Pirate Bay 웹사이트, 모네로 코인 마이너 삽입
해외 유명 토렌트 공유 사이트 PirateBay 웹페이지에 모네로 코인을 채굴하는 JS가 포함되, 웹사이트 방문자의 PC 리소스를 무단 점유해 채울을 시도한 사실이 포착됐다. 의외로 해킹당한 것이 아니었고, 운영진은 순순히 사실을 인정. 잠시 테스트 용도로 업로드 한 것이라 밝혀. 사이트 이용자들은 덕지덕지 붙은 광고보다 이런식의 수익을 추구하는것을 외려 더 반기는 분위기. 기사원문
