일일 보안이슈

BadRabbit 랜섬웨어 복호화 가능성

몇몇 아주 운좋은 사용자는 BadRabbit에 감염되더라도 몸값지불 없이 파일을 복호화 할 수 있다. 랜섬웨어 개발자의 작은 실수 때문. Kaspersky 에 따르면 BadRabbit은 Volume Shadow Copy 를 삭제하지 않는다. 볼륨 쉐도우 카피는 윈도우즈 OS가 제공하는 PC 스냅샷 기능. 암호화 동작 방식이 원본 파일의 복사본을 생성하고 복사본을 암호화 하고, 원본을 삭제하는 방식으로 이뤄지기 때문에 볼륨 쉐도우가 삭제되는 파일의 스냅샷을 확보하는 것. 거의 대부분의 랜섬웨어는 감염즉시 볼륨쉐도우 복사본부터 삭제한다.
또한 다른 디스크-코더 타입(파일시스템 접근이 아닌 물리디스크로 접근해 암호화 하는 것)랜섬웨어와 마찬가지로 BadRabbit 또한 MBR을 암호화한다. 부팅화면을 자체제작 랜섬노트로 바꾸기 때문. 이 화면에서 ‘personal installation key#1’값이 노출되는데, 감염PC는 토르 사이트에 이 키를 입력해 본인 인증을 받아야 한다. 카스퍼스키는 이에 대해 아래와 같이 밝혔다.

“As part of our analysis, we extracted the password generated by the malware during a debugging session and attempted to enter this password when the system was locked after reboot,”

“The password indeed worked and the boot-up process continued.”

문제는 이 방식은 부트로더만 우회하지 암호화 된 파일을 복호화 하진 않는다는 점. 하지만 랜섬웨어가 dispci.exe 의 메모리에서 암호화 키를 삭제하지 않았기에 dispci.exe 프로세스가 종료되기 전 복호화키를 꺼낼 수 있는 여지는 있다. 대게 극도로 제한된 테스트 환경에서만 복호화 가능. 기사원문

RIG EK로 유포되는 Matrix 랜섬웨어

Jérôme Segura 는 Matrix 랜섬웨어가 RIG EK 로 유포되는것을 포착. Matrix 랜섬웨어의 첫 릴리즈는 2016년 말, 활동이 포착된건 2017년 4월이다. 그간 활동이 서서히 감소해 왔는데 EK를 통해 재배포되는건 이례적. IE취약점 CVE-2016-0189 와 플래시 취약점 CVE-2015-8651 을 주로 사용한다. 기사원문

사용자 인터렉션 없이 윈도우즈 로그인 크리덴셜 탈취 방법

MS 는 최근 최근 OS 에 대해서만 해커가 어떤 사용자 상호작용 없이도 NTLM 패스워드를 탈취할 수 있는 취약점을 패치. 여기에는 어떤 고급 기술도 필요치 않는데, 단지 윈도우즈 폴더 하위에 악성 SCF 파일을 드랍하는것. 드랍된 SCF 파일은 알수없는 버그로 인해 실행되게 되는데, 실행 PC의 NTLM 패스워드 해쉬를 탈취하고 원격 서버로 전송할 수 있다.
윈도우즈 폴더가 공유폴더로 노출될 경우 더욱 위험할 것으로 생각되지만 다행히 모든 종류의 공유폴더가 취약한건 아냐… 패치는 윈도우즈 10과 서버 2016제품군만 출시. 아직 취약점 원인은 알려지지 않았다. 기사원문

MS, 취약점 점검 오픈소스 스캐닝 도구 Sonar 공개

웹서버 대상 MITM, XSS 등 각종 취약점 및 오류 스캔 가능. 점검 가능한 대략적 목록은 아래와 같다.
기사원문, 소스코드, Github, 홈페이지
– disallowed-headers
– disown-opener
– no-protocol-relative-urls
– ssllabs
– strict-transport-security
– x-content-type-options
– validate-set-cookie-header
– no-vulnerable-javascript-libraries

분석도구 Autoruns 우회기법

sysinternals 분석도구 process explorer, procmon, autoruns 등등은 분석에 거의 필수적으로 사용되는 매우 유명한 시스템 모니터링 도구. 이중 윈도우OS에 다양한 종류의 ‘자동실행’을 모니터링하는 autoruns 를 우회할 수 있는 기법에 대한 설명. 핵심은 확장자가 명시되지 않은 실행파일은 .com 이 .exe 보다 먼저 실행된다는 것을 노린 것. 자세한 내용은 conscioushacker 블로그 참고

“the PATHEXT environment variable looks for the ‘.COM’ extension before ‘.EXE’”