일일 보안이슈
Control Panel Link 를 활용한 악성코드
지난 2년간 중국이 주체로 여겨지는 사이버공격에서 제어판바로가기(control panel link, CPL)파일을 공격에 이용한것으로 나타났다. 이를 발견한 PaloAlto 는 이 공격을 Reaver 로 명명. 백도어로 동작하고 감염PC정보 수집 및 추가 악성코드 다운로드에 활용된다.
“The new family appears to have been in the wild since late 2016, and to date we have only identified 10 unique samples, indicating it may be sparingly used,”
“Reaver is also somewhat unique in the fact that its final payload is in the form of a Control panel item, or CPL file. To date, only 0.006% of all malware seen by Palo Alto Networks employs this technique, indicating that it is in fact fairly rare.”
기술문서 를 통해 감염 체인에 대해 정확히 살펴볼 수 있다. CPL 파일이 공격에 활용된건 이번이 처음은 아님. 2013년 브라질 발 파밍악성코드 등에서도 사용된 바 있다.
구현방법
- 감염시 SeDebugPrivilege 획득시도 후
%COMMONPROGRAMFILES%\services\
하위에 파일 드랍시도, (실패시%APPDATA%\microsoft\mmc\
에 파일 드랍) - 리소스에 임베딩된 비트맵복호화 및
%TEMP%\WUpdate.~tmp
로 드랍 WUpdate.~tmp
를 1.의 경로에(?)Applet.cpl
로 복사- 시작폴더 경로를 SeDebugPrivilege 획득여부에 따라
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup
나HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
를 참조하여 얻음 WUpdate.~tmp
의 바로가기를Windows Update.lnk
로 4. 의 경로에 생성 (자동실행)
Cookie Consent, 브라우저 내장 채굴기 드랍
쿠키사용 관련정보 팝업을 쉽게 보여주는 무료 스크립트1가 웹사이트에 가상화폐 채굴기를 드랍하는것으로 나타났다. 네덜란드 보안연구원 Willem de Groot 가 네덜란드 최대 슈퍼마켓 체인 Albert Heijn 의 웹사이트에서 발견. 원인은 cookiescript.info 에서 제공한 cookiescript.min.js
. Cookie Consent 서비스는 설치시 특정 코드블럭을 생성하고 웹사이트 관리자에게 이를 웹사이트에 포함시키게 요구하는데,(여타 SEO 나 웹 분석도구와 마찬가지로) 이중 하나의 자바스크립트 파일에서 모네로코인 채굴기 Crypto-Loot 를 브라우저에 로드. 현재 243개의 웹사이트에서 발견.
Xplico 미인증 RCE 취약점
Xplico 는 오픈소스 네트워크 포렌식 도구. 네트워크 패킷을 캡처해 어플리케이션 레벨로 파싱이 가능하다. 벤더 홈페이지 PenTest 는 세 가지 취약점을 연계해 xplico 에 RCE 를 구현. 각 취약점은 아래와 같다. 현재는 패치된 상태 POC
- http://
:9876/users/register 를 통한 숨겨진 사용자 등록기능 - 인증코드 생성에 사용한 취약한 랜덤 알고리즘
- 인증 커맨드 인젝션
- Cookie Consent 는 웹사이트 방문시 사용한 쿠키를 alert() 등으로 띄워주는 자바스크립트 플러그인, 웹사이트 운영시 준수해야 하는 쿠키 관련 법규(EU, US Cookie Law)를 준수하는데 도움이 될 목적으로 제작. 유럽과 미국은 웹사이트 방문자에게 그들의 쿠키가 어떻게 사용되는지 고지할 의무가 있다. 위반시 50만$의 벌금 부과 ↩