일일 보안이슈
블랙박스 침투테스트의 흥미로운 결과
Hackme 의 요청으로 OO사의 네트워크에 블랙박스 침투테스트를 의뢰받은 hakin9 팀이 어떻게 테스트를 진행했고, 어떤 결과가 나왔는지에 관한 글. 먼저 사회공학기법으로 직원의 관심사항 확인.(구글링 및 Glassdoor 활용, 대상업체의 email, 직원, 급여, 복지 등 기타정보 확인) 직원이 관심있을만한 내용의 악성 이메일 작성. Koadic 툴을 이용, .hta 문서를 포함한 MS Word 문서(CVE-2017-0199)를 생성에 첨부파일로 침투시도. 결론적으로 약 3 분 안에 적어도 30 개의 쉘 연결에 성공. 블로그
일본소재 업체를 대상으로 한 ONI ransomware
디스크 와이퍼/랜섬웨어 모두 가능. 과거 분석보고서를 통해 어떻게 악성행위를 하는진 알려졌지만, 감염경로는 아직 파악되지 않은 상태였음. Cybereason 의 연구결과 스피어피싱으로 기설치된 RAT이 추가 설치한 랜섬웨어로 확인돼. 스피어피싱은 악성워드문서를 압축한 파일이 첨부된 채 배포. 기사원문
커뮤니티 사이트 클리앙, 사이트 장애인가 해킹인가
윈도우 취약점으로 인한 NTLM 암호해쉬 노출 위험
콜롬비아 출신 보안연구원 Juan Diego 는 NTLM 인증스키마 버그로 인해 원격의 공격자가 비밀번호 해쉬를 훔치거나 원격으로 취약 PC를 정지시킬수 있는 취약점에 대해 발표. MS에 2017년 5월 24일 알려 10월 18일 이후 패치됐다. 공격방법은 의외로 간단, SCF(Shell Command File)을 이용하는 것. SCF 파일은 누구나 접근할 수 있는 폴더에 평문으로 저장되는 탐색기가 파일을 여는 기본 작업을 명시할 때 사용하는 파일이다. 이런 이유로, SCF 파일은 폴더에 드랍되는 순간 실행되고, NTLM 비밀번호 해쉬를 공격자에게 전송하는 것. 최근엔 사용자의 자격 증명을 얻기 위해 Chrome 확장 프로그램과 SCF 파일을 결합한 공격이 발견됐기도 해… 자세한 내용은 Juan Diego의 발표자료와 기사원문 참고