일일 보안이슈
VirtualBox 게스트 탈출 취약점
CVE-2018-2698 로 명명. Oracle VirtualBox version 5.1.30 와 VirtualBox version 5.2-rc1. 에 영향. VBVA 의 서브컴포넌트인 코어 그래픽 프레임워크에서 발견됐으며 모든 버전의 호스트 OS에 영향.
VirtualBox 가 에뮬레이팅 하는 VGA 장치는 정해진 크기의 VRAM 을 이용하는데, 이 VRAM(Virtual RAM)의 위치는 호스트 프로세스와 게스트 커널메모리가 매우 가까운 위치에 있다. 호스트와 게스트 OS간 통신을 위해 shared memory 방식을 사용하기 떄문. (host-guest shared memory interface, HGSMI) 이로인해 게스트OS 는 호스타간 파일복사, 마우스 포인터, 원할한 위도우 구현등 특정 명령어를 호스트에 전달할 수 있다.
vboxVDMACmdExecBpbTransfer 에서 발생하는 Out-of-bounds read/write 가 원인으로 자세한 분석 내용은 보고서 참고
더 커지는 위협, Monero 채굴 악성코드
Monero 코인을 채굴하는 악성코드가 점점 더 심각해지고 있다. 매주 보고되는 피해 사례가 심각한 수준으로 증가했다. 지난주에만 세 종류의 다른 공격이 보고되… 이는 급등하는 Monero 코인의 가치와 비례한다. 지난 2017년동안 보고된 Monero 채굴기를 유포하는 공격은 다음과 같다.
- Digmine
- Hexmen
- Loapi
- Zealot
- WaterMiner
- CodeFork
- Bondnet
- Adylkuzz
- CoinMiner
- Linux.BTCMine.26
- Zminer
- DevilRobber
- An unnamed botnet targeting WordPress sites
- An unnamed botnet targeting IIS 6.0 servers
- A Monero miner advertised via Telegram
- Several instances of exploit kits dropping Monero miners [1, 2]
그리고 2018년 들어 지난 3주간 보고된 공격은 다음과 같다.
- PyCryptoMiner
- RubyMiner
- A group targeting Oracle WebLogic servers
2017년 한해동안 16건의 공격이 있었다면, 2018년은 불과 한달도 되지 않은 사이 3건의 공격이 발생한 샘. 기사원문
BlackMailware, 포르노사이트 방문자 위협
포르노사이트 방문자를 대상으로 그들을 아동포르노 유포 혐의로 고발하겠다는 협박과 함께 돈을 요구하는 공격이 확산되고 있다. 방문자의 스크린샷을 유출하고 PC 정보를 수집해 협박에 이용한다. 최초 보고는 Reddit 을 통해 이뤄져. 포르노 사이트 Xvideos 에서 다운로드한 파일을 실행하니 랜섬노트가 출력됐으나 어떤 파일도 암호화 하지 않았다고 한다. 아동포르노 관련 법률이 엄격한 미국법상 어찌보면 파일암호화 보다 더 효율적인 협박책일수도… 기사원문
북한관련 공격그룹 Lazarus, 해킹툴 업데이트
Trend Micro 의 보고서에 따르면 최근 관찰된 Lazarus 발 공격에서 해킹툴이 업그레이드 된것으로 보인다. 금융업계를 대상으로 워터링홀 공격을 하고 있으며 업그레이드된 RATANKBA 악성코드를 사용중. 기사원문