ReverseNote 를 운영하고, 악성코드도 분석하고, 가끔 개발도 하고, 틈틈이 놀 줄도 아는 사람이자 풀스택 분석가가 되고싶은 목마른 다이버. "우물이 없어? 내가 팔게!"

2017.04.07 – Daily Security Issue

일일 보안이슈 암호 걸어둔 악성워드매크로문서, URL sniff 키로거 설치 문서내 악성 워드매크로로 동작하고, 악성코드가 실행된단 점에서 기존의 워드매크로와 차이점은 없으나 이메일에 비밀번호가 적혀있고, 이 비밀번호를 입력해야 문서를 열 수 있단 점에서, 자동분석 머신 등에선 분석이 불가능해지는 효과가 있다. 비밀번호를 걸면 문서 파일 자체도 암호화 되기에 정적분석이 불가능하고, 비밀번호 입력이라는 사용자 입력이 필요함과 동시에, 이메일 본문에서…

2017.04.06 – Daily Security Issue

일일 보안이슈 Adobe Flash Player 로 위장한 안드로이드 악성앱 이 악성앱은 구글 플레이 스토어에서 발견된 이후 제거된 상태이지만, 지난 2016년 11월 이후 제거시점까지 10만에서 50만 사이의 다운로드를 기록해. F11 이라 명명된 이 악성앱은 전형적인 다운로더나 랜섬웨어, 혹은 휴대폰에 어떤 악성행위를 하는것은 아니지만, 사회공학적 기법을 이용, Flash Player 사용에 19$를 결제하도록 유도한다. 안드로이드용 Flash Player 원래…

2017.04.05 – Daily Security Issue

일일 보안이슈 삼성 자체개발 OS Tizen, 취약점 40개 발견 이스라엘 보안연구원 Amihai Neiderman 이 발견한 이 취약점들은 공격자가 원격에서 수백만대의 삼성 스마트TV, 스마트시계, 심지어 스마트폰까지 해킹할 수도 있음을 보여준다. 기사원문 신종 RAT, 정상 웹사이트 C2 서버로 활용 한글 워드프로세서 문서(hwp)를 포함한 이메일로 유포되는 ROKRAT. 최근 연세대 메일서버를 통해 이메일 발송한것으로 밝혀졌다. 악성메일이 정상적으로 보이도록 공격자는…

2017.04.04 – Daily Security Issue

일일 보안이슈 파일리스 악성코드 러시아은행 공격 러시아의 두 은행이 하룻밤 사이 해커가 80만 달러를 유출할 수 있도록 도와준 파일리스 악성코드에 감염된것으로 드러났다. 감시카메라는 물론 은행은 뭔가 잘못됐단 사실을 눈치채지도 못해. 해커는 각 기계당 10만 달러치의 현금을 훔쳐가는데 채 20분이 걸리지 않았다. 기사원문 윈도우즈 NTP time 서버 잘못된 정보 전송 NTP 는 PC 시간 동기화를 위해…

2017.04.03 – Daily Security Issue

일일 보안이슈 Gigabyte 펌웨어 결함으로 UEFI Ransomware 설치 허용 지난 BlackHat Asia 2017 security conference 에서 Cylance 의 연구원들은 Gigabyte BRIX 라는 작은 컴퓨팅 디바이스의 펌웨어에 존재하는 두 가지 취약점을 공개했다. 이 취약점을 통해 공격자는 악성코드를 UEFI 펌웨어에 작성할 수 있다. 침투 테스트중 UEFI 랜섬웨어 POC 를 설치하는데 성공. 랜섬웨어의 예를 들었지만, 동일 취약점을 이용해…

2017.03.31 – Daily Security Issue

일일 보안이슈 Verizon 안드로이드폰에 스파이웨어 설치상태로 판매 거대 통신기업 Verizon 은 Evie Launcher 와 재휴해 AppFlash 라는 구글런처와 유사한 앱을 설치. AppFlash 는 구글 서치 바를 단순히 대체하는 기능이지만 실상은 사용자 검색어, 설치앱, 기타 온라인활동 들을 Verizon으로 전송. 기사원문 안드로이드 랜섬웨어 생각만큼 흔하지 않아 구글의 안드로이드 보안프로그램 매니저 JAson Woloz 는 사용자나 보안전문가들의 생각만큼 안드로이드를…

중국발 공격예고

개요 보안뉴스에 따르면 중국 최대 해커조직인 홍커연맹이 28일 한국 웹사이트 공격계획을 세우고 있는 사실이 알려지며 파장을 일으키고 있다. 홍커연맹은 지난 3월초 롯데의 사드 부지 제공 문제로 롯데 관련 사이트와 한국 웹사이트를 타깃으로 무차별 해킹 공격을 감행한 전적이 있다. 아직까지 홍커연맹과 이 공격 준비와의 정확한 연관관계는 파악되지 않았으나, 중국내 보안동향 및 위협분석 전문업체 씨엔시큐리티는 “게시물 작성자가…

2017.03.30 – Daily Security Issue

일일 보안이슈 워드프레스 플러그인 team-admin 파일 업로드 취약점 POC OPSTECH CMS 파일 업로드 취약점 POC 머신러닝 우회하는 CERBER 랜섬웨어 변종 CERBER 는 다른 랜섬웨어와 마찬가지로 이메일로 주로 유포. 이메일에는 해커의 드롭박스계정에 있는 self-extracting(자동압축해제) 아카이브형태 랜섬웨어 링크가 포함. 보통 자동압축해제에는 세 가지 경우가 있는데 VB Script, DLL, 바이너리 파일 이 그것. 스크립트는 DLL 을 로드하고 DLL…

2017.03.29 – Daily Security Issue

일일 보안이슈 iOS 10.3, 사파리 취약점 패치 아이폰이나 아이패드 사용자라면, 사파리 브라우저에서 무한 팝업창으로 인해 사용이 불가능해 지고, 해제를 위해 몸값을 지불하라는 랜섬웨어(정확힌 Scareware)를 접해봤을수도 있다. 주로 성인사이트나 무료음악 사이트 방문자들이 대상. 돈 지불하지 말것. 애플은 최근 자바스크립트 기반 랜섬웨어 유포에 사용된 사파리 브라우저 취약점을 지난 월요일 iOS 10.3 를 배포하며 패치했다. 보고서 에서 자세한…

드래그 안되는 중국어 쉽게 번역하기

개요 분석을 하다보면 중국어로 된 웹사이트 방문기회가 잦습니다. 사실 웹이야 크롬 자체기능을 이용해서 자동번역이 되기에, 번역의 질은 둘째 손 치더라도 일을 진행할 순 있습니다만 문제는 중국어만 지원하는 프로그램에서 발생합니다. 프로그램에 표시된 중국어들은 드래그가 되는 것도 아니고, 네이버에 한땀한땀 그리고 싶어도 글자가 뚜렷하게 보이는 게 아니라 막막하기만 합니다. 우린 분석가잖아요, 리소스에서 뜯어올까요? OCR 기능을 이용할 수…