WannaCryptor 공개된 자료 정리

WannaCry 정보정리 이 글은 https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168 를 번역한 내용입니다. 개요 알려진 이름 : WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY 감염벡터 : MS-17-010 패치 안된, WIN10 이하 모든버전의 윈도우, 자가전파에 EternalBlue1 MS17-010 사용 몸값 : $300 ~ $600, 샘플 내 ‘rm'(remove) 명령어 존재, 샘플 충돌시 리셋하기 위한 것으로 추정 백도어 : 전파를 위해 감염PC 내 존재하는 RDP 세션에…

Details

2017.05.12 – Daily Security Issue

일일 보안이슈 Microsoft IIS WebDav ScStoragePathFromUrl Overflow POC OnePlus 제품 전체, 원격공격에 노출 중국 휴대폰 제조업체인 OnePlus 의 OxygenOS 4.1.3 에서 동작하는 One, X, 2, 3, 3T 을 포함한 OnePlus 모든 핸드셋 제품이 원격 공격에 노출돼있다. 밝혀진 취약점은 MitM, 과 MitM을 활용한 OS 변경(?). OxygenOS 나 HydrogenOS 가 설치된 OnePlus 기기의 OS를 전혀 다른 악성…

Details

2017.05.10 – Daily Security Issue

일일 보안이슈 MS, Windows Malware Scanner RCE 취약점 긴급패치 WIn 7, 8.1, RT, 10, Server 2016 용으로 제작된 자사 AV제품에서 발생한 RCE 취약점을 긴급패치했다. 취약한 소프트웨어는 Microsoft Malware Protection Engine(MMPE) v1.1.13704.0 이하. 윈도우즈 디펜더와 기타 다른 보안제품에 사용되는 엔진이다. CVE-2017-0290는 지난 주말 구글 프로젝트 제로팀이 발견한 취약점. 팀은 이 취약점을 ‘Crazy Bad‘라 표현하기도 했다. RCE는…

Details

2017.05.08 – Daily Security Issue

일일 보안이슈 Intel AMT 취약점 CVE-2017-5689 Intel AMT(Active Management Technology?)의 인텔 홈페이지 설명. 쉬운 한글설명은 인텔 네이버 공식블로그 참고. AMT 서비스를 제공하는 16992/16993 포트가 열려있으면 가능한 RCE 취약점 개론과 상세분석보고서 악성코드 Emote 변종 분석보고서 fortinet 블로그 Fatboy 랜섬웨어 감염자 위치따라 빅맥지수이용해 몸값설정, 소득이 높은 지역에선 더 많은 몸값을 요구 기사원문 WordPress Core 4.7.4 이하버전 CVE-2017-8295…

Details

2017.04.28 – Daily Security Issue

COOP 을 이용한 CFI 우회방법 Endgme 의 보안연구원은 Counterfeit Object-Oriented Programming(COOP, 위조된 객체지향 프로그래밍(?))기법을 통해 Control Flow Integrity(CFI) 기능을 우회할 수 있는 방법을 소개했다. Win8.1 부터 CFG(Control Flow Guard)란 이름으로 추가된 위협경감(mitigation) 기법은 Win10 에 이르러 메모리 취약점에 기반한 익스플로잇을 더 어렵게 만들었다. 기사원문과 관련 논문, 그리고 Endgame 의 발표자료자세한 내용은 추후 자체 블로그에서 상세하게…

Details

2017.04.27 – Daily Security Issue

일일 보안이슈 Hajime 봇넷, 30만대 이상의 IoT 기기 감염 Kaspersky 는 지난 2016년 10월 알려진 IoT 악성코드 Hajime 감염기기가 적어도 30만대 이상일 것이라 밝혔다. 비슷한 시기 활동안 Mirai 가 DDoS 공격 기능을 가진데 반해 Hajime 는 단순히 몇몇의 포트를 닫아 Mirai 와 유사한 위협(알려진 계정정보 브루트포스)을 차단하는 기능만을 한다. 기본적으로 P2P 봇넷으로 설계됐지만, 아직까지 이런…

Details

2017.04.26 – Daily Security Issue

일일 보안이슈 Western Digital My Cloud 인증우회 취약점 미인증 공격자는 취약점을 익스플로잇해 인증된 관리자권한을 얻을 수 있음. 이 과정에서 비밀번호는 필요치 않음. WDBCTL0020HWT (펌웨어 2.21.126) 에서 테스트 함. 모든 기기가 동일 소스를 공유하는한 다른 모델이 안전하단 보장은 없음. POC. 관리자로 로그인할 때 마다 서버는 로그인 IP와 연결된 세션을 만듬. 세션 확립시에만 기타 CGI 모듈들을 사용…

Details

C++ – SYSCALL 함수 만들기

여기서 설명할 버그는 win32k!NtGdiGetDIBitsInternal syscall 에서 발생합니다. 이 함수는 초기 윈도우 버전(적어도 Windows NT) 부터 제공되는 함수로 GetDIBits, BitBlt, StretchBlt 등의 함수에서 내부적으로 호출합니다. 구글 프로젝트 제로가 보고한 runrelated double-fetch 취약점을 패치하기위해 최근 MS 의 4월 패치에 패치 대상이 되기도 했습니다.(CVE-2017-0058, issue #1078) 이 취약점은 다른 벤더사에 보고된적도 있었지만, 활용도가 낮아 크게 이슈화 되진 않았었습니다.…

Details

2017.04.25 – Daily Security Issue

일일 보안이슈 DoublePulsar 실제 공격에 사용중 NSA와 관련된 해킹자 Equation Group 이 사용했다고 알려진, 최근 ShadowBrokers 에 의해 공개된 DoublePulsar 가 실제 공격에 이용중인 것으로 알려졌다. MS 는 최신 업데이트된 시스템에선 영향을 끼치지 않는다고 밝혔다. DoublePulsar 는 NSA 의 FuzzBunch 소프트웨어의 SMB 와 RDP 익스플로잇 페이로드이다. 이와 관련한 분석을 진행한 zerosum0x0 는 익스플로잇 프레임워크는 메타스플로잇과…

Details

쉘코드 레벨의 x86/x64 아키텍처 구분방법

개요 일반적으로 x86 과 x64용 프로세스는 소스코드단계부터 차이가 납니다. 사용하는 API나 레지스터도 그렇구요. 그렇다면 익스플로잇 등 쉘코드가 바로 인젝션되어 돌아가는 특수한 상황에서 CPU 아키텍처 별 호환성을 갖게 코딩할 수 있을까요? DOUBLEPULSAR 공격툴 분석 중 이와 관련해 재밌는 부분을 찾았습니다. 출처는 여기입니다. 들어가기 앞서 아래 스크린샷은 부분은 최근 ShadowBrokers 의 문건 공개로 핫 이슈인 Vault 7…

Details