2017.05.29 – Daily Security Issue

일일 보안이슈 Houdini Worm 소스코드 공개 4년정도 활동해온 Houdini(H-Worm), 2014년에는 아시아-태평양지역에서 활동, 지난해동안은 중동지역에 관련해 활동해왔다. Recored Future가 발표한 자료에 따르면, paste site 들에서 VB로 작성된 악성스크립트가 증가하는것을 발견했고, 조사결과 이것은 Houdini Worm 의 소스코드로 밝혀졌다고 한다. 제작자는 단체가 아닌 개인인 것으로 보인다. 이 개인이 Houdini VBscript 를 지속적으로 업데이트하고, C2서버 주소 또한 갱신중인것으로 보인다고…

Details

2017.05.26 – Daily Security Issue

일일 보안이슈 Samba 취약점, 리눅스 PC 위협 CVE-2017-7494 로 분류된 이 취약점은 리눅스 기기에 7년동안 알려지지 않은채 남아있던 RCE 취약점. Samba 는 Windows, Linux, UNIX, IBM System 390, OpenVMS 를 포함하여 현재까지도 가장많이 쓰이는 기능(프로토콜)중 하나이다. 주요 기능은 비 윈도우즈 OS 기기에서 윈도우즈 OS 기기와 네트워크를 통한 파일, 프린터 공유를 할 수 있게 해주는 것.…

Details

2017.05.25 – Daily Security Issue

구글 전문가 윈도우즈 디펜더 리눅스로 포팅 구글 연구원 Tavis Ormandy 는 윈도우즈 디펜더 DLL을 자체제작한 툴 loadlibrary 을 사용해 리눅스로 포팅한 버전을 GitHub 를 통해 공개했다. Tavis Ormandy 이 툴을 리눅스 사용자 커뮤니티를 생각해서라기 보단, pen-test 등 순전히 보안 연구원들에게 도움이 될 목적으로 제작했다고 밝혔다. 그는 기존에 리눅스에서 윈도우 프로그램을 사용할 수 있게 하는 Wine…

Details

2017.05.24 – Daily Security Issue

일일 보안이슈 Windows 10 RCE 취약점 자세한 내용은 없고 시연 영상만 공개된 상태. 영상으론 Windows 10 에 설치된 크롬이나 파이어폭스, 오페라 브라우저로 특정 웹페이지에 방문하니 취약점이 발생 시연영상 자막파일을 이용한 타이핑 하이재킹 방법 발견 미디어플레이어들은 여러종류의 자막파일 형식을 지원한다. 현재 각각의 포맷은 고유한 기능이 있는 25개의 자막포맷이 존재. 더 나은 서비스를 제공키 위해 특정한 경우…

Details

2017.05.23 – Daily Security Issue

일일 보안이슈 신종 악성코드, Vault 7 Dump 중 7개 이용중 WannaCry 는 2개만 이용했던것과 달리, ShadowsBrokers 가 공개한 NSA 해킹툴 중 7개의 기능을 이용하는 악성코드가 발견됐다. 지난주 이미 WannaCry 외에도 NSA 해킹툴을 사용하는 악성코드가 발견됐지만 이들 또한 EternalBlue 와 DoublePulsar 두 가지만 이용했다. 하지만 ‘sqlmap’ 의 제작자 Miroslav Stampar 에 따르면 EternalRocks 라 명명된 네트워크…

Details

2017.05.22 – Daily Security Issue

일일 보안이슈 구글, 모든 안드로이드 기기에 행위기반 악성코드 스캐너 추가 Google Play Protect 는 구글에서 안드로이드 OS 에 새로 추가한 행위기반 악성코드 탐지 기능. Play Store 앱의 일부로 동작하는 이 기능은 앱 사용분석 및 머신러닝 기능이 포함된다. 이 기능을 이용하기 위해 별도의 설치나 활성화가 필요없다. 기사원문 WannaCry 복호화툴 추가 출시 프랑스 보안회사 Quarkslab 의 Adrien…

Details

2017.05.19 – Daily Security Issue

일일 보안이슈 WordPress revslider 플러그인 웹쉘업로드 취약점 revslider(Slider Revolution)는 프리미엄 테마에서 가장 많이 포함되어 같이 팔리는 슬라이더 제작 플러그인. 이 플러그인에 존재하는 웹쉘 업로드 취약점. POC, 압축파일 비밀번호 fir3.hawk5 시연영상 Zomato 침해사고발생, 1700만 사용자 이메일/패스워드 판매중 Zomato 는 인도의 가장 큰 온라인 레스토랑 가이드 서비스업체. 침해사고 발생 이후 해당 사이트의 사용자정보 1700만건이 사용자 이메일주소와 해쉬화된…

Details

2017.05.18 – Daily Security Issue

일일 보안이슈 WannaCry, Lazarus 와의 또 다른 연결고리 시만텍은 구글의 연구원 Neel Mehta 가 WannaCry 랜섬웨어와 Lazarus 공격그룹과의 연관성을 바이너리 유사도를 근거로 발표한 이후, 또다른 연관성이 있음을 블로그를 통해 발표했다. 이번에 새로 밝혀진 사실은, Lazarus가 독점적으로 사용하던 공격도구가 초기버전의 WannaCry에도 사용된 적 있단 점이다. 이 WannaCry 초기버전에는 SMB를 통한 전파기능이 없었다. Lazarus 에서 사용된 이…

Details

2017.05.17 – Daily Security Issue

일일 보안이슈 윈7 32bit 커널스택 유저모드 노출 취약점 win32k!NtUserCreateWindowEx 함수를 이용한 커널영역의 비초기화 스택메모리를 유저모드에서 확인할 수 있는 취약점. POC1 POC2 ShadowBrokers 추가 0-day 제한된 공개예정 이번엔 모두에게 공개치 않고, 비용 지불시(Wine of Month Club 가입시) 매달 새로운 툴 공개받는 조건. 좋으면서 나쁜소식. 좋은 이유는 전체 공개 전 패치를 완료할 수 있기 때문이고, 나쁜 이유는…

Details

2017.05.16 – Daily Security Issue

일일 보안이슈 Lazarus, WannaCry 의 배후일수도 구글연구원 Neel Mehta는 트위터를 통해 두 악성코드 샘플해쉬를 공개했다. 각 샘플은 2017년 2월의 WannaCry 랜섬웨어와 Lazarus 공격그룹이 2015년 2월 사용한 샘플이다. 북한에서 활동하는 공격그룹을 잘 알려진 Lazarus 가 사용했던 인코딩 알고리즘과 WannaCry에서 쓰인 인코딩 알고리즘이 동일하다고 말했다. 물론 동일알고리즘을 사용한다고 해서 동일 제작자라 볼 순 없다. 코드의 단순 복/붙일…

Details