2017.04.20 – Daily Security Issue

일일 보안이슈 NSA 공개 해킹 툴, Eternalromance 툴 분석 360 Security, 중문 VirtualBox: virtio-net 를 통한 guest-to-host out-of-bounds 쓰기 가상 virtio 네트워크 어댑터(기본설정 아님)를 사용한 VBox VM 이 노출. 게스트 커널이 trusted userland host process에 데이터를 쓸 수 있는 취약점. CVE-2017-3575. POC VLC Media Player 2.2.3, DecodeAdpcmImaQT BOF POC, 시연영상 MS Windows taskschd.msc Local SYSTEM…

Details

2017.04.19 – Daily Security Issue

일일 보안이슈 러시아출신 해커 RaaS 다크웹에 저렴하게 판매중 Karmen 이라 명명된 이 RaaS 변종은 교육용 랜섬웨어 Hidden Tear를 기반으로 제작됐다. 러시아어를 구사하는 DevBitox 란 유저는 175$에 이 를 판매중이다. Karmen은 웹기반 대쉬보드를 제공한다. 또한 가상환경이나 분석툴 감지시 디크립터를 삭제하는 특징이 있다. 자세한 내용은 블로그 와 기사원문 참고 Edge 브라우저의 세 가지 보안 취약점 첫 번째…

Details

2017.04.18 – Daily Security Issue

일일 보안이슈 ShadowBrokers 공개 툴 MS 사전 패치완료 첫 공개당시엔 가장 강력한 공격툴로 생각했지만, 분석결과 이 툴(Eternalromance)이 공략하는 대부분의 취약점은 이미 패치된 상태로 밝혀졌다. MSRC(Microsoft Security Responce Center)는 블로그를 통해 공격도구와, 그에 해당하는 패치된 취약점 식별번호를 공개했다. 하지만 Hacker House 의 보안연구원 Matthew Hickey 은 최신 패치가 완료된 Win 2008 R2 SP1 (x64)에서 FuzzBunch 툴로…

Details

INT 2E 를 활용한 Native API 호출방법

개요 비교적 최근 있었던 샘플을 분석하며 정리한 내용입니다. 고객사로 부터 악성코드가 접수됐는데, 실행이 시간이 너무 오래 걸려, 자동분석 한계시간을 초과해 분석되지 않는 이슈가 있는 샘플이었습니다. 샘플은 THOR 랜섬웨어, Locky 랜섬웨어의 변종이고 출시된진 수개월이 지났지만 여전히 활발히 활동하는 랜섬웨어 중 하나입니다. Malwares.com 보고서 에서 이번 분석에 사용한 샘플의 해쉬 및 기타 정보를 확인할 수 있습니다. 이런…

Details

2017.04.17 – Daily Security Issue

일일 보안이슈 NSA 해킹 의혹 해커조직, MS 윈도우 공격도구 공개 파장 이번에 공개된 윈도우 공격도구를 활용할 경우 관련 기술만 어느 정도 갖추고 있어도 윈도우의 모든 운영체제를 장악할 수 있을 정도로 심각하다고 우려했다.이번에 셰도우 브로커스가 공개한 파일에는 공격도구를 다운 받을 수 있는 링크와 패스워드뿐만 아니라 다수의 윈도우 해킹도구와 SWIFT 관련 은행의 HOST, IP 정보, DB 내용을…

Details

2017.04.14 – Daily Security Issue

일일 보안이슈 ‘인터파크 개인정보 유출관련 사과공지 메일’ 위장한 랜섬웨어 등장 인터파크 사칭해 고객의 개인정보 침해사고가 일어났다며 이메일 보내/북한발 의심받는 비너스락커 랜섬웨어…첨부파일 확인하면 바로 감염돼. 2,000만 고객정보 유출 전적 인터파크…놀란 가입자 노린 일종의 사회공학적 해킹. 보안뉴스, 자체분석보고서, 자체복호화도구 POC 구글 플레이스토어, 세계 420여개 뱅킹앱 목표로하는 악성앱 발견 Funny Videos 2017 로 위장한 악명높은 뱅킹 악성코드의 변종.…

Details

2017.04.13 – Daily Security Issue

일일 보안이슈 해킹된 라우터, 워드프레스 공격에 이용 워드프레스 보안팀 Wordfence는 지난 화요일 수만대의 취약한 홈 라우터(공유기)가 해킹돼 워드프레스 웹사이트 대상 해킹공격에 악용된다고 발표했다. 지난달, 워드프레스사는 다수의 고객 웹사이트에 대한 공격에서 알제리아에서 시작된 공격이 현저히 증가한것을 관찰했다. 보고서에 따르면 알제리아 텔레콤 사 소유의 만여대 이상의 IP주소가 이 공격에 이용됐다고 한다. 기사원문 악성워드문서로 유포되는 신종 Mole Ransomware…

Details

2017.04.12 – Daily Security Issue

일일 보안이슈 2017, OWASP top 10 발표 Open Applicatio Security Project(OWASP)는 지난 월요일 2017년 첫 번째 OWASP top 10 후보를 발표했다. 지난 수 년간 새로운 주제가 없던 이 순위에 두가지 신규 취약점 카테고리가 추가된게 눈에 띈다. 신규 카테고리는 “insufficient attack detection and prevention” 과 “unprotected APIs” 가 그것. 직역하자면, “불충분한 공격탐지 및 방어” 와 “무방비…

Details

How to analyze Delphi

개요 분석을 시작하면 Win32 PE 파일을 가장 많이 분석한다곤 하지만, 이 PE 파일도 컴파일러나 프레임워크에 따라 정말 세분화 되어있습니다. 당장 생각나는 것만 해도 VB, dotNet, C, C++, MFC, Delphi 까지… 풀스택 분석가의 길은 정말이지 멀고도 험하기만 합니다. ELF는 언제 하나요…? 어셈블리어만 볼 줄 알면 분석하는거 아닌가? 하는 접신의 경지에 오른 분석가분들도 계시지만 전 하찮은 미물일…

Details

2017.04.11 – Daily Security Issue

일일 보안이슈 TP-Link 3G Router, EPIC FAIL Jan Hörsch는 TP-Link 의 3g 라우터가 단 한 줄의 SMS 메시지를 통해 관리자 계정정보, WIFI SSID, WIFI 비밀번호를 뱉어내는것을 발견했다. 비밀번호를 평문으로 저장하는것은 물론 이렇게 아름답게 로긴 크리덴셜을 유출하는 버그는 근래에 보기 힘든것. 기사원문 GameStop 에서 카드정보 탈취 비디오 게임 판매업체 GameStop 에서 고객카드 상세정보가 유출된것으로 드러났다. 피해입은…

Details