2017.03.08 – Daily Security Issue

일일 보안이슈 韓 공격에 中 해커조직 총동원령! 국방 정보 유출까지 ‘양동작전’ 중국 유명 해커조직들, 국내 웹사이트 타깃 사이버 공격에 대거 참전 ‘Sykipot’ 악성코드 유포조직, 국방 분야 정보 탈취 시도…사이버전 본격화 기사원문 위키리크스, CIA 가 사용하는 해킹툴과 기능 상세공개 WikiLeaks 에 따르면 513MB 의 8,761개 문서를 공개(Vault 7 이라 명명). (토렌트로 다운가능 비밀번호) 이 문서에는 여러…

Details

VenusLocker Ransomware

1. 개요 최근 들어 한국을 겨냥한 랜섬웨어가 늘고 있다. 그중 비너스락커(VenusLocker) 랜섬웨어가 일정표로 위장해 유포되고 있어 사용자들에게 각별한 주의가 요구된다. 비너스락커 랜섬웨어는 바로 가기 파일 생성 시 확장자가 보이지 않는 점을 이용해 파일명에 .doc 를 붙여 워드 문서로 위장했다. 이는 정상 파일로 보이기 때문에 사용자는 아무 의심 없이 파일을 실행할 수 있다. 본 보고서는 비너스락커…

Details

2017.03.07 – Daily Security Issue

일일 보안이슈 세계 최대 스팸 네트워크, DB 유출 Chris Vickery 와 Steve Ragan 에 따르면 악명높은 스팸기관 RCM(River City Media) 과 관련된 DB가 적당한 보안조치가 취해지지 않고, 네트워크에 연결된 채 노출된것을 발견했다고 한다. 이 DB는 14억개에 달하는 사용자 정보를 포함하여 기업 운영에 관한 민감정보가 평문으로 저장돼있었고, 접근에 어떠한 사용자 인증도 필요치 않았다. 사용자정보에는 수십억개의 이메일계정,…

Details

2017.03.06 – Daily Security Issue

일일 보안이슈 VaultPress, MITM 을 통한 RCE 취약점 MITM 취약점이 VaultPress 1.8.4 워드프레스 플러그인에서 발생, 이로인해 공격자가 평문 통신을 읽을 수 있고, 워드프레스 호스트에서 PHP 코드를 실행할 수 있다. 아직 패치되지 않은 상태. VaultPress 백엔드서버와의 통신에서 서버측 HTTPS 인증서의 무결성 검증을 하지 않아 발생. MITM 상황하에 모든 트래픽을 R/W 할 수 있다. OVE-20160728-0002 상세분석보고서 대전광역시…

Details

2017.03.03 – Daily Security Issue

일일 보안이슈 Dharma 랜섬웨어군, 복호화 프로그램 출시 2017년 3월 1일 gektar 라는 유저는 Pastebin 을 통해 Dharma 랜섬웨어군에 대한 모든 복호화 키를 공개했다. gektar가 누군지, 왜, 어떻게 이런일을 하는지 알려진바는 없으나 그가 Dharma 소스코드에 접근할 수 있다는 여러 정황이 포착됐다. 기사원문 DblTek GoIP GSM 백도어 발견 홍콩에 위치한 IP 전화기 등 VoIP 장비를 생산하는 DblTek…

Details

2017.03.02 – Daily Security Issue

일일 보안이슈 Dridex 파밍 악성코드 AtomBombing 기법 사용 Magal Bax 는 Dridex 신규 변종(version 4)이 탐지회피를 위해 AtomBombing 기법을 추가한 것으로 밝혀졌다. Dridex 는 매우 잘 알려진 파밍형 악성코드로 인터넷 뱅킹 사이트로 향하는 감염PC 트래픽을 모니터링하는 악성코드이다. 워드 문서에 포함된 매크로로 유포되고, 금융정보를 탈취한다. AtomBombing 기법 번역본 기사원문 9개 유명 암호관리 앱, 비밀번호 유출 가능성…

Details

C# – VenusUnlocker

개요 한국형 랜섬웨어 Venus Locker 가 이슈화 됐습니다. 정교한 한글번역, 정말 읽고 싶게 만드는 파일명 선정, 그리고 pdb의 한글경로 및 그럴싸한 오타까지. 공격자 국적을 유추할 수 있는 단서가 많이 나오는 랜섬웨어 샘플입니다. 복호화 가능여부 이 랜섬웨어는 C&C 서버 접근 성공 여부에 따라 사용하는 암호화 키가 다릅니다. 성공 시에는 PC 정보를 기반으로 키를 생성 및 서버로…

Details

2017.02.28 – Daily Security Issue

일일 보안이슈 워드프레스 플러그인 NextGEN Gallery 에서 SQL 인젝션 취약점 발견 사용자가 워드프레스 웹사이트 DB의 사용자정보 등 민감한 데이터를 볼 수 있어, NextGEN 은 16.5백만 다운로드를 기록한 유명 갤러리 플러그인. 이 취약점을 발견한 Sucuri 에 따르면 NextGEN 의 기본 설정인 태그 클라우드 갤러리 기능을 이용하거나 해당 사이트의 회원이 포스트(글)을 쓸 수 있는 권한이 있다면 이…

Details

2017.02.27 – Daily Security Issue

일일 보안이슈 CloudBleed 사태 수백만개의 유명사이트들이 이용하는 클라우드페어(CloudFare) CDN에서 하트블리드 사태와 유사하게 임의 메모리를 읽을 수 있는 서버사이드 취약점이 발견됐다. 클라우드페어는 5.5백만개 이상의 웹사이트가 사용하는 서비스로, CDN 외에 웹사이트 보안최적화, 퍼포먼스 향상등의 역할을 한다. CloudFare 를 이용하는 국내 사이트는 개드립넷, 오늘의 유머 등이 포함된다. 임의 메모리에 접근하는 동안 평문화된 패스워드가 노출될 수도 있어 주의를 요한다.…

Details

How to analyze ppv in IDA

개요 분석을 하다 보면 COM Object 를 생성하는 함수인 CoCreateInstance() 란 API를 많이 접하게 됩니다. MSDN 은 이 함수를 “특정 CLSID1 를 통해 이와 연관된 초기화되지 않은 오브젝트를 생성하는 함수” 라고 설명합니다. 좀 풀어서 설명하자면, OS 와 기설치된 모듈에 구에받지 않고 어디에서든 동일한 기능을 쓸 수 있도록 지원하는 함수인데요, 쓰고자 하는 기능을 CLSID 를 통해…

Details