2017.02.16 – Daily Security Issue

일일 보안이슈 RSA 라이브 동영상 https://livestream.com/accounts/16560085/events/6934059/player?width=675&height=380&enableInfoAndActivity=true&defaultDrawer=&autoPlay=true&mute=false 구글 때문에(?)…네이버-다음, https 전면 도입할 듯? 구글의 정책에 따라 크롬 브라우저로 네이버와 다음에 접속하면 “이 사이트에 대한 연결은 안전하지 않습니다’’라고 표시. 이러한 구글의 보안정책에 국내업체들은 로그인을 하지 않은 첫 화면에서까지 HTTPS를 적용하라는 것은 인증 구매 비용 증가와 웹 서버 부하 문제 등 효율성 측면에서 부적절하다는 의견. 네이버는 첫 화면을…

Details

2017.02.15 – Daily Security Issue

일일 보안이슈 윈10 모바일, 잠김상태에서 개인 사진 노출되는 버그 브라질 출신 Wallace Da Paula 는 윈도우 10 모바일 OS 에 잠금화면을 우회하고, 이미지 갤러리에 접근할 수 있는 버그가 있다는 것을 발견했다. 이 버그는 어떤 전문지식도 필요없이 30초정도면 수행 가능하다고 밝혀. 단, 휴대폰에 물리적으로 접근해야만 해. 1. 윈10 모바일폰에 접근, 잠금화면의 카메라 앱으로 사진 촬영 2.…

Details

2017.02.14 – Daily Security Issue

일일 보안이슈 MS 오피스 365 새로운 보안기능 선뵈 MS는 Office 365 Secure Score, Threat Intelligence Private Preview, Advanced Data Governance Preview 를 포함한 오피스 365의 새로운 기능을 공개했다. Secure Score 는 사용자의 보안설정을 점수로 보여주는 보안성 점검 도구. Threat Intelligence 의 자세한 내용은 아직 일부에게만 공개된 상태. Advanced Data Governance 는 중요 데이터를 구분하고 중복…

Details

AtomBombing – Stage1

한 때 모든 위도우즈 버전에서 돌아가는 막을 수 없는 공격이라며 보안업계를 흔들었던 인젝션 기법 아톰보밍(AtomBombing)을 소개하고자 합니다. 이 기법의 요지는 인젝션에 많이 사용되는 CreateRemoteThread() 나 WriteProcessMemory() 없이도 원하는 프로세스에 실행코드를 주입할 수 있다는 점입니다. 따라서 유저모드 API기반으로 인젝션을 탐지했다면, 많은 부분 우회를 할 수 있습니다. 또한 Win10 에서도 잘 동작한다는 점도 이 기법의 유명세에 한…

Details

2017.02.13 – Daily Security Issue

일일 보안이슈 NETWEEN E110i 제품 사용 주의 권고 KISA 에 따르면 Netween 사의 IP 카메라 E110i 에서 백도어와 관리자 인증우회 등의 취약점이 존재하는 것으로 알려졌다. Netween E110i 모델 버전 3.0.9 이하면 업데이트 필요 보안 블로그 수십개의 글로벌 은행을 대상으로 한 공격 최소 지난 2016년 10월 부턴 지속된것으로 보이는 31개국 100개 이상의 기관을 대상으로 한 워터링…

Details

BAT – 자동으로 비밀번호로 압축하기

직업적 특성상 악성샘플을 다룰 일이 많습니다. 특히 이메일 등 외부와 샘플을 공유해야 하는 경우 일반적인 압축파일이라면 이메일 서비스 제공업체의 바이러스 탐지 로직에 따라 차단되는 경우가 많습니다. 그렇다고 샘플을 매번 압축하고 비밀번호 거는 일은 여간 귀찮을 일이 아닐 수 없죠. 압축한다고 프로그램을 만들 순 없는 노릇이고, 간단하게 배치파일 스크립트를 작성했습니다. 잘 써주셨으면 좋겠습니다. 참고 https://www.dotnetperls.com/7-zip-examples 주의사항…

Details

2017.02.11 – Daily Security Issue

일일 보안이슈 HADOOP 취약한 기본 보안설정 기본설치시 HDFS 는 ADMIN 계정의 허용 호스트를 0.0.0.0 에 바인딩. 이로 인해 관리자 계정 탈취에 성공한 외부 공격자가 테라바이트 단위의 데이터를 순식간에 파괴할 수 있어. 그리고 지난달 그 공격이 실제로 발생. 공격자는 아래와 같은 폴더를 남겨 /NODATA4U_SECUREYOURSHIT /PLEASE_README 보고서 기사원문 Unanet 백도어 인증우회 Unanet 은 미국산 웹 기반 end-to-end…

Details

중국인 이력서로 위장한 HWP 악성코드

1. 개요 하우리에 따르면 지난 2월 6일 한국계 중국인 이력서로 위장하여 이메일을 통해 유포된 것으로 보이는 악성파일 ‘이력서-이광희.hwp’ 가 포착되었다. 신년을 맞아 인력수급이 한창인 지금 최근 급증하는 한글파일로 위장한 악성코드 중 하나인 이 악성코드를 분석하고, 대응책을 알아보겠다. 관련기사: http://www.asiae.co.kr/news/view.htm?idxno=2017020616551290957 2. 파일정보 항목 내용 파일명 이력서-이광희.hwp 파일 타입 HWP 파일 크기 24,576 bytes MD5 16a3f7b7191fc3c70b3a9aad7dd44a25 설명…

Details

2017.02.10 – Daily Security Issue

일일 보안이슈 워드프레스 REST API 취약점 공격 분포 이 취약점은 지난 1월 26일 부로 4.7.2 보안패치로 해결됐지만 시간이 갈 수록 이 취약점을 이용한 공격이 심해지고 있다. 최근 REST API를 이용한 공격 추이. 기사원문 관련 글 AthenaGo RAT C&C통신에 Tor2Web 이용 Cisco Talos 보안연구원은 새롭게 출현한 WinOS 대상 RAT AthenaGo 가 C&C 서버와 통신하는데 Tor2Web 프록시를…

Details

Debugging Malicious ASP

악성코드 분석가를 위한 ASP 분석환경 구성 최근 웹서버에 업로드된 악성 ASP 웹쉘파일을 분석할 일이 있었습니다. 다행히 윈도우 분석환경은 마련되 있었기에 ASP 분석을 위한 설정만 추가하면 되어 쉽게 해결할 수 있었습니다. 악성 웹쉘은 보통 PHP나 ASP로 많이 작성돼있습니다. 이번 기회에 ASP를 위한 분석환경 구성법을 문서화하면 좋겠다 싶어 이 글을 작성합니다. 환경구성은 앞으로 아래와 같은 순서로 진행될…

Details