AtomBombing – Stage1

한 때 모든 위도우즈 버전에서 돌아가는 막을 수 없는 공격이라며 보안업계를 흔들었던 인젝션 기법 아톰보밍(AtomBombing)을 소개하고자 합니다. 이 기법의 요지는 인젝션에 많이 사용되는 CreateRemoteThread() 나 WriteProcessMemory() 없이도 원하는 프로세스에 실행코드를 주입할 수 있다는 점입니다. 따라서 유저모드 API기반으로 인젝션을 탐지했다면, 많은 부분 우회를 할 수 있습니다. 또한 Win10 에서도 잘 동작한다는 점도 이 기법의 유명세에 한…

Details

2017.02.13 – Daily Security Issue

일일 보안이슈 NETWEEN E110i 제품 사용 주의 권고 KISA 에 따르면 Netween 사의 IP 카메라 E110i 에서 백도어와 관리자 인증우회 등의 취약점이 존재하는 것으로 알려졌다. Netween E110i 모델 버전 3.0.9 이하면 업데이트 필요 보안 블로그 수십개의 글로벌 은행을 대상으로 한 공격 최소 지난 2016년 10월 부턴 지속된것으로 보이는 31개국 100개 이상의 기관을 대상으로 한 워터링…

Details

BAT – 자동으로 비밀번호로 압축하기

직업적 특성상 악성샘플을 다룰 일이 많습니다. 특히 이메일 등 외부와 샘플을 공유해야 하는 경우 일반적인 압축파일이라면 이메일 서비스 제공업체의 바이러스 탐지 로직에 따라 차단되는 경우가 많습니다. 그렇다고 샘플을 매번 압축하고 비밀번호 거는 일은 여간 귀찮을 일이 아닐 수 없죠. 압축한다고 프로그램을 만들 순 없는 노릇이고, 간단하게 배치파일 스크립트를 작성했습니다. 잘 써주셨으면 좋겠습니다. 참고 https://www.dotnetperls.com/7-zip-examples 주의사항…

Details

2017.02.11 – Daily Security Issue

일일 보안이슈 HADOOP 취약한 기본 보안설정 기본설치시 HDFS 는 ADMIN 계정의 허용 호스트를 0.0.0.0 에 바인딩. 이로 인해 관리자 계정 탈취에 성공한 외부 공격자가 테라바이트 단위의 데이터를 순식간에 파괴할 수 있어. 그리고 지난달 그 공격이 실제로 발생. 공격자는 아래와 같은 폴더를 남겨 /NODATA4U_SECUREYOURSHIT /PLEASE_README 보고서 기사원문 Unanet 백도어 인증우회 Unanet 은 미국산 웹 기반 end-to-end…

Details

중국인 이력서로 위장한 HWP 악성코드

1. 개요 하우리에 따르면 지난 2월 6일 한국계 중국인 이력서로 위장하여 이메일을 통해 유포된 것으로 보이는 악성파일 ‘이력서-이광희.hwp’ 가 포착되었다. 신년을 맞아 인력수급이 한창인 지금 최근 급증하는 한글파일로 위장한 악성코드 중 하나인 이 악성코드를 분석하고, 대응책을 알아보겠다. 관련기사: http://www.asiae.co.kr/news/view.htm?idxno=2017020616551290957 2. 파일정보 항목 내용 파일명 이력서-이광희.hwp 파일 타입 HWP 파일 크기 24,576 bytes MD5 16a3f7b7191fc3c70b3a9aad7dd44a25 설명…

Details

2017.02.10 – Daily Security Issue

일일 보안이슈 워드프레스 REST API 취약점 공격 분포 이 취약점은 지난 1월 26일 부로 4.7.2 보안패치로 해결됐지만 시간이 갈 수록 이 취약점을 이용한 공격이 심해지고 있다. 최근 REST API를 이용한 공격 추이. 기사원문 관련 글 AthenaGo RAT C&C통신에 Tor2Web 이용 Cisco Talos 보안연구원은 새롭게 출현한 WinOS 대상 RAT AthenaGo 가 C&C 서버와 통신하는데 Tor2Web 프록시를…

Details

Debugging Malicious ASP

악성코드 분석가를 위한 ASP 분석환경 구성 최근 웹서버에 업로드된 악성 ASP 웹쉘파일을 분석할 일이 있었습니다. 다행히 윈도우 분석환경은 마련되 있었기에 ASP 분석을 위한 설정만 추가하면 되어 쉽게 해결할 수 있었습니다. 악성 웹쉘은 보통 PHP나 ASP로 많이 작성돼있습니다. 이번 기회에 ASP를 위한 분석환경 구성법을 문서화하면 좋겠다 싶어 이 글을 작성합니다. 환경구성은 앞으로 아래와 같은 순서로 진행될…

Details

2017.02.09 – Daily Security Issue

일일 보안이슈 IoT DDoS 악성코드 Mirai, 감염전파에 윈도우도 이용 기존 미라이는 텔넷에 딕셔너리 공격을 이용했지만 변종은 SSH 포트도 대상으로 한다. Dr.Web에 따르면 미라이가 DDoS 봇으로 이용할 수 없는 윈도우 OS라도 전파의 매체로써 사용한다고 밝혔다. 미라이가 전파에 사용하는 포트는 아래와 같이 늘어났다. – 22 – Telnet – 23 – SSH – 135 – DCE/RPC – 445…

Details

2017.02.08 – Daily Security Issue

일일 보안이슈 스마트TV 제조사 1100만 사용자 개인정보 무단수집 거대 TV 제조사중 하나인 Vizio는 1100만명에 달하는 고객정보를 비밀리에 수집하고, 이를 사용자동의 없이 외부업체에 판매한 것이 적발되어 벌금 220만달러가 부과되었다. Vizio 사의 TV가 사용자 정보를 수집하는것을 막으려면 아래의 절차를 따를것을 권고했다. 1. Open Setting Menu and Select System 2. Select Reset & Admin 3. Select Smart Interactivity.…

Details

2017.02.07 – Daily Security Issue

일일 보안이슈 16만여대의 프린터 하이재킹당해 인터넷 프린팅 프로토콜인 RAW나 Line Printer Remote services 를 통해 9100, 631, 515 번 포트로 실행되는 안전하지 않은 공용장치를 검색하는 스크립트로 이 작업을 수행했다고 밝혔다. 하이재킹 당한 프린터는 아래의 메시지를 출력한다. “Hacked. Stackoverflowin/stack the almighty, hacker god has returned to his throne, as the greatest memegod. Your printer is part…

Details