일일 보안이슈 Intel AMT 취약점 CVE-2017-5689 Intel AMT(Active Management Technology?)의 인텔 홈페이지 설명. 쉬운 한글설명은 인텔 네이버 공식블로그 참고. AMT 서비스를 제공하는 16992/16993 포트가 열려있으면 가능한 RCE 취약점 개론과 상세분석보고서 악성코드 Emote 변종 분석보고서 fortinet 블로그 Fatboy 랜섬웨어 감염자 위치따라 빅맥지수이용해 몸값설정, 소득이 높은 지역에선 더 많은 몸값을 요구 기사원문 WordPress Core 4.7.4 이하버전 CVE-2017-8295…
COOP 을 이용한 CFI 우회방법 Endgme 의 보안연구원은 Counterfeit Object-Oriented Programming(COOP, 위조된 객체지향 프로그래밍(?))기법을 통해 Control Flow Integrity(CFI) 기능을 우회할 수 있는 방법을 소개했다. Win8.1 부터 CFG(Control Flow Guard)란 이름으로 추가된 위협경감(mitigation) 기법은 Win10 에 이르러 메모리 취약점에 기반한 익스플로잇을 더 어렵게 만들었다. 기사원문과 관련 논문, 그리고 Endgame 의 발표자료자세한 내용은 추후 자체 블로그에서 상세하게…
일일 보안이슈 Hajime 봇넷, 30만대 이상의 IoT 기기 감염 Kaspersky 는 지난 2016년 10월 알려진 IoT 악성코드 Hajime 감염기기가 적어도 30만대 이상일 것이라 밝혔다. 비슷한 시기 활동안 Mirai 가 DDoS 공격 기능을 가진데 반해 Hajime 는 단순히 몇몇의 포트를 닫아 Mirai 와 유사한 위협(알려진 계정정보 브루트포스)을 차단하는 기능만을 한다. 기본적으로 P2P 봇넷으로 설계됐지만, 아직까지 이런…
일일 보안이슈 Western Digital My Cloud 인증우회 취약점 미인증 공격자는 취약점을 익스플로잇해 인증된 관리자권한을 얻을 수 있음. 이 과정에서 비밀번호는 필요치 않음. WDBCTL0020HWT (펌웨어 2.21.126) 에서 테스트 함. 모든 기기가 동일 소스를 공유하는한 다른 모델이 안전하단 보장은 없음. POC. 관리자로 로그인할 때 마다 서버는 로그인 IP와 연결된 세션을 만듬. 세션 확립시에만 기타 CGI 모듈들을 사용…
일일 보안이슈 DoublePulsar 실제 공격에 사용중 NSA와 관련된 해킹자 Equation Group 이 사용했다고 알려진, 최근 ShadowBrokers 에 의해 공개된 DoublePulsar 가 실제 공격에 이용중인 것으로 알려졌다. MS 는 최신 업데이트된 시스템에선 영향을 끼치지 않는다고 밝혔다. DoublePulsar 는 NSA 의 FuzzBunch 소프트웨어의 SMB 와 RDP 익스플로잇 페이로드이다. 이와 관련한 분석을 진행한 zerosum0x0 는 익스플로잇 프레임워크는 메타스플로잇과…
일일 보안이슈 위키리크스 삼성 스마트 TV 해킹도구 공개 위키리크스는 CIA 가 사용한 해킹툴 중 일부를 추가 공개했다. 이번엔 삼성 스마트 TV 일부 기종의 내장 마이크를 통해 오디오를 캡쳐할 수 있게 개발된 도구에 관한 정보다. Weeping Angel 이라 명명된 이 도구는 영국 정보기관 MI5 가 개발했다고 전해지는 도구의 확장(?) 프로그램. 실제로 두 기관은 이 프로젝트에 협을…
일일 보안이슈 운전면허증 정보 훔치는 RawPOS 악성코드 Trend Micro 는 POS 기기의 RAM scraper 형태로 동작해 존재하는 운전면허증 정보를 훔치는 RawPOS 를 발견했다고 블로그를 통해 밝혔다. RawPOS 는 가장 오래된 POS 악성코드중 하나, 적어도 2008년부터 활동한것으로 알려져있다. 기사원문 크롬, 파이어폭스 Punycode 패치 준비중 크롬과 파이어폭스 브라우저는 punycode 를 이용한 피싱을 방지하기위해 몇몇의 보호기능을 추가하려 준비중이다.…
일일 보안이슈 NSA 공개 해킹 툴, Eternalromance 툴 분석 360 Security, 중문 VirtualBox: virtio-net 를 통한 guest-to-host out-of-bounds 쓰기 가상 virtio 네트워크 어댑터(기본설정 아님)를 사용한 VBox VM 이 노출. 게스트 커널이 trusted userland host process에 데이터를 쓸 수 있는 취약점. CVE-2017-3575. POC VLC Media Player 2.2.3, DecodeAdpcmImaQT BOF POC, 시연영상 MS Windows taskschd.msc Local SYSTEM…
일일 보안이슈 러시아출신 해커 RaaS 다크웹에 저렴하게 판매중 Karmen 이라 명명된 이 RaaS 변종은 교육용 랜섬웨어 Hidden Tear를 기반으로 제작됐다. 러시아어를 구사하는 DevBitox 란 유저는 175$에 이 를 판매중이다. Karmen은 웹기반 대쉬보드를 제공한다. 또한 가상환경이나 분석툴 감지시 디크립터를 삭제하는 특징이 있다. 자세한 내용은 블로그 와 기사원문 참고 Edge 브라우저의 세 가지 보안 취약점 첫 번째…
일일 보안이슈 ShadowBrokers 공개 툴 MS 사전 패치완료 첫 공개당시엔 가장 강력한 공격툴로 생각했지만, 분석결과 이 툴(Eternalromance)이 공략하는 대부분의 취약점은 이미 패치된 상태로 밝혀졌다. MSRC(Microsoft Security Responce Center)는 블로그를 통해 공격도구와, 그에 해당하는 패치된 취약점 식별번호를 공개했다. 하지만 Hacker House 의 보안연구원 Matthew Hickey 은 최신 패치가 완료된 Win 2008 R2 SP1 (x64)에서 FuzzBunch 툴로…