2017.05.18 – Daily Security Issue

일일 보안이슈 WannaCry, Lazarus 와의 또 다른 연결고리 시만텍은 구글의 연구원 Neel Mehta 가 WannaCry 랜섬웨어와 Lazarus 공격그룹과의 연관성을 바이너리 유사도를 근거로 발표한 이후, 또다른 연관성이 있음을 블로그를 통해 발표했다. 이번에 새로 밝혀진 사실은, Lazarus가 독점적으로 사용하던 공격도구가 초기버전의 WannaCry에도 사용된 적 있단 점이다. 이 WannaCry 초기버전에는 SMB를 통한 전파기능이 없었다. Lazarus 에서 사용된 이…

2017.05.17 – Daily Security Issue

일일 보안이슈 윈7 32bit 커널스택 유저모드 노출 취약점 win32k!NtUserCreateWindowEx 함수를 이용한 커널영역의 비초기화 스택메모리를 유저모드에서 확인할 수 있는 취약점. POC1 POC2 ShadowBrokers 추가 0-day 제한된 공개예정 이번엔 모두에게 공개치 않고, 비용 지불시(Wine of Month Club 가입시) 매달 새로운 툴 공개받는 조건. 좋으면서 나쁜소식. 좋은 이유는 전체 공개 전 패치를 완료할 수 있기 때문이고, 나쁜 이유는…

2017.05.16 – Daily Security Issue

일일 보안이슈 Lazarus, WannaCry 의 배후일수도 구글연구원 Neel Mehta는 트위터를 통해 두 악성코드 샘플해쉬를 공개했다. 각 샘플은 2017년 2월의 WannaCry 랜섬웨어와 Lazarus 공격그룹이 2015년 2월 사용한 샘플이다. 북한에서 활동하는 공격그룹을 잘 알려진 Lazarus 가 사용했던 인코딩 알고리즘과 WannaCry에서 쓰인 인코딩 알고리즘이 동일하다고 말했다. 물론 동일알고리즘을 사용한다고 해서 동일 제작자라 볼 순 없다. 코드의 단순 복/붙일…

WannaCryptor 공개된 자료 정리

WannaCry 정보정리 이 글은 https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168 를 번역한 내용입니다. 개요 알려진 이름 : WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY 감염벡터 : MS-17-010 패치 안된, WIN10 이하 모든버전의 윈도우, 자가전파에 EternalBlue1 MS17-010 사용 몸값 : $300 ~ $600, 샘플 내 ‘rm'(remove) 명령어 존재, 샘플 충돌시 리셋하기 위한 것으로 추정 백도어 : 전파를 위해 감염PC 내 존재하는 RDP 세션에…