Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 2월 3일] 주요 보안 이슈
작성일 2017-02-03 조회 1526

1. SMB(Server Meassage Block) 제로데이 취약점 PoC 공개, 여러 Windows 버전에 영향-cvss 10점
[https://www.bleepingcomputer.com/news/security/smb-zero-day-affects-several-windows-versions-including-windows-10/]
POC : [https://github.com/lgandx/PoC/tree/master/SMBv3%20Tree%20Connect]
POC 테스트 영상 : [https://twitter.com/vvalien1/status/826935182456418304/photo/1]
SMB 프로토콜 0-day 취약점의 POC 가 10, 8.1, server 2012, server 2016 등 여러 버전의 윈도우에 영향을 끼치는것으로 나타났다. 영향받는 PC는 BSOD 가 출력되거나 더 악화될 수 있어. 이에 US-CERT는 공식 주의보를 발령했다. [http://www.kb.cert.org/vuls/id/867968]

 

2. Avast 무료 랜섬웨어 복호화툴 3종 공개(HiddenTear, Jigsaw, Stampado)
[http://news.softpedia.com/news/avast-releases-three-new-decryption-tools-to-fight-ransomware-512534.shtml
[https://blog.avast.com/avast-releases-three-more-decryption-tools-for-ransomware-victims]
이번에 추가된 랜섬웨어는 교육용 오픈소스 랜섬웨어 HiddenTear, 동명 영화와 같은 랜섬노트를 사용하는 Jigsaw, Philadelphia 랜섬웨어로도 알려진 Stampado
참고 내역 : HiddenTear Ransomware의 경우 한국어 버전, KAKAO TALK 그림 포함

 

3. 워드프레스 치명적 버그, REST API 취약점
지난주 워드프레스는 세 가지의 취약점을 패치, 하지만 어제(2017년 2월 1일) 인증받지 못한 원격사용자가 워드프레스 내에 모든 페이지와 포스트 컨텐츠를 수정할 수 있는 취약점이 발견되. 이 취약점은 REST API 에서 발생, 취약점은 원격 권한상승과 컨텐츠 인젝션 버그
POC : [http://www.exploitalert.com/view-details.html?id=25855]
[http://thehackernews.com/2017/02/wordpress-exploit-patch.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29]
[http://securityaffairs.co/wordpress/55892/hacking/wordpress-zero-day-content-injection.html]
WordPress 보안 업데이트 권고
[http://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25106]
워드프레스, 조용히 0-day 취약점 수정
[https://www.helpnetsecurity.com/2017/02/02/wordpress-critical-zero-day-fixed/]
[http://www.pcworld.com/article/3164846/security/wordpress-silently-fixes-dangerous-code-injection-vulnerability.html]
[https://threatpost.com/wordpress-silently-fixed-privilege-escalation-vulnerability-in-4-72-update/123533/]
[https://www.bleepingcomputer.com/news/security/wordpress-team-fixed-a-zero-day-behind-everyones-back-and-told-no-one/]

 

4. Cisco Prime Home 취약점을 통해 해커가 사용자 집에 접근 할 수 있어
[https://www.helpnetsecurity.com/2017/02/02/cisco-prime-home-flaw/]
[http://www.pcworld.com/article/3164810/security/cisco-patches-critical-flaw-in-prime-home-device-management-server.html]
[http://www.securityweek.com/critical-cisco-prime-home-flaw-allows-authentication-bypass?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
Cisco 다중 취약점 보안 업데이트 권고
[http://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25107]

 

5. 러시아 사이버 범죄그룹 Trula, 새로운 자바 악성코드 활용
[http://securityaffairs.co/wordpress/55915/apt/turla-javascript-malware.html]
[http://www.securityweek.com/russia-linked-turla-group-uses-new-javascript-malware?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
분석: [https://securelist.com/blog/research/77429/kopiluwak-a-new-javascript-payload-from-turla/]
코피 루왁 (KopiLuwak)이라고 불리는 새로운 자바 스크립트 맬웨어가 레지스트리 키를 생성하여 대상 컴퓨터에서 악의적인 코드가 지속되도록 여러 JavaScript 레이어를 사용하여 발견을 피하는 것으로 나타났다. KopiLuwak JavaScript 맬웨어는 손상된 웹 사이트 모음을 통해 제어되며 해당 웹 사이트의 IP 주소는 악성 코드에 하드 코드된다. C & C는 Wscript.shell.run()을 사용하여 감염된 시스템에 임의의 명령을 보낼 수 있다.

 

6. BitLocker 키를 탈취할 수 있는 DMA(Direct Memory Access) 공격에 취약한 일부 윈도우 10.
[https://www.bleepingcomputer.com/news/security/some-windows-10-devices-still-exposed-to-dma-attacks-that-can-steal-bitlocker-keys/]
시연영상(45분 55초에 시작) [https://www.youtube.com/watch?v=OtwT311mlwc&feature=youtu.be]
DMA 공격은 침입자가 컴퓨터의 DMA 포트 중 하나를 통해 컴퓨터의 메모리 내용을 확보 할 수있게 해주는 소프트웨어 및 하드웨어 해킹의 조합으로, 공격의 시기에 따라 도난당한 메모리 데이터에는 BitLocker PIN, 암호화 키, 암호 및 기타와 같은 중요한 정보가 포함될 수 있다. 이는 90년대부터 존재해 온 공격으로 Microsoft는 이러한 공격 경로에 대한 보호 기능을 도입했지만 일부 Windows 10에 DMA 포트를 열어 둘 수 있는 취약점이 존재한다.

 

7. 파일 암호화 후 바로 가기(.lnk) 파일을 생성하는 Spora 랜섬웨어 분석
[http://hummingbird.tistory.com/6556]
최근 해외에서 발견된 Spora 랜섬웨어(Ransomware)는 파일 암호화 후 특정 위치에 존재하는 폴더명으로 생성된 바로 가기(.lnk) 파일을 통해 재감염 및 다른 PC로 전파할 수 있는 기능이 포함되어 있다. Spora 랜섬웨어의 대표적인 유포 방식은 메일 첨부 파일 또는 취약점(Exploit)을 이용하여 감염이 발생할 수 있다.

첨부파일 첨부파일이 없습니다.
태그