포스팅 내용

국내외 보안동향

TheShadowBrokers, 대량의 Windows 제로데이 취약점 공개

TheShadowBrokers, 대량의 Windows 제로데이 취약점 공개


4월 14일, TheShadowBrokers가 steemit.com 블로그에 Equation Group 해커그룹 툴을 공개하였습니다. 이는 4월 8일에 처음으로 공개한 EQGRP-Auction-Files의 뒤를 이은 두번째 공개입니다. 



사건 요약


2016년 8월 "Shadow Brokers" 해킹그룹이 Equation Group의 기밀문서들을 탈취하고, 그 중 일부를 인터넷에 공개하였습니다. Equation Group은 NSA에 속해있는 해커조직으로, 높은 기술력을 갖고 있습니다. 


2017년 4월 8일, "Shadow Brokers"는 일부 파일들의 압축 비밀번호를 공개했습니다. 또한 일부 사람들이 압축을 해제하여 Github에 공개하였습니다. 


2017년 4월 14일 저녁, "Shadow Brokers"는 두번째로 파일들을 공개하였으며, 이번에 공개한 파일들에는 23개의 해킹툴들도 포함되어 있었습니다. (▶참고)



분석


이번에 공개된 해킹툴 중에는 odd.tar.xz.gpg, swift.tar.xz.gpg and windows.tar.xz.gpg 등이 포함되어 있었습니다. 


Windows : 윈도우 시스템에 관련된 해킹 툴로, 주로 Windows XP와 Server 2003을 타겟으로 하고 있습니다. 그 중 ETERNALBLUE는 RCE 제로데이 취약점으로, 최신버전과 업데이트 된 Windows 2008 R2 SERVER VIA SMB 및 NBT에 영향을 줍니다. 


OddJob: 윈도우에 포함되어 있는 프로그램들에 관한 자료들로, 지정된 설정파일 및 유효한 페이로드들이 포함되어 있습니다. Windows Server 2003 Enterprise(Windows XP Professional기반) 공격에 사용할 수 있습니다. 


SWIFT : SWIFT시스템에 관한 자료로서, Oracle DB 검색을 위한 SQL 스크립트가 포함되어 있습니다. 이밖에도 Excel 문서가 포함되어 있는데, 이는 Equation Group이 이미 성공적으로 공격을 성공한 은행 리스트들을 포함하고 있습니다. 



조치방법


1) 윈도우 버전 업데이트 및 패치 적용 (참고 )

2) 패치를 할 수 없는 윈도우 버전의 경우, 임시로 135,137,445 및 3389포트 임시로 닫아 놓기







참고 : 

https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation  

https://github.com/misterch0c/ 

https://github.com/x0rz/EQGRP_Lost_in_Translation/ 

http://thehackernews.com/2017/04/swift-banking-hacking-tool.html  

https://nosec.org/my/threats/1495 

https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/  

https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/ 

https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/  

https://github.com/x0rz/EQGRP_Lost_in_Translation

티스토리 방명록 작성
name password homepage