최근 한 보안연구원은 시스템을 완전히 제어하는 데 악용될 수 있는 Mac OS의 제로데이 취약점을 공개하였습니다. Siguza는 해당 취약점이 2002년부터 계속 존재한 것으로 추정하고 있다고 밝혔습니다. IOHID는 터치스크린이나 버튼 같은 HID(Human Interface Device)를 위해 설계된 커널 확장자 입니다. 이번에 공개된 취약점은 IOHID에 존재하는 로컬 권한상승 취약점으로, 이번에 발견된 취약점에 대하여 ‘IOHIDeous’라 명명하였습니다. 해당 취약점을 악용하면 커널에서 임의의 읽기/쓰기가 가능하며, 시스템 접근 권한이 있는 공격자는 해당 취약점을 악용하여 임의 코드 실행 및 루트권한을 획득할 수 있습니다. 또한 애플의 Mac OS 보안 기능인 시스템 무결성 보호(SIP: Sy..

국내외 보안동향 2018. 1. 3. 15:58

최근 삼성 안드로이드 브라우저에서 심각한 취약점이 발견되었습니다. 해당 취약점은 삼성 휴대폰을 사용하는 수억명의 사용자들이 영향을 받을 것으로 예상됩니다. 이번에 발견된 취약점은 브라우저의 동일출처정책(SOP, Same Origin Policy)을 우회할 수 있는 취약점으로, CVE-2017-17692로 등록되었으며 삼성휴대폰 5.4.02.3 이상 버전의 브라우저에서 영향을 받습니다. 이번에 발견된 브라우저의 동일출처정책(SOP, Same Origin Policy)은 악성 사이트가 동일출처정책의 제약에서 벗어나 사용자의 민감한 정보들을 읽을 수 있게됩니다. 보안전문가 그룹 Rapid7은 다음과 같이 말했습니다. 이번에 발견된 취약점은, 즉 JavaScript가 동일출처정책(SOP, Same Origin ..

국내외 보안동향 2018. 1. 2. 15:48

HiddenLotus는 "dropper"로 Lê Thu Hà (HAEDC).pdf 파일명을 가진 pdf 파일로 위장하고 있습니다. 이 방법은 매우 고전적인 방법중 하나입니다. macOS 사용자가 이 파일을 다운받으면 macOS의 백신기능이 동작하게 됩니다. 애플 회사에서 Mac OS X 10.5에서부터 도입한 이 기능은, 특수한 메타데이터로 사용자들이 인터넷에서 업/다운로드 하는 파일들에 대해 표기를 해 놓고, 해당 파일이 격리 대상이 되는지 파악합니다. 또한 사용자가 해당 파일을 실행하려고 할 때, 만약 해당 파일이 실행가능한 파일이라면 macOS 시스템은 사용자에게 경고 팝업을 띄워줍니다. 이 기능은 사용자에게 사용자 자신이 실행하려고 하는 파일이 보통 파일이 아닌 실행가능한 파일이라는 것을 알려주기..

국내외 보안동향 2017. 12. 27. 15:46

Embedthis회사의 web서버 GoAhead에서 원격코드실행 취약점이 발견되었습니다. 해당 취약점의 CVE는 CVE-2017-17562입니다. glibc 다이나믹링크와 결합하여 사용할 때, 특수한 매개변수명을 사용할 수 있는데 (예를들어 LD_PRELOAD) 이를 이용하여 원격코드실행이 가능합니다. 공격자는 요청한 본문 중 그것이 공유한 유효한 Payload를 POST 하고, /proc/self/fd/0를 이용하여 그것을 사용합니다. GoAhead는 무엇인가? GoAhead는 오픈소스로서 주로 멀티플랫폼에서 동작하는 임베디드 Web Server 입니다. eCos, LINUXm LyuxOS, QNX, VxWorks, pSOS등 다양한 플랫폼을 지원합니다. GoAhead에서 발견된 원격코드실행 취약점(C..

국내외 보안동향 2017. 12. 27. 10:56

최근 중국의 보안기업은 윈도우 정품 인증 툴로 유명한 KMSpico의 홈페이지에서 내려받는 툴에 가상화폐 채굴 악성코드가 포함되어 있다고 밝혔습니다. 일반적으로 가상화폐 채굴 악성코드에 감염되면 컴퓨터를 사용하지 않는 상황 하에서도 CPU, GPU의 사용률이 100%에 달하며, 팬이 돌아가는 속도가 빨라지면 열이 발생하는 등의 현상이 나타납니다. KMSpico는 윈도우 정품 인증 툴로, 크랙버전을 사용하는 많은 사용자들이 해당 툴을 이용하여 정품인증을 받습니다. 해당 파일을 분석해본 결과, 사용자가 KMSpico를 실행하면 컴퓨터 사용환경에 따라 32비트에서는 wuapp.exe / svchost.exe에, 64비트에서는 explorer.exe / notepad.exe에 모네로 채굴 악성코드 인젝션을 시도..

국내외 보안동향 2017. 12. 22. 14:52

최근 카스퍼스키가 모바일 백신과 성인 앱을 위장하고 있는 새로운 안드로이드 악성코드를 발견하였습니다. 해당 악성앱의 주요 악성행위는 가상화폐 채굴 및 DDoS 공격입니다. 이번에 발견된 악성앱은 Loapi라 명명되었으며, 짧은시간 내 수많은 디바이스들을 감염시켰으며, 해당 악성앱에 감염된 휴대폰들은 2일 내 베터리가 부풀어오르는 증상이 발생할 수 있습니다. Loapi는 모듈과 구조를 띄고 있으며, 이를 통해 가상화폐 채줄, DDoS 공격, 웹 방문 트래픽 리다이렉션 등 다양한 악성행위를 할 수 있습니다. 이는 2015년에 발견된 Podec과 유사하다고 밝혔습니다. 당시 악성코드 제작자들은 Podec 악성코드를 이용하여 AoC와 CAPTCHA를 우회하여 사용자들 몰래 유료정보구독을 신청하여 금전적인 피해를..

국내외 보안동향 2017. 12. 22. 10:05

北朝鮮の攻撃グループ「HIDDEN COBRA」、国内で活動した形跡 북한의 해킹그룹인 ‘HIDDEN COBRA’에 의한 APT공격이 일본을 대상으로 전개되고 있을 가능성도 있다는 사실이 밝혀졌습니다. ※ HIDDEN COBRA 조직이란? 포티넷 자료에 따르면, 포티넷에서 ‘FALLCHILL’을 관측한 것이 유일하게 일본이었다고 밝혔습니다. 포티넷 재팬이 이 그룹이 이용하는 악성코드에 의한 통신을 관측한 것입니다. 이번에 관측된 것은, 이 그룹이 적어도 2016년경부터 사용하고 있는 것으로 보이는 원격접속툴 ‘FALLCHILL’ 통신입니다. 해당 악성코드는 미국토안전보장성(DHS)과 연방수사국(FBI)이 공동조사를 통하여 백도어인 ‘Volgmer’와 함께 올해 11월 중순에 상세정보가 공개된 악성코드 이기도 합..

국내외 보안동향 2017. 12. 21. 17:33

Windows 10주년 업데이트(1607버전)에서, MS는 OS중 Content Delivery Manager 라는 한개의 기능을 추가하였으며, 이 기능은 몰래 "추천 응용프로그램"을 설치할 수 있는데 이때 사용자에게 어떠한 공지도 하지 않습니다. 몇달 전, Reddit 사용자가 Windows10 중 자신도 모르게 설치되어 있는 비밀번호 관리 프로그램을 발견하였습니다. 그 이후 Google Project Zero의 화이트 해커인 Tavis Ormandy 가 확인해본 결과 Windows10 시스템에 설치되어 있는 Keeper Password Manager 프로그램을 발견하였습니다. 이 프로그램은 MS와 서드파티 업체가 협력하여 설치하는 번들 프로그램인 것으로 추측됩니다. 몇번의 테스트 과정에서, Orman..

국내외 보안동향 2017. 12. 19. 15:51