With this PHP rootkit you can take over a server hiding it in PHP server modules 최근 네덜란드의 한 개발자는, 공격자들이 PHP웹서버를 점령하는데 사용할 수 있는 PHP루트킷을 개발했습니다. 이 루트킷은 PHP 서버 모듈에 숨어 악성행위를 하게됩니다. 기존의 루트킷들은 OS의 가장 낮은 레벨에서 동작하며 악성행위를 위해 커널 작업 작업에 인터셉트하지만, 이번에 새로히 개발된 루트킷은 OS커널대신 PHP 인터프리터와 상호작용을 합니다. 루트킷을 PHP 모듈로 작성하면 접근성이 향상될 뿐만 아니라, Zend Engine을 사용하는 방법을 배우는 것은 커널 모듈을 쓰는 것을 배우는 것 보다 훨씬 쉬운 장점이 있습니다. 또한 코드베이스 자체가 작고..

국내외 보안동향 2017. 6. 20. 10:28

Wikileaks Unveils 'Cherry Blossom' — Wireless Hacking System Used by CIA Wikileaks는 Vault 7 시리즈의 일환으로 CIA가 Wi-Fi 장치의 취약점을 악용해 인터넷 활동을 모니터링하기 위해 사용한 프레임워크에 대해 자세히 설명했습니다. “Cherry Blossom”이라 명명 된 이 프레임워크는 ‘Cherry Bomb’ 프로젝트의 일환으로 CIA가 SRI International의 도움을 받아 설계한 것으로 추정 됩니다. Cherry Blossom은 라우터들 및 무선 AP 등을 포함한 무선 네트워킹 기기들을 위한 원격으로 제어 가능한 펌웨어 기반 임플란트입니다. 이는 승인 되지 않은 접근 권한을 얻어 펌웨어를 커스텀 Cherry Bloss..

국내외 보안동향 2017. 6. 19. 13:59

MS가 이번에 발표한 6월 정기보안패치에 현재 악용중인 2가지의 원격코드실행 취약점인 Windows Search 원격코드실행취약점(CVE-2017-8543)과 LNK 파일 원격코드실행취약점(CVE-2017-8464) 패치도 포함되었습니다. Windows Search 원격코드실행 취약점 윈도우 검색서비스(WSS)는 윈도우에서 기본적으로 활성화 되어있는 서비스입니다. 해당 서비스는 사용자들이 여러 Windows서비스와 클라이언트 사이에서 검색 기능을 제공해주는 서비스로, Windows검색이 메모리 중의 대상을 처리하는 과정에서 원격코드실행이 가능한 취약점입니다. 해당 취약점이 악용되려면, 공격자는 Windows Search서비스에 조작된 SMB 메세지를 전송하면 됩니다. CVE번호CVE-2017-8543 영..

국내외 보안동향 2017. 6. 19. 10:49

First Android-Rooting Trojan With Code Injection Ability Found On Google Play Store 백그라운드에서 악성 행위를 하기 위해 기기의 보안 기능을 비활성화 시킬 수 있는 새로운 안드로이드 루팅 악성코드가 구글 플레이스토어에서 발견되었습니다. 이 앱은 구글의 보안매커니즘을 속이기 위하여, 정상앱으로 위장하여 등록되지만, 등록된 후에 임시로 악성코드가 포함된 버전으로 주기적으로 변경합니다. 이 악성코드는 퍼즐 게임인 “colourblock”에 숨어 있었으며, 구글플레이에서 삭제되기 전 최소한 50,000회 이상 다운로드 되었습니다. Dvmap이라 명명 된 이 안드로이드 루팅 악성코드는 써드파티로부터 다른 악성 앱들을 다운로드 하기 위해서 기기의 보..

국내외 보안동향 2017. 6. 14. 15:51

A wormable code-execution bug has lurked in Samba for 7 years. Patch now! Samba 네트워킹 유틸리티의 관리자들이 심각한 패치가 널리 설치 될 때까지 사용자들에게 심각한 위협을 초래할 수 있는 코드 실행 취약점을 패치 했습니다. 7년동안 존재해온 결점인 CVE-2017-7494는 몇 가지 조건만 충족 된다면 단 코드 한줄로도 악성 코드를 실행시키는데 악용될 수 있습니다. 공격이 발생하려면 다음과 같은 조건이 충족되어야 합니다. 1) 외부 인터넷에서 접근 가능한 445번 포트를 통해 파일 및 프린터 공유 2) 공유파일에 쓰기권한 허용 3) 이러한 파일들의 경로가 추측 가능한 서버를 사용하는 취약한 컴퓨터 위 조건들이 충족될 경우, 공격자들은 원격에..

국내외 보안동향 2017. 6. 14. 13:29

최근 포스캠(Foscam) IP 카메라에서 대량의 보안 취약점이 발견되었습니다. 포스캠 그룹은 IP 카메라 등을 전문적으로 설계, 연구, 제조하는 중국 기업입니다. 포스캠 그룹은 글로벌전략을 통하여 세계 각지에서 마케팅을 펼치고 있으며, 29개국 및 지역에 상표를 등록했습니다. 포스캠의 IP 카메라는 북미, 남미, 유럽, 인도, 동남아 등 80여개국 및 지역에서 판매되고 있습니다. 그런데 최근, 포스캠 그룹에서 제조된 Foscam 및 Opticom 브랜드의 IP카메라에서 총 18개의 보안취약점이 발견되었습니다. 취약점은 Foscam IP카메라에서만 발견되었지만, 현재까지 해당 취약점에 영향을 받는 브랜드 수량은 14개 제품 이상인 것으로 확인되었습니다. 해당 취약점은 몇개월 전에 발견되어 이미 포스캠 제..

국내외 보안동향 2017. 6. 9. 11:40

国产流氓软件“火球”分析与溯源 6월 1일, CheckPoint는 중국 기업에서 개발된 "Fireball" 악성코드를 발견하였다고 발표하였습니다. Fireball 악성코드 사건은, huorong 보안연구원들이 Mustang, DealWifi등을 위장한 8개의 악성코드를 발견하면서 시작되었습니다. 이 악성코드들은 사용자 PC를 감염시킨 후 Chrome 브라우저 시작 페이지, TAB 페이지를 임의의 검색페이지로 변경시킨 후 사용자들이 다시 변경할 수 없도록 합니다. 변경하는 페이지들은 각각 다르지만, 검색페이지에서 모두 야후와 구글의 데이터를 크롤링 하는 것으로 보아 악성코드 제작자들이 야후와 구글의 광고를 통해 수익을 얻는 것이 아닐까 추측하고 있습니다. 악성코드는 사용자 PC에 설치될 때 사용자 PC에 크롬..

국내외 보안동향 2017. 6. 8. 15:00

범죄자들, 파워포인트 프레젠테이션을 통해 악성코드를 배포하는 새로운 기술 사용해Crooks leverages a new technique to deliver Malware via PowerPoint presentations 최근 공격자들이 파워포인트를 통한 악성코드 배포 기술을 사용하고 있는 것으로 밝혀졌습니다. 해당 공격은 현재 성행 중인 것으로 확인되어, 사용자들의 주의가 필요합니다. 연구원들은 최근 PowerShell 코드를 실행하기 위해 마우스오버 이벤트를 악용한 여러 개의 파워포인트 파일들을 발견했습니다. 공격자들은 “Purchase Order #130527”, “Confirmation”이라는 제목으로 “order.ppsx” 또는 “invoice.ppsx”라는 이름으로 스팸 메시지에 포함되어 있..

국내외 보안동향 2017. 6. 7. 16:10