모든 윈도우 버전에서 사용자 세션을 탈취할 수 있는 기술 발견 돼New (but Old) Technique Hijacks User Sessions on All Windows Versions 최근 보안연구원이 암호를 모르는 상태에서 컴퓨터의 모든 계정에 로그인 할 수 있는 방법을 발견하였습니아. 이 트릭은 모든 윈도우 버전에서 작동하며, 특별한 권한을 필요로 하지도 않습니다. 이 연구원은 이 것이 윈도우의 기능인지 아니면 보안 결점인지 알 수 없다고 밝혔습니다. 이번에 발견한 공격은 "권한 상승 및 세션 하이재킹"으로, 장치에 물리적으로 접근해 실행할 수도 있지만, 해킹된 장비에서 공격자의 접근 권한을 상승시켜 RDP 세션을 통해서 실행될 수 있습니다. 모든 사용자가 자신들의 권한을 상승시키고 PC에 활성..

국내외 보안동향 2017. 3. 21. 09:00

강한 파괴력을 지닌 Bash Bunny 최근 "세계에서 가장 강력한 USB공격 툴"인 Bash Bunny가 공개되었습니다. Bash Bunny는 각종 침투테스트 및 IT자동화 업무를 단 몇초만에 해 낼 수 있는 툴 입니다. 각종 이더넷 카드, 직렬 장치, 플래시 메모리, 키보드 등의 USB디바이스등을 통하여 Bash Bunny는 PC에 저장되어 있는 각종 데이터, 파일들을 획득할 수 있으며, 백도어 설치 및 각종 exploit을 공격할 수 있습니다. 디바이스는 간단한 스크립트 언어로 제작되었으며, 메모장과 같은 툴을 이용하여 인코딩 되었습니다. 각종 payload 코드는 github에 업로드 되어 있으며, 관련 공격을 검색하는 방법 역시 매우 쉽습니다. Bash Bunny를 통하여 공격하려면, 스위치를 ..

국내외 보안동향 2017. 3. 17. 16:13

CryptoMix의 변종인 Revenge 랜섬웨어, RIG 익스플로잇 키트를 통해 배포 돼Revenge Ransomware, a CryptoMix Variant, Being Distributed by RIG Exploit Kit 최근 RIG 익스플로잇 키트를 통해 배포 되는 CryptoMix 또는 CryptFile2의 변종인 Revenge 랜섬웨어가 발견되었습니다. 이 변종은 또 다른 CryptoMix의 변종인 CryptoShield와 유사하지만, 일부가 수정되었습니다. 보안 연구원들은 해킹 되어 RIG 익스플로잇 키트 자바스크립트가 추가 된 웹사이트에서 Revenge 랜섬웨어가 배포 되고 있는 것을 확인하였습니다. 이렇게 변조된 사이트들을 방문하면 사용자의 동의 없이 Revenge 랜섬웨어가 설치될 수..

국내외 보안동향 2017. 3. 17. 11:28

깃허브 엔터프라이즈(Github Enterprise) 원격코드실행 취약점 분석 최근 Github Enterprise에서 원격코드실행 취약점이 발견되었으며, 이에 해당 취약점은 왜 발생했으며, 어떠한 원리로 동작하는지 분석해 보았습니다. 코드 복호화 처리 Github Enterprise를 내려받으면, VirtualBox 이미지가 함께 포함되어 있습니다. 그리고 사용자는 이것들을 이용하여 자신의 PC에 설치를 할 것입니다. 랜덤으로 이미지를 복구할 때 내부를 분석해 보니, /data 리스트 하위에서 GitHub 코드를 찾을 수 있었습니다. data├── alambic├── babeld├── codeload├── db├── enterprise├── enterprise-manage├── failbotd├── g..

국내외 보안동향 2017. 3. 16. 16:47

왓츠앱과 텔레그램 계정들, 사진 단 한 장으로 해킹 가능해How One Photo Could Have Hacked Your WhatsApp and Telegram Accounts 만약 누군가 왓츠앱이나 텔레그램으로 귀여운 고양이나 매력적인 여성의 사진을 보내면, 이미지를 클릭하기 전에 주의해야 합니다. 이 사진 한장으로 왓츠앱과 텔레그램의 계정을 단 몇 초만에 해킹할 수 있기 때문입니다. 최근 왓츠앱과 텔레그램은 조작된 이미지를 클릭하는 것만으로 사용자의 계정을 탈취할 수 있었던 보안취약점을 패치하였습니다. 이 취약점은 왓츠앱과 텔레그램의 브라우저용에만 영향을 미치며, 모바일 앱에는 아무런 영향이 없는 것으로 확인되었습니다. 보안연구원들의 분석결과에 따르면, 이 취약점은 메시징 서비스가 이미지 내부에 악..

국내외 보안동향 2017. 3. 16. 14:08

구글, 플레이 스토어에서 가장 큰 애드웨어 패밀리 제거해Google Kicks Out Largest Android Adware Family From The Play Store 구글이 최근 공식 플레이 스토어에서 대량의 사기성 광고 봇넷 패밀리를 발견하였습니다. Chamois라 명명 된 이 PHAs(국내에서는 PUA, PUP라고도 부름) 패밀리는 사용자들에게 대량의 팝업광고를 띄우며, 백그라운드에서 자동으로 다른 앱들을 설치하며 추가 플러그인을 다운로드 하며, 텍스트 메시지를 보내 유료 서비스에 가입할 수 있습니다. 구글의 엔지니어들은 정기적인 광고 트래픽 품질 평가를 진행 중 의심스러운 광고 트래픽을 발견해 Chamois를 탐지해 낼 수 있었습니다. 이 앱들은 탐지를 피하기 위해 난독화 및 안티 디버깅 ..

국내외 보안동향 2017. 3. 15. 15:10

DVR 제조기업인 Dahua Technology 제품에서 백도어 발견!Dahua Video Recorders and Cameras affected by a serious flaw. Is it a backdoor? DVR 제조기업인 중국기업 Dahua Technology 제품에서 취약점이 발견되었습니다. 해당 제품에 백도어가 존재하며, 원격으로 CCTV 사용자 비밀번호 해시DB에 접근할 수 있습니다. 공격자는 이렇게 획득한 DB를 통하여 디바이스를 장악할 수 있습니다. Dahua Technology의 제품은 전 세계적으로 약 70만대가 판매되었으며, 그중 미국이 Dahua Technology 제품을 가장 많이 사용하고 있는 것으로 확인되었습니다. 한국은 미국, 인도, 베트남을 이어 Dahua Technol..

국내외 보안동향 2017. 3. 15. 10:42

mysqldump 백업을 이용한 백도어 생성가능한 취약점 (CVE-2016-5483) mysqldump는 MySQL DB에서 논리적 백업을 할 때 사용하는 툴 중 하나로, 기본설정조건에서 .sql 문서로 생성됩니다. 그 중에는 테이블 생성/삭제 및 데이터 입력 등의 기능도 포함되어 있습니다. 덤프파일에서 파일을 복원하는 과정에서, 공격자는 악의적으로 생성된 테이블이름을 통하여 임의의 SQL 검색쿼리와 shell명령을 이용하여 자신의 목적을 달성할 수 있습니다. (▶ 자세히 보기) 공격시나리오 공격자는 이미 희생자의 응용프로그램에 접근할 수 있으며, 임의의 SQL쿼리문을 실행할 수 있습니다.공격자는 테이블 생성에 관한 권한을 갖고 있습니다.공격타겟은 mysqldump를 통하여 주기적으로 데이터를 백업합니다..

국내외 보안동향 2017. 3. 14. 09:30