New Symbiote malware infects all running processes on Linux systems 새로운 리눅스 악성코드인 Symbiote가 발견되었습니다. 이는 해킹된 시스템에서 실행 중인 모든 프로세스를 감염시키고 계정 크리덴셜을 훔쳐 공격자에게 백도어 접근 권한을 부여합니다. 해당 악성코드는 실행 중인 모든 프로세스에 자신을 주입한 후 시스템 전체를 감염시켜 심층 검사에서도 탐지할 수 있는 증거를 남기지 않습니다. Symbiote는 BPF(Berkeley Packet Filter) 후킹 기능을 사용하여 네트워크 데이터 패킷을 스니핑하고 보안 툴에서 자체 통신 채널을 숨깁니다. 이 새로운 위협은 BlackBerry와 Intezer Labs의 연구원이 발견 및 분석했습니다. 이들..

국내외 보안동향 2022. 6. 10. 09:00

ESET found a variant of the Hive ransomware that encrypts Linux and FreeBSD ESET의 연구원들이 Linux 및 FreeBSD를 암호화하기 위해 특별히 개발된 새로운 Hive의 새로운 랜섬웨어 변종을 발견했습니다. 연구원들은 이 새로운 랜섬웨어가 아직 개발 단계에 있다고 추측했습니다. 이 두 변종 모두 Golang으로 제작되었지만 문자열, 패키지 이름, 함수 이름은 난독화된 상태였습니다. Linux 변종은 일부 버그에 영향을 받는 것으로 보이며 연구원들은 악성코드가 명시적 경로로 실행될 때 암호화 프로세스가 작동하지 않는다는 것을 발견했습니다. 랜섬웨어의 윈도우용 변종은 최대 5개의 실행 옵션을 지원하지만, 새로운 Linux 및 FreeBSD 변..

국내외 보안동향 2021. 11. 1. 14:00

Vermilion Strike, a Linux implementation of Cobalt Strike Beacon used in attacks 공격자가 Cobalt Strike 비콘의 비공식 리눅스 및 윈도우 버전을 직접 재구현해 전 세계 조직을 노린 공격에 적극적으로 활용하고 있는 것으로 나타났습니다. 이 상업용 사후 악용 툴(Post exploitation tool)의 리눅스 버전은 Vermilion Strike로 명명되었으며, Intezer 연구원에 따르면 이를 발견한 당시 완전히 탐지되지 않는 상태였습니다. Intezer는 분석을 발표해 아래와 같이 밝혔습니다. “2021년 8월, Intezer에서 Vermilion Strike라는 Cobalt Strike 비콘의 완전히 탐지되지 않은 ELF 구..

국내외 보안동향 2021. 9. 15. 14:00

RedRocket CTF 팀의 보안 연구원인 Manfred Paul은 Ubuntu 시스템의 Linux 커널 eBPF(Extended Berkeley Packet Filter)에서 심각도가 높은 권한 상승 취약점(CVE-2021-3490)에 대한 익스플로잇 코드를 공개했습니다. eBPF 명령을 삽입할 수 있는 로컬 사용자는 CVE-2021-3490 취약점 사용하여 시스템을 충돌시키거나 시스템에 대한 권한을 상승시킬 수 있습니다. eBPF는 커널 소스 코드를 변경하거나 추가 모듈을 추가하지 않고도 프로그램을 실행할 수 있는 커널 기술입니다. 이것은 프로그래머가 특정 커널 리소스를 활용하는 BPF 바이트 코드를 실행할 수 있는 Linux 커널 내부의 일종의 경량 샌드박스 가상 머신(VM)입니다. Paul은 T..

국내외 보안동향 2021. 8. 2. 11:50

파일시스템 레이어의 Linux 커널 seq_file에서 out-of-bounds 쓰기 취약점이 발견되었습니다. 이 취약점은 사용자 권한을 가진 로컬 사용자가 out-of-bounds 메모리에 엑세스 할 수 있도록 허용하여 시스템 충돌 또는 내부 커널 정보 유출을 발생시킬 수 있습니다. 이 취약점은 size_t_to_int 변환 유효성 검사 누락으로 인해 발생합니다. 현재까지 패치는 아직 개발되지 않았기 때문에 사용자 여러분들은 임시조치를 진행하여 피해를 최소화 하기를 권고드립니다. 영향 받는 버전 Ubuntu 20.10, 21.04 Debian 11 Fedora 34 Red Hat Enterprose Linux 커널을 기반으로 하는 모든 Red Hat 제품 임시 조치 방법 /proc/sys/kernel/..

국내외 보안동향 2021. 7. 21. 13:30

Unpatched Supply-Chain Flaw Affects 'Pling Store' Platforms for Linux Users 사이버보안 연구원들이 리눅스 플랫폼용 Pling 기반 무료 오픈소스 소프트웨어 마켓플레이스에서 패치되지 않은 치명적인 취약점을 발견했습니다. 해당 취약점을 악용할 경우 단계적 공급망 공격을 실행 가능하고 원격 코드 실행으로 이어질 수 있는 것으로 나타났습니다. “Pling 플랫폼 기반 리눅스 마켓플레이스에서 공급망 공격에 잠재적으로 악용될 수 있으며 PlingStore 애플리케이션에서 실행되는 모든 웹사이트에서 트리거될 수 있는 웜 XSS(Cross Site Scripting) 취약점이 발견되었습니다.” 해당 취약점의 영향을 받는 Pling 기반 앱 스토어는 아래와 같습..

국내외 보안동향 2021. 6. 23. 14:00

New stealthy Linux malware used to backdoor systems for years 최근 발견된 백도어 기능을 포함한 리눅스 악성코드가 수 년간 탐지를 피해 공격자가 해킹된 기기로부터 민감 정보를 추출할 수 있었던 것으로 나타났습니다. Qihoo 360 Netlab에서 RotaJakiro라 명명한 이 백도어는 VirusTotal에 2018년 첫 번째 샘플이 업로드되었음에도 아직까지 탐지가 되지 않고 있었습니다. RotaJakiro는 ZLIB 압축 및 AES, XOR, ROTATE 암호화를 통해 가능한 은밀히 작동하도록 설계되었습니다. 연구원들이 발견한 샘플에서 찾은 리소스 정보는 AES 알고리즘을 통해 암호화되어 있어 악성코드 분석가가 분석할 수 없도록 했습니다. 리눅스 백도어..

국내외 보안동향 2021. 4. 29. 14:00

仅仅一周，那个打鸡血的Sysrv-hello僵尸网络又多了14种漏洞武器 Tencent Security Threat Intelligence Center는 작년 12월에 발견된 Sysrv-hello 봇넷이 최근 매우 활발하게 활동하고 있음을 감지했습니다. 트로이목마, 백도어, 웜과 같은 다양한 악성 소프트웨어에 대한 포괄적인 공격 기능을 갖추고 있는 Sysrv-hello 봇넷의 공격 대상은 Linux와 Windows 운영 체제를 모두 포함합니다. Tencent Security는 올해 1월, Sysrv-hello 봇넷이 Weblogic 원격 코드 실행 취약점(CVE-2020-14882)을 사용하여 확산된다는 사실을 발견했습니다. 2021년 3월에 Sysrv-hello 봇넷은 5가지 새로운 공격 방법을 추가했으며 1..

국내외 보안동향 2021. 4. 1. 15:19