MosaicRegressor: Second-ever UEFI rootkit found in the wild 실제 공격에 사용된 UEFI 루트킷이 두 번째로 발견되었습니다. 보안 연구원들은 2019년부터 NGO조직 2곳에 대한 공격을 조사하던 중 이를 발견했습니다. UEFI(Unified Extensible Firmware Interface) 펌웨어는 컴퓨터의 마더보드에 납땜된 SPI 플래시 스토리지에 설치되기 때문에 OS를 재설치하거나 하드드라이브를 교체해도 제거할 수 없습니다. 따라서 악성코드는 높은 지속성을 얻을 수 있게 됩니다. 카스퍼스키 연구원인 Mark Lechtik과 Igor Kuznetsov는 이 UEFI 부트킷을 발견 후 MosaicRegressor라 명명했습니다. 이는 모듈형 다단계 악성..

국내외 보안동향 2020. 10. 6. 09:25

Scranos: New Rapidly Evolving Rootkit-Enabled Spyware Discovered 루트킷을 지원하는 강력한 스파이웨어가 발견되었습니다. 해커들은 크랙 버전 소프트웨어 또는 동영상 플레이어, 드라이버, 안티바이러스 제품 등의 정상 소프트웨어로 위장한 프로그램을 통해 해당 악성코드를 유포하고 있습니다. ※ 루트킷 (rootkit)이란? 공격자가 시스템에 사용자 몰래 침입하기 위해 설치해 둔 프로그램으로 백도어, 원격 접근 프로그램, 침입 흔적 로그 삭제 프로그램 등으로 구성된다. Scranos로 명명된 이 루트킷 악성코드는 작년 처음 발견되었으며, 아직 개발 중인 것으로 보입니다. 또한, 새로운 컴포넌트를 테스트하고 예전 컴포넌트들을 정기적으로 개선함으로써 더욱 심각한 위협..

국내외 보안동향 2019. 4. 17. 13:35

With this PHP rootkit you can take over a server hiding it in PHP server modules 최근 네덜란드의 한 개발자는, 공격자들이 PHP웹서버를 점령하는데 사용할 수 있는 PHP루트킷을 개발했습니다. 이 루트킷은 PHP 서버 모듈에 숨어 악성행위를 하게됩니다. 기존의 루트킷들은 OS의 가장 낮은 레벨에서 동작하며 악성행위를 위해 커널 작업 작업에 인터셉트하지만, 이번에 새로히 개발된 루트킷은 OS커널대신 PHP 인터프리터와 상호작용을 합니다. 루트킷을 PHP 모듈로 작성하면 접근성이 향상될 뿐만 아니라, Zend Engine을 사용하는 방법을 배우는 것은 커널 모듈을 쓰는 것을 배우는 것 보다 훨씬 쉬운 장점이 있습니다. 또한 코드베이스 자체가 작고..

국내외 보안동향 2017. 6. 20. 10:28

Wget취약점(CVE-2016-4971) 발견! 최근 CVE-2016-4971취약점이 발견되었습니다. 이 취약점은 모든 wget에 존재하는 취약점으로, 공격자는 해당 취약점을 이용하여 프로그래머나 유지보수 관리자에게 피싱공격을 통하여 root권한을 탈취하거나 rootkit을 심을 수 있습니다. 원리 wget은 *nix시스템에서 자주 사용하는 다운로드 툴로 http, https, ftp등 다양한 프로토콜을 지원합니다. wget을 사용하여 파일을 내려받을 때 HTTP 서버에서 FTP서버로 리다이렉션 된다면, wget은 추가적인 인증 없이 http서버, 리다이렉션 되는 URL에 있는 파일이름을 신뢰하는 것으로 판단합니다. 그렇기 때문에, 해커가 악성 파일을 내려보내는 방법을 이용하여 사용자 PC를 공격할 수 ..

국내외 보안동향 2016. 6. 22. 14:00

GPU기반의 루트킷(Rootkit) 악성코드와 키로거(Keylogger)의 POC 발표 한 개발팀이 컴퓨터의 CPU가 아닌 GPU(Graphic Processing Unit)에서 실행가능한 두 개의 POC코드를 발표했습니다. 공개된 두 개의 POC코드는 아래와 같습니다. Jellyfish Rootkit Demon Keylogger 지금까지는 비트코인 등의 크립토화폐를 채굴하기 위해 GPU를 악용해 CPU에서 동작하는 멀웨어들이 발견되어 왔습니다. 그러나, 이 두 개의 멀웨어 POC코드는 OS 커널의 프로세스를 악용하거나 변조하지 않고도 동작할 수 있으므로 시스템이 감염되었다는 의심에서 벗어날 수 있었습니다. JELLYFISH ROOTKIT Jellyfish는 Jynx(CPU)의 LD_PRELOAD 기술과..

국내외 보안동향 2015. 5. 11. 15:22