기사요약 : 드림시큐리티의 Non-ActiveX 공동인증서 프로그램 MagicLine4NX에서 원격코드 실행 취약점(RCE)이 발견되어 취약한 버전의 경우 삭제하거니 최신버전으로 업데이트가 필요하다. - MagicLine4NX의 기능 : 공동인증서 로그인과 거래내역에 대한 전자서명 가능 - 악성코드의 기능 : 설치 시 시작 프로그램에 등록. 프로세스 종료 되더라도 특정 서비스에 의해 재실행하기 떄문에 프로세스에 항상 상주되어 있음. - 공격 방식 : 취약점을 이용해 svchost.exe 프로세스에 인젝션 후에 악성프로그램을 다운로드해 실행. - 취약한 버전 : MagicLine4NX 1.0.0.1~1.0.0.26 - 삭제 방법: C드라이브 내의 Program Files(x86)에서 DreamSecurit..
기사요약 : HTML 파일을 내부에 포함하고 있어 스크립트 파일 삽입이 가능한 CHM이라는 도움말 파일에서 APT 공격이 발생되었다. 해당 공격의 경우 운영체제에 기본으로 설치되어 있는 프로그램을 이용했기 때문에 프로세스 및 시그니처 기반의 탐지를 우회가능하다고 한다. - 악성코드 정보 : MITRE ATT&CK T1218(System Binary Proxy Execution). mshta.exe를 통해 파워쉘을 실행하는 악성 스크립를 공격자 서버에서 다운로드해 실행. 해당 스크립트를 통해 최종 실행되는 파워쉘 스크립티는 공격자 C2서버로부터 명령 수행 및 지속성 유지를 위한 레지스터리 RUN키에 지속성 유지를 위한 특정 명령어를 등록. - 해당 공격의 경우 EDR(Endpoint Detection a..
기사 요약 : 구글이 만든 픽셀폰에서 이미지 편집도구 마크업(markup)에서 편집했던 이미지들을 복구할 수 있는 취약점이 발견되어 사용자들의 주의가 필요해 보인다. 해당 취약점은 최소 5년이 되었으며, 크로핑된 이미지가 파일이 제대로 덮어쓰기가 되지않아서 발생한 것이다. - 배경 : 2018년 구글 안드로이드 9에서 10으로 넘어갈 때 parseMode()라는 함수 때문에 발생. 원본 이미지에 크로핑된 이미지로 덮어쓰기를 해야 하는데 제대로 되지 않아 원본 이미지를 복구 할 수있게 된 것. - 취약점 정보 : CVE-2023-21036문가용 기자, 스크린샷 일부를 복구할 수 있게 해 주는 구글 픽셀의 취약점, 보안뉴스, https://www.boannews.com/media/view.asp?idx=1..
기사요약 : 펄 언어로 제작되어 펄봇(PerlBot)이라고도 불리는 쉘봇(ShellBot)이라는 악성코드가 취약한 리눅스 SSH 서버에 설치가 되고 있다. 해당 악성코드는 DDos Bot 악성코드로 C2 서버와 IRC 프로토콜로 통신을 한다는게 특징이라고 한다. - 쉘봇이 노리는 곳 : 부적절하게 관리되고 있거나, 최신 버전으로 패치를 하지 않아 취약점에 노출된 서비스가 대상. - 부적절하게 관리 되고 있는 서버 : 단순한 형태의 계정정보 사용하는 곳 예) deploy - password, hadoop - hadoop, oracle - oracle, root - 11111, root - Passw0rd, ttx - ttx2011, ubnt - ubnt - 쉘봇 : SSH BruteForce 공격으로 스캐..
[Protostart] Heap1About This level takes a look at code flow hijacking in data overwrite cases. This level is at /opt/protostar/bin/heap1#include #include #include #include #include struct internet { int priority; char *name; }; void winner() { printf("and we have a winner @ %d\n", time(NULL)); } int main(int argc, char **argv) { struct internet *i1, *i2, *i3; i1 = malloc(sizeof(struct internet)..
기사요약 : NTLM 크리덴셜을 탈취하는 제로데이 취약점이 발견되어 MS 아웃룩 메일을 열지 않아도 정보가 탈취될 수 있어서 빠른 업그레이드가 필요해 보인다. - NTLM 이란? MS 운영체제를 통해 구동되는 서버와 클라이언트가 네트워크 통신을 하기 위한 보안인증방식 - 취약점 정보 : CVE-2023-23397, CVSS : 9.8점 - 공격 정보 : 메일을 열지 않아도 아웃룩 클라이언트 검색 및 처리할 때 자동으로 작동되도록 특수 조작된 이메일을 전송하여 수신자가 이메일을 보기도 전에 해시 정보 탈취가 가능. ✔ PidLidReminderFileParameter 값 : SMB 서버 ** 약속 기한이 지나, 지연 알람을 할때 클라이언트가 재생할 사운드 파일 경로를 지정하는데 사용. ✔ PidLidRem..
기사 요약 : 외부에 노출되어 있으면서 계정정보를 단순하게 설정해 무차별 대입 공격이나 사전 공격에 취약한 환경 있는 MS-SQL 서버를 대상으로 넷켓(Netcat) 악성코드가 유포되고 있다는 것이 확인되었다. - 바인드 쉘 (Bind Shell) : 감염 시스템에서 특정 포트를 오픈하고 대기하며, 공격자가 해당 포트로 접속할 때 쉘을 제공하는 형태. 간단하지만, 외부에서 연결하는 형태이기 때문에 방화벽과 같은 보안 제품에서 쉽게 탐지 된다. NAT망 환경에서 외부에서 접속이 불가능. - 리버스 쉘 (Reverse Shell) : 공격자가 시스템에서 특정 포트를 오픈하고 있다가 감염 시스템에서 해당 포트로 접속하는 형태. 최초 통신과정에서 감염 시스템이 외부로 연결하는 형태이기 때문에 방화벽 같은 보안 ..
기사 요약 : 틱톡이 국가 안보에 위협이 된다고 생각되어 미국부터 시작한 정부 요원들의 틱톡 금지가 영국, 캐나다, 유럽연합에 이어 이제 뉴질랜드까지 참여하게 되었다.문가용기자, 이번 달 말부터 뉴질랜드도 틱톡 금지에 참여하기로 결정, 보안뉴스, https://www.boannews.com/media/view.asp?idx=115284&page=1&kind=1 이번 달 말부터 뉴질랜드도 틱톡 금지에 참여하기로 결정일간지 CNN에 의하면 뉴질랜드 역시 정부 기관의 요원들이 사용하는 모바일 장비에서 틱톡을 제거하기로 결정했다고 한다. 이번 달 말부터 시행된다. 정부 요원들이 틱톡을 설치한 채 국가 업무www.boannews.com
