[11월 둘째주] 알약 스미싱 알림

 

본 포스트는 알약M 사용자 분들이 ‘신고하기’ 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 ‘특이 문자’를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다.

특이 문자 

 No.

문자 내용 

1

 너의 성적인 사진이 있으니 클릭하게끔 유도하는 문자

 2

 [Web발신] 11월11일/오후5시/라루체호텔/헤이스룸 [Web발신] ♣an eternal promise♣ 11.11(일).PM5시{포시즌호텔3층}

 3

 [Web발신] Cj대한통운 운송장번호[3209224154]  주문하신 상품이 발송 되었습니다

 4

 [Web발신][CJ대한통운]나기은11월07일택배주소를찾을수없음주소변경

Researcher discloses VirtualBox Zero-Day without reporting it to Oracle

보안 연구원인 Sergey Zelenyuk이 오라클의 VirtualBox 가상화 소프트웨어의 제로데이 취약점에 대한 세부사항을 공개했습니다. 이 취약점은 공격자가 게스트에서 호스트로 탈출하는데 악용될 수 있습니다.

Zelenyuk은 오라클의 패치를 기다리지 않고 이 취약점을 대중에 공개했습니다. 이유는 현대 정보 보안의 상태, 특히 보안 연구 및 버그바운티 쪽의 의견에 동의하지 않기 때문이라고 밝혔습니다.

이 취약점은 VirtualBox 5.2.20 및 이전 버전에 영향을 미치며, 모든 호스트 또는 게스트 OS에서 악용될 수 있습니다.

Zelenyuk은 디폴트 설정에서 동작하는 익스플로잇 코드를 개발했습니다. 유일한 요구사항은 네트워크 카드가 Intel PRO/1000 MT Desktop (82540EM)이어야 하며, NAT 모드여야 한다는 것입니다.

그는 Ubuntu 16.04 및 18.04 x86-64 guest에서 이 익스플로잇을 성공적으로 테스트 했습니다. 하지만 그는 이 코드가 윈도우에서도 작동할 것이라 추측했습니다.

이 취약점의 근본적인 원인은 메모리 충돌 버그입니다. 이는 루트 또는 관리자 권한을 가진 공격자가 guest에서 host ring3으로 탈출하는데 악용될 수 있습니다. 그런 다음, 공격자는 기존 테크닉을 사용해 /dev/vboxdrv를 통해 ring0으로 권한을 상승시킬 수 있습니다.

“이 익스플로잇은 리눅스 커널 모듈(LKM)으로 guest OS에 로드됩니다. 윈도우의 경우 초기화 래퍼와 커널 API 호출을 통한, LKM과 다른 드라이버가 필요할 뿐입니다.

“양쪽 OS 모두에서 드라이버를 로드하기 위해서는 상승 된 권한이 필요합니다. 이는 흔한 일이며, 극복이 불가능한 장애물로 간주 되지 않습니다. Pwn2Own 콘테스트에서, 연구원들은 익스플로잇 체인을 사용합니다. Guest OS에서 악성 웹사이트를 오픈한 브라우저를 악용하고, guestOS의 하이퍼바이저에서 공격하는데 필요한 ring0에 도달하기 위해 OS 취약점도 악용 되었습니다. 가장 강력한 하이퍼바이저 취약점들은 guest ring 3에서도 악용이 가능합니다. VirtualBox 또한 guest root 권한 없이도 도달이 가능한 코드였으며, 대부분 여기에 대한 감사가 이루어지지 않았습니다.”

이 연구원은 문제를 완화 시키기 위해 사용자들에게 가상 머신의 네트워크 카드를 AMD PCnet 또는 반가상화 된 네트워크 어댑터로 변경하거나, NAT의 사용을 피하라고 조언했습니다.

출처 :

https://securityaffairs.co/wordpress/77771/hacking/virtualbox-zero-day.html

Adobe Flash Player Update Released for Remote Code Execution Vulnerability

Adobe가 플래시 플레이어에 존재하며 악성 사이트가 사용자의 컴퓨터에서 코드를 실행하도록 허용하는 취약점을 수정하기 위한 보안 업데이트를 공개했습니다.

어도비의 APSB18-44 뷸레틴에 따르면, 이 취약점은 CVE-2018-15981로 등록 되었으며 원격 코드 실행을 허용할 수 있는 유형 혼동 취약점입니다. 공격자가 악성 SWF 파일을 생성해 웹사이트에 호스팅하고 취약한 사용자가 이 사이트를 방문하면 악용이 가능합니다. 이 방법으로 사용자의 컴퓨터에서 악성 코드 다운로드 및 실행 등과 같은 명령어를 실행 가능합니다.

Adobe 플래시 플레이어용 보안 업데이트는 11월 13일 이미 다른제품용 업데이트와 함께 발행 되었습니다. 

Adobe가 또 다른 추가 업데이트를 공개한 이유는, 이 취약점에 대한 기술적 정보가 이미 온라인에 게시 되어 공격자들이 익스플로잇을 만들어 악용이 가능하기 때문입니다.

플래시 플레이어 업데이트가 공개 된 11월 13일, 한 블로그에서 플래시 플레이어에 존재하는 유형 혼동 취약점에 대한 세부 내용을 공개했습니다.

블로그 포스팅에서는 “AVM(Action Script Virtual Machine)의 인터프리터 코드가 예외를 발견했을 때 with-scope 포인터를 리셋하지 않아 유형 혼동 버그로 이어져 결국 원격 코드 실행이 가능하게 됩니다.”라고 밝혔습니다.

이 블로그는 이스라엘 연구원인 Gil Dabah가 운영하는 것으로 알려졌습니다. 하지만 이 취약점을 공개적으로 밝힌 이유는 공개하지 않았습니다.

플래시를 사용한다면, 웹을 서핑하는 동안 위험에 노출 되지 않기 위해 즉시 플래시 플레이어를 업데이트 하기를 권장합니다. 플래시 플레이어 버전 31.0.0.153으로 업데이트 하면 이 취약점을 해결할 수 있습니다.

출처 : 

https://www.bleepingcomputer.com/news/security/adobe-flash-player-update-released-for-remote-code-execution-vulnerability/

https://www.ragestorm.net/blogs/?p=421

안녕하세요? 이스트시큐리티입니다.

 

딥러닝 기반 악성코드 위협 대응 솔루션 ‘Threat Inside(쓰렛인사이드)’ 출시를 기념하여, 최신 보안 동향과 전문가 해석 정보를 담은 데일리 리포트 서비스 ‘시큐리티 브리핑’을 3개월 간 무료로 제공하는 이벤트를 진행합니다.

‘시큐리티 브리핑’이란?

Threat Inside의 유료 고객에게만 제공되는 국내 최초 데일리 리포트 서비스로, 이스트시큐리티 시큐리티대응센터(ESRC)가 매일 발생하는 중요한 보안 이슈와 동향을 선별해 브리핑한 정보를 뉴스레터 방식으로 발송하는 서비스입니다.

Threat Inside의 인텔리전스 리포트 서비스 중 하나인 ‘시큐리티 브리핑’은 기업과 기관의 보안 담당자가 매일 숙지해야 할 국내외 주요 보안 이슈와 동향을 쉽고 편리하게 제공받을 수 있기 때문에, 정보 확보를 위한 시간과 노력은 절감시키면서, 위협 대응을 위해 반드시 알아야 할 위협 인텔리전스를 놓치는 일이 사라질 것입니다.

‘시큐리티 브리핑’ 구독 이벤트 신청은 간단하지만, 받기 전과 후의 차이는 상당히 크게 느껴지실 겁니다.

11월 16일(금)까지 신청하시는 모든 분들께 혜택을 제공하고 있으니 늦지 않게 지금 바.로. 신청하세요!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.



최근 상품 배송 관련으로 위장한 악성 피싱 메일이 발견되어 주의를 당부드립니다.

 

본 메일은 “Shipment B/L” 제목으로 전파되고 있으며, 특히 첨부파일에 송장과 물건 리스트가 있는 것처럼 사용자들을 속여 사용자들의 클릭을 유도 하고 있습니다.

[그림 1] 피싱 사이트가 포한 된 메일 본문

 

사용자가 첨부파일을 확인하기 위해 클릭 하는 순간 피싱 사이트로 연결됩니다

[그림 2] 다음 메일 피싱 사이트

 

 

사용자가 송장 리스트를 확인하기 위해 해당 페이지에 계정정보를 입력한다면,
입력한 개인정보는 모두 제작자에게 넘어가게 됩니다.

[그림
3]
사용자 계정정보 전송 화면

 

 

본 메일에 기재 된 사이트를 분석 중 제작자의 피싱 사이트 리스트를 확인 하였으며 다음(Daum)뿐만 아니라 네이트(Nate), 마이크로소프트 오피스(MS Office), 마이크로 소프트 아웃룩(Outlook) 등도
추가적으로 발견되었다
.

 

[그림 4] 네이트 피싱 사이트 화면

[그림 5] MS Outlook 로그인 피싱 사이트 화면

[그림 6] MS Outlook 패스워드 실패 피싱 사이트 화면

[그림 7] MS Outlook 패스워드 입력 피싱 사이트 화면

[그림 9] MS Office 계정 입력 피싱 사이트 화면

 

 

사용자 여러분들께서는 의심스러운 링크의 클릭을 지양하시고, 로그인
할 때에는 반드시 해당
URL을 확인하는 습관을 길러야 합니다

 

[그림 10] 바이러스토탈 피싱 사이트 탐지 화면

 

해당 피싱 사이트에 대한 더 자세한 정보는 Threat
Inside
에서 확인하실 수 있습니다

2018년 여름 등장한 한 랜섬웨어의 최신 버전이 최근 분발하고 있는 것으로 나타났습니다. 이 새로운 변종은 현재 Zorro 랜섬웨어라 불리고 있지만, 예전에는 Aurora 랜섬웨어라는 이름으로 불렸습니다.

2018년 11월, 화이트 해커들은 9월에 패치되었던 Adobe ColdFusion 서버 임의 파일 업로드 취약점(CVE-2018-15961)의 이용 흔적을 발견했으며, 해커들은 해당 취약점을 악용하여 jsp 스크립트 파일을 업로드하여 원격에서 명령을 실행하였다고 밝혔습니다. 

또한 테스트를 진행해본 결과, 악성코드 스크립트들은 모두 system 권한으로 실행되며, 이로서 서버가 완전히 해커에게 장악되며 봇넷이나 마이닝에 악용될 가능성도 존재합니다. 

Adobe ColdFusion에서는 몇 년 동안 끊임없이 고위험 취약점들이 발생하였으며, 이 취약점들은 모두 역직렬화 혹은 임의 명령 실행 취약점들이였습니다. 

이번 패치에 대해 전 세계 사용자들의 관심이 쏠리고 있으며, 전체 프로세스에 대한 보안 수준 향상에 대해서는 아직 갈 길이 멀어 보입니다. 

CVE-2018-15961

ColdFusion는 FCKEditor 편집기 대신 CKEditor편집기를 사용하였는데, 이 때문에 파일 확장자를 무시하고 업로드 할 수 있는 취약점이 발생하는 것입니다. 

해당 취약점은 settings.cfm안에 존재합니다. settings.cfm은 cfc,exe,php,asp,cfm,cfml 확장자를 가진 파일들은 업로드를 제한하지만, jsp 확장자에 대해서는 제한하지 않으며, coldfusion이 jsp 압축 해제를 지원합니다. 때문에 jsp 악성코드를 이용하여 getshell이 가능한 것입니다. 

공격자는 POST 패킷을 조작하여 HTTP Request를 통하여/cf_sc ripts/sc ripts/ajax/ckeditor/plugins/filemanager/upload.cfm에 전송하면 임의 파일 업로드가 가능하게 되는 것입니다. 

Adobe ColdFusion 2016.0 Update 6

Adobe ColdFusion 2016.0 Update 5

Adobe ColdFusion 2016.0 Update 4

Adobe ColdFusion 2016.0 Update 3

Adobe ColdFusion 2016.0 Update 2

Adobe ColdFusion 2016.0 Update 1

Adobe ColdFusion 2018.0.0.310739

Adobe ColdFusion 11 Update 9

Adobe ColdFusion 11 Update 8

Adobe ColdFusion 11 Update 7

Adobe ColdFusion 11 Update 6

Adobe ColdFusion 11 Update 5

Adobe ColdFusion 11 Update 4

Adobe ColdFusion 11 Update 3

Adobe ColdFusion 11 Update 2

Adobe ColdFusion 11 Update 14

Adobe ColdFusion 11 Update 13

Adobe ColdFusion 11 Update 12

Adobe ColdFusion 11 Update 11

Adobe ColdFusion 11 Update 10

Adobe ColdFusion 11 Update 1

최신버전으로 업데이트 

출처 :

https://www.securityfocus.com/bid/105314

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15961

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.



최근 상품 배송 관련으로 위장한 악성 피싱 메일이 발견되어 주의를 당부드립니다.

 

본 메일은 “Shipment B/L” 제목으로 전파되고 있으며, 특히 첨부파일에 송장과 물건 리스트가 있는 것처럼 사용자들을 속여 사용자들의 클릭을 유도 하고 있습니다.

[그림 1] 피싱 사이트가 포한 된 메일 본문

 

사용자가 첨부파일을 확인하기 위해 클릭 하는 순간 피싱 사이트로 연결됩니다

[그림 2] 다음 메일 피싱 사이트

 

 

사용자가 송장 리스트를 확인하기 위해 해당 페이지에 계정정보를 입력한다면,
입력한 개인정보는 모두 제작자에게 넘어가게 됩니다.

[그림
3]
사용자 계정정보 전송 화면

 

 

본 메일에 기재 된 사이트를 분석 중 제작자의 피싱 사이트 리스트를 확인 하였으며 다음(Daum)뿐만 아니라 네이트(Nate), 마이크로소프트 오피스(MS Office), 마이크로 소프트 아웃룩(Outlook) 등도
추가적으로 발견되었다
.

 

[그림 4] 네이트 피싱 사이트 화면

[그림 5] MS Outlook 로그인 피싱 사이트 화면

[그림 6] MS Outlook 패스워드 실패 피싱 사이트 화면

[그림 7] MS Outlook 패스워드 입력 피싱 사이트 화면

[그림 9] MS Office 계정 입력 피싱 사이트 화면

 

 

사용자 여러분들께서는 의심스러운 링크의 클릭을 지양하시고, 로그인
할 때에는 반드시 해당
URL을 확인하는 습관을 길러야 합니다

 

[그림 10] 바이러스토탈 피싱 사이트 탐지 화면

 

해당 피싱 사이트에 대한 더 자세한 정보는 Threat
Inside
에서 확인하실 수 있습니다

[11월 넷째주] 알약 스미싱 알림

 

본 포스트는 알약M 사용자 분들이 ‘신고하기’ 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 ‘특이 문자’를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다.

특이 문자 

 No.

문자 내용 

1

 [Web발신]11/25 오후 4시스 카 이 웨 딩 홀

 2

 [Web발신][CJ대한통운]운송장번호[94862**] 주소지 재확인 요청드립니다

 3

 KB접수인증서비스

7 New Meltdown and Spectre-type CPU Flaws Affect Intel, AMD, ARM CPUs

올해 초, 매우 민감한 정보에 접근하기 위해 추측 실행 공격이 쉽게 악용될 수 있다는 것을 입증한, 수 많은 최신 프로세스들에 영향을 미친 Meltdown과 Spectre 취약점이 발견 되었습니다.

이후 Spectre-NG, SpectreRSB, Spectre 1.1, Spectre1.2, TLBleed, Lazy FP, NetSpectre, Foreshadow등 추측 실행 공격의 수 많은 변종들이 발견 되었습니다. 이에 영향을 받은 제조사들은 수시로 패치를 발행했습니다.

오리지널 Meltdown과 Spectre 취약점을 발견한 사이버 보안 연구원 팀이 새로운 일시적 실행 공격(transient exection attacks) 7가지를 발견했습니다. 이는 주요 프로세서 제조사 3곳인 인텔, AMD, ARM에 영향을 미칩니다.

새로이 발견 된 일시적 실행 공격들 중 일부는 현재 공개되어 있는 Spectre 및 Meltdown 완화 기술로 완화시킬 수 있지만 그렇지 않은 것들도 있습니다.

“일시적 실행 공격은 절대 커밋될 수 없는 명령어들의 CPU의 마이크로아키텍쳐 상태를 통해 접근이 불가능한 정보를 누출시킬 수 있습니다.”

“모든 방어 장치를 시스템적으로 평가한 결과, 일부 일시적 실행 공격들은 공개 된 패치로 완화할 수 없었으며 다른 공격들도 간과 되어 완화될 수 없었습니다.”

새로이 발견 된 공격들 7개 중 2개는 Meltdown-PK, Meltdown-BR로 Meltdown 변종이고 다른 5개는 Sepctre를 악용한 전략입니다.

1. Meltdown-PK (Protection Key Bypass) – 인텔 CPU에서, 프로세스 내에서 코드 실행 권한이 있는 공격자는 Userspace를 위한 메모리 보호 키를 통해 시행 되는 읽기/쓰기 금지를 모두 우회할 수 있습니다.

2) Meltdown-BR (Bounds Check Bypass) – 효율적인 배열 경계 체크를 위한 MPX(Memory Protection eXtensions)가 포함 된 Intel 및 AMD x86 프로세서는 구조적으로 절대 보일 수 없는 비밀을 인코딩하기 위해 우회할 수 있습니다.

Spectre-PHT (Pattern History Table)

3) Spectre-PHT-CA-OP (Cross-Address-space Out of Place) – 피해자의 브랜치와 일치하는 주소의 공격자가 제어하는 주소 공간 내에서 이전에 공개 된 Spectre-PHT 공격을 실행합니다.

4) Spectre-PHT-SA-IP (Same Address-space In Place) – 동일한 주소 공간 내, 추후 악용 될 브랜치 위치와 동일한 위치에서 Spectre-PHT 공격을 실행합니다.

5) Spectre-PHT-SA-OP (Same Address-space Out of Place) – 다른 브랜치와 동일한 주소 공간 내에서 Spectre-PHT 공격을 실행합니다.

Spectre-BTB (Branch Target Buffer)

6) Spectre-BTB-SA-IP (Same Address-space In Place) – 동일한 주소 공간 내, 추후 악용 될 브랜치 위치와 동일한 위치에서 Spectre-BTB 공격을 실행합니다. 

7) Spectre-BTB-SA-OP (Same Address-space Out of Place) – 다른 브랜치와 동일한 주소 공간 내에서 Spectre-BTB 공격을 실행합니다.

연구원들은 Intel, ARM, AMD 프로세서들에서 실제 PoC 공격을 통해 위의 공격 모두를 시연해 보였습니다. Spectre-PHT의 경우, 네 가지 공격에 모두 취약한 프로세서들이 모든 제조사들에 존재했습니다.

연구원들은 그들이 발견한 내용을 Intel, AMD, ARM에 공개 했으며, Intel과 ARM은 이 제보를 받았음을 알렸습니다. 또한 연구팀은 제조사들이 문제 해결을 위한 작업을 진행하고 있는 중이기 때문에 PoC 익스플로잇의 공개를 미루기로 했다고 밝혔습니다.

새로운 공격에 대한 보다 자세한 내용은 “A Systematic Evaluation of Transient Execution Attacks and Defenses,”에서 확인하실 수 있습니다.

출처 :