openLab

0xNews - GRUB2 부트로더 BootLoader 에서 취약점 발견 Eclypsium 연구팀 발표 https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/ GRUB2 부트로더는 리눅스 배포판에서 주로 사용되지만 현재는 멀티부팅 등을 사용하는 윈도우 사용자도 포함하여 많은 수의 사용자와 시스템 등에 설치되어 사용 중 이번에 발견된 취약점은 BootHole 로 명명 CVE-2020-10713 지정 공격자가 성공적으로 공격에 성공하면 보안부팅 기능을 우회 대상 시스템에 대한 루트 권한 제외한 높은 권한으로 지속적이고 은밀한 접속 권한 획득 가능 보안 부팅 Secure Boot 은 부트로더를 사용 중요한 구성요소, 주변기기, 운영체제를 로드 이와 동시에 부팅 서명 과정에서 암호로된 서명된 코드 cryptographically signed code executes 만 실행되도록 하는 UEFI Unified Extensible Firmware Interface 의 보안 기능 보안 부팅의 명시적인 설계와 사용 목적 중 하나는 관리자 권한으로 실행 되더라도 권한이 없는 코드가 보안 부팅을 비활성화 하거나 부팅 체인을 수정하여 추가 권한 획득이나 OS 이전 지속성을 얻지 못하도록 하는 것 BootHole 는 GRUB2 모든 버전에 영향을 미치는 버퍼 오버 플로우 buffer overflow 취약점 구성 파일의 내용을 분석하는 방식으로 존재 하드웨어 신뢰 루트 메커니즘 break the hardware root of trust mechanism 에서 벗어남 구성 파일은 일반적으로 다른 파일이나 실행 파일과 같이 서명되지 않아  공격자가 침입할 수 있는 기회를 제공 grub.cfg 파일은 EFI 시스템 파티션에 있음 파일을 수정하려면 공격자가 대상 시스템에서 관리자 권한으로 초기 발판을 확보 GRUB2 는 대부분 리눅스 배포판 시스템에서 사용되는 표준 부트 로더 XEN 과 같은 다른 운영체제, 커널, 하이퍼 바이저 등도 함께

0xNews - 산업용 VPN Industrial VPN 취약점으로 인해 중요 인프라의 대응 경고 산업 사이버 보안회사 Claroty 연구팀 발표 https://www.claroty.com/2020/07/28/vpn-security-flaws/ 공격자가 데이터를 덮어씌어 악성 코드를 실행하여 ICS Industrial Control Systems 손상 가능할 수 있는 운영 기술 OT Operational Technology 네트워크에 대한 원격 접속이 가능한 산업용 VPN 의 취약점 발견 연구팀에서 확인한 대상 회사 리스트 Secomea 의 GateManager M2M Server Moxa 의 EDR-G902과 EDR-G903 HMS 의 Networks eWon의 eCatcher VPN 클라이언트를 포함 엔터프라이즈급 VPN 설치에서 심각한 취약점 포함 취약점이 확인된 해당 제품들은 석유, 가스, 수도, 전기와 같은 기반 시설 산업에 널리 사용되는 중 PLC Programmable Logic Controllers 나 입출력 기기를 포함한 ICS 와 현장 시설에 원격으로 접속하고 유지관리, 모니터링에 활용 이번 취약점을 성공적으로 악용하면 인증되지 않은 공격자가 ICS 기기에 직접 접속 가능 현장 시설 기기에 대한 실제 물리적인 손상을 야기할 수 있음 이번에 취약점 대상 기기의 회사인 Secomea 의 자사 제품 GateManager 에서 테스트 결과 임의의 데이터의 덮어쓰기 임의의 코드 실행 DoS 조건 강제 발생 루트 권한으로 명령 실행과 사용하여 이를 통해 사용자 암호 획득이 허용되는 취약점 발견 이 외 다수 취약점 발견 암호 획득이 허용되는 취약점은 CVE-2020-14500 지정 GateManager 는 전 세계적으로 클라우드 기반 SaaS Software as a Service 솔루션으로 배포된 ICS 원격 접속 서버 사용자는 서버 설정을 피하면서 암호화된 터널링을 통해 인터넷에서 내부 네트워크 연결 가능 CVE-2020-14500 으로 지정된 취약점

0xNews - 노출된 API 를 사용하여 탐지 불가능한 도커 Docker 를 공격하는 리눅스 맬웨어 Malware 발견 AWS, Azure 등의 알려진 클라우드 플랫폼으로 호스팅되는 공개적으로 접속 가능한 도커 Docker 서버를 대상으로 탐색 불가능한 리눅스 맬웨어 발견 Virustotal 에 등록된 맬웨어 리스트 하지만 해당 맬웨어들 다수가 안티 바이러스 프로그램 등에서 스캔되지 않음 https://www.virustotal.com/gui/file/4aadb47706f0fe1734ee514e79c93eed65e1a0a9f61b63f3e7b6367bd9a3e63b/detection Interzer 연구팀 발표 https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/ 도커 Docker 는 윈도우, 리눅스용으로 널리 사용되는 Pass Platform-as-a-Service 솔루션 개발자가 컨테이너라고 하는 격리된 환경에서 응용 프로그램을 보다 쉽게 작성, 테스트, 실행까지 가능하도록 설계 Ngrok 마이닝 봇넷 캠페인 campaign 진행 중 인터넷에서 잘못 구성된 도커 API 엔드 포인트를 검색 취약점을 가지고 있는 서버에 새로운 악성 코드를 추가하여 감염 시킴 이 캠페인은 지난 2년 동안 활성화되어 수행됐지만 이번 새로운 캠페인의 주 대상은 잘못 구성된 도커 서버를 대상 도커 서버를 제어하고 이를 악용하여 대상의 인프라에서 실행되는 암호화폐 채굴 cryptominers 로 활용하기 위해 컨테이너 재설정하는 것에 중점 이번에 발견된 Doki 라 명명된 새로운 멀티스레드 악성코드 VirusTotal에서 샘플을 공개적으로 이용할 수 있음에도 불구하고 C2 도메인 주소를 동적으로 생성하기 위해  고유한 방식으로 도지코인 Dogecoin cryptocurrency 블록 체인을 악용 운영자에게 연락하는 문서화되지 않은 방법을 활용

0xNews - 델 Dell PowerEdge 서버에서 취약점 발견 Positive Technologies 연구팀 발표 https://www.ptsecurity.com/ww-en/about/news/dell-emc-fixes-idrac-vulnerability-found-by-positive-technologies/ 공격자가 정상적으로 공격에 성공하면 서버에서 발생하는 모든 작업을 완전한 권한 획득과 제어 가능 이번 취약점이 발생한 부분은 Dell EMC iDRAC 원격 접속 컨트롤러에서 발견 올해 7월 해당 취약점 패치 완료 후 공개 결정 CVE-2020-5366 지정 Dell EMC iDRAC9 v.4.20.20.20 이하 버전에서 취약점 작동 CVSS 7.1 로 고위험군으로 지정 이번 취약점은 경로 탐색 Local File Inclusion 취약점 공격자가 악용에 성공하면 일반 사이트 사용자로 로그인한 사람이라도 접속 할 수 없는 서버 폴더의 내용 확인 가능 iDRAC 는 리눅스에서 실행 이 취약점을 악용한다면 리눅스 시스템에서의 취약점이니 /etc/passwd 등 시스템 핵심 파일을 확인할 수 있음 iDRAC 는 델에서 제공해주는 IT 관리자가 새로운 소프트웨어를 설치하지 않고 델 서버를 원격으로 배포, 업데이트, 모니터링, 유지 관리할 수 있도록 설계 현재 델에서는 이번 취약점에 대한 패치 완료 후 업데이트할 것을 권고 델에서는 iDRAC 가 인터넷에 연결이 된 상태에서 운영이 되기 때문에 이번 취약점 역시 인터넷에 연결이 되야 악용이 가능하다고 판단 하지만 이번 취약점을 발견한 연구팀에서는 네트워크 접속만 가능하다면 악용 가능하다고 분석 iDRAC 사용자는 외부 네트워크와 분리 사용 권고 iDRAC 보호를 위해 추가적으로 windows AD 나 Linux LDAP 등과 같은 추가 인증 연동 256bit 암호화나 TLS 1.2 이상 사용 IP 주소 범위 필터링 등과 같은 보안 구성 등을 권고 이번 취약점에 대한 델 홈페이지 링크 https://www.

0xNews - 중국 DJI 드론에 대한 안드로이드 앱에서 신규 보안 문제 발견 중국 무인 항공기 제조사인 다 지앙 이노베이션 DJI Da Jiang Innovations 이 개발한 안드로이드 앱에서 보안 문제 발견 해당 앱은 구글 플레이 스토어를 우회 악성 애플리케이션 설치 민감한 개인정보를 DJI 서버로 전송 Synacktiv, GRIMM 보안 연구팀에서 각각 분석 후 확인 Synacktiv 연구팀 분석 관련 사이트 링크 https://www.synacktiv.com/en/publications/dji-android-go-4-application-security-analysis.html GRIMM 연구팀 분석 관련 사이트 링크 https://blog.grimm-co.com/2020/07/dji-privacy-analysis-validation.html 분석 대상은 DJI Go 4 안드로이드 앱 https://www.dji.com/kr/downloads/djiapp/dji-go-4 분석 결과 개인정보(IMSI, IMEI, SIM 카드 등의 일련 번호 포함)에 대한 광범위한 수집과 권한 요청 보안 분석을 방해하기 위해 안티 디버그와 암호화 기술로 구성 Synacktiv 연구팀은 분석 후 이러한 메커니즘은 맬웨어 분석 과정과 비슷하며 맬웨어의 C&C 서버와 매우 유사 연락처, 마이크, 카메라, 위치 정보, 저장 공간, 네트워크 연결 변경 등 DJI Go 4 에 필요 이상 광범위한 권한을 받음 결과적으로 DJI 또는 Weibo Chinese 서버에서 사용자 스마트폰 완전 사용 가능 현재까지 난독화 처리 되지 않은 iOS 버전에서는 확인되지 않음 GRIMM 연구팀은 안드로이드 DJI Go 4 응용 프로그램 내에서 DJI 드론의 개인 정보 보호 확인을 위해 분석 실시 국방이나 공공 안전 기술 공급 업체에 의해 요청된 보안 감사에 대한 연구를 수행 Synacktiv 연구팀은 앱의 리버스 엔지니어링을 통해 애플리케이션 업데이트를 다운로드 후 사용자에게 프롬프트를

0xNews - 유명 피트니스 트래커 가민 Garmin 대상 랜섬웨어 Ransonware 공격 확인 한국 제조업체 가민은 피트니스 트래커, 스마트워치, GPS 기반 웨어러블 기기 제조업체 해당 제조업체 제품 대상 랜섬웨어 공격으로 인해 정상 서비스 중단 문제 발생 가민의 트위터 내용 https://twitter.com/Garmin_India/status/1286227663426711553 현재 가민 회사 웹 사이트도 정상 서비스 중단 발생 이 결과 가민은 Garmin Express, Garmin Connect 모바일, 웹 사이트 포함 연결된 서비스 중 일부를 일시적으로 종료 가민 사용자가 클라우드 서비스에 접속하거나 스마트워치를 앱과 로컬로 동기화하는 것에 제한 가민의 웹 사이트 페이지 중 일부 ZDnet 의 가민에 대한 내용 뉴스 링크 https://www.zdnet.com/article/garmin-services-and-production-go-down-after-ransomware-attack/ ZDnet 뉴스에 따르면 WastedLocker 라는 이름의 새로운 랜섬웨어 공격이라고 하지만 가민측에서는 해당 사항에 대해 확인해주지 않음 WastedLocker 은 Evil Corp 혹은 Dridex 로 알려진 랜섬웨어 랜섬웨어 공격이 정상적으로 수행되면 회사 내부 네트워크를 손상시키고 권한 상승 수행 권한 상승을 통한 내부 시스템과 네트워크 장악 후 몸값 지불 요구 수행 WastedLocker 에 대한 SentineOne 연구팀 발표 사이트 링크 https://labs.sentinelone.com/wastedlocker-ransomware-abusing-ads-and-ntfs-file-attributes/ WastedLocker 에 대해 발표한 연구팀에 따르면 최근에 발생한 새로운 랜섬웨어 종류 중 하나 다양한 산업분야에서 고가의 목표를 대상으로 공격 수행 javascript 기반으로 SoCGholish 툴셋을 사용 시스템과 소프트웨어 업데이트로 가장하여

0xNews - 북한과 관련 깊은 라자루스 그룹 Lazarus Group 신규 랜섬웨어 Ransonware 플랫폼 발견 카스퍼스키 보안팀 발표 https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/ 이번에 발견된 랜섬웨어는 다국적 기업에 침투하고 고객 데이터베이스를 도용하며 랜섬웨어를 배포하기 위한 다중 플랫폼 프레임워크로 확인 MATA 맬웨어 Malware 프레임워크로 명명 Windows, Linux, MacOS 운영체제를 대상 설치된 컴퓨터에서 MateNet 이라는 인프라를 참조하기 때문에  다양한 악의적인 활동을 수행하도록 설계된 광범위한 기능을 제공 MATA 맬웨어는 2018년 4월 최초 발견 폴란드, 독일, 터키, 한국, 일본, 인도 등에 위치한 소프트웨어 개발, 전자 상거래, 인터넷 서비스 제공 등의 업무를 수행하는 기업 대상 이번 발표는 지난 8개월 동안 Netlab 360, Jamf, Malwarebytes 등의 연구원들이 수집한 이전 증거를 바탕으로 MATA 맬웨어 프레임워크를 포괄적으로 분석 2019년 12월 라자루스 그룹이 운영하는 플랫폼과 주요 인프라를 공유하는 윈도우, 리눅스 플랫폼 등 양측 사용자를 대상으로 하는 Dacls 라는 원격 관리 트로이 RAT Remote Access Trojan 확인, 발표 Netlab 360 발표 사이트 링크 https://blog.netlab.360.com/dacls-the-dual-platform-rat-en/ 2020년 5월 트로이 목마화된 2단계 인증 2FA 앱을 통해 배포된 Dacls RAT 의 MacOS 번형 발견 Jamf 발표 사이트 링크 https://objective-see.com/blog/blog_0x57.html Malwarebytes 발표 사이트 링크 https://blog.malwarebytes.com/threat-analysis/2020/05/new-mac-variant-of-lazarus-dacls

0xStudyList - 취약점 데이터베이스 모음 Vulnerability Database 취약점 Vulnerability 은 공격자가 공격을 수행할 때 명확하게 결과, 즉 피해를 줄 수 있는 것으로 정의된다. 이는 코드 설계상의 결함이나 구성의 오류 등 다양한 이유로 결과로 표출되며 보안 전문가는 이런 부분을 찾아서 계속 수정을 요청하거나  즉시 수정을 하지 못할 때는 피해를 최소화 하기 위한 대응을 모색한다. 취약점 정보는 일종의 큰 공격 성공을 위한 정보 모음이며 이런 정보와 맞는 취약점이 공격 대상에 있다면 이는 큰 문제로 이어지는 것은 자명한 일이다. 공격자는 보다 많은 정보를 모아서 확실하게 성공하기 위한 기초 자료로 사용하고 보안 전문가는 이런 정보를 토대로 문제 발생이 하지 않도록 사전 차단을 하도록 방법을 강구해야 한다. 이번 블로그는 이런 취약점 정보를 취합, 공개하는 다양한 사이트의 정보를 정리해 보았다. 1. National Vulnerability Database https://nvd.nist.gov/ NVD 로 지칭 SCAP Security Content Automation Protocol 을 사용하여 표현된 표준 기반 취약점 관리 데이터의 미국 정부의 정보 저장소 이 데이터는 취약점 관리, 보안 측정, 규정 준수 자동화 등에 대해 지원 NVD 에는 보안 검사 목록, 보안 관련 소프트웨어 결함, 잘못된 구성, 제품 이름과 이에 대한 영향 메트릭의 데이터 베이스 등이 포함 NVD 데시보드를 통한 일간 주간 월간 연간 처리 정보 확인 https://nvd.nist.gov/general/nvd-dashboard 2. Common Vulnerabilities And Exposures https://cve.mitre.org/ CVE 로 지칭 국제적으로 광범위하고 공개적이며 무료로 사용 공개적으로 알려진 정보보안 취약점과 알려진 정보의 백과 사전 CVE 의 공통 식별자는 보안 제품간 데이터 교환을 가능 이를 통해 도구나 서비스의 적용 범위를 평가

0xNews - 비밀번호 탈취하는 새로운 안드로이드 맬웨어 발견 ThreatFabric 연구팀 발표 https://www.threatfabric.com/blogs/blackrock_the_trojan_that_wanted_to_get_them_all.html BlackRock 라고 명명 Xerxes 뱅킹 악성 코드에서 파생 2016년 발견됐던 LokiBot Android 뱅킹 트로이 목마의 변종 금융기관 대상 앱은 주로 은행이나 증권 등을 대상으로 하지만 이번 맬웨어는 이를 확장하여 SNS 나 데이트 앱, 암호화폐 앱 관련 대상으로 수행 이 외 안티 바이러스 소프트웨어 탐지 회피 사용자 자격 증명 도용 SMS 메시지 탈취 대상 앱의 키 입력 기록 탈취 연구팀 추적과 분석 결과 BlackRock 는 트로이 목마 코드가 변경된 것 외 대상 목록의 증가와 이를 장기간으로 지속적으로 수행한 것으로 파악 BlackRock 는 안드로이드의 접근성 서비스 권한을 남용함으로써 데이터 수집 수행 설치 후 기기에서 처음 실행될 때 가짜 구글 업데이트로 사용자 권한 획득 이후 추가 권한을 부여하고 원격 명령 제어 서버 C&C 서버와 연결 대상 앱의 로그인이나 지불 화면 위 오버레이를 인젝션하여 악의적인 활동 수행 이러한 자격증명 스틸 오버레이 기법은 유럽과 북미 등 다수의 국가에서 운영되는 금융권 앱이나 쇼핑앱 등에서 발견 비금융앱 대상 목록 리스트 Tinder Tiktok PlayStation Facebook Instagram Skype Snapchat Twitter Netflix Uber eBay Amazon Reddit 등 다수 포함 사용자의 구글 플레이 스토어를 통한 확실한 정보 제공자를 통한 설치 과도한 권한 남용 요구 등에 대한 주의 등이 필요

0xNews - 17년만에 발견된 Windows DNS 서버에 영향을 주는 RCE 취약점 발견 Check Point 보안연구팀 발표 https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/ CVE-2020-1350 지정 SIGRed 라고 명명 이번 취약점을 공격자가 악용한다면 대상 서버에 대한 도메인 관리자에 대한 권한 획득 해당 조직 내 IT 인프라에 대한 완전 제어 - Windows AD 는 Windows DNS 서버와 함께 연동되서 사용되기 때문에 가능 조작된 악성 DNS 쿼리를 Windows DNS 서버에 전송 임의의 코드를 실행하여 SIGRed 취약점 악용 공격자는 사용자의 전자메일이나 네트워크 트래픽을 중간에 가로채서 조작하거나 서비스를 사용할 수 없게 방해하거나 네트워크 트래픽을 통한 사용자 정보 수집 가능 이번 취약점의 가장 큰 문제점은 웜 Worm  공격자는 특별한 상호 작용없이 취약한 컴퓨터에서 다른 컴퓨터로 확산될 수 있는 공격을 수행할 수 있음을 확인 취약점 형태가 웜이기 때문에 한번의 악용으로 인해 공격이 취약한 시스템에서 공격이 수행되면 연쇄적으로, 10여분 정도면 퍼질 수 있음 이번 취약점을 보고 받은 MS 에서는 7월 정기 업데이트 때 일괄 패치 적용 이번 취약점에 대한 패치는 추가로 우선 공개 윈도우에서 발표한 이번 취약점 정보 사이트 링크 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350 이번 취약점을 발표한 연구팀에서는 인증되지 않은 공격자가 Windows DNS 서버를 공격하기 위해서는 DNS 서버에 들어오는 쿼리 query 나 응답 response 에 대해 구문 분석을 수행 분석 결과 전달된 쿼리가 DNS 서버가 지정된 도메인 이름의 IP 주소를 확인할 수 없어서

0xNews - 구글 보안을 우회하고 구글 플레이스토어를 통해 확산되는 조커 Joker 맬웨어 Malware 발견 Check Point 보안연구팀 발표 https://research.checkpoint.com/2020/new-joker-variant-hits-google-play-with-an-old-trick/ 조커 Joker 라고 명명된 맬웨어 Malware 발견 구글의 플레이스토어의 보안조치를 우회하는 방법 사용 응용 프로그램 내부의 악성 DEX 실행 파일을 Base64 인코딩 문자열로 난독처리 후 디코딩하여 손상된 기기에 로드 연구팀 분석 결과 총 11개 앱이 구글 플레이스토어에 등록 2020년 4월 구글에 보고 후 삭제 처리 완료 구글에서 발표한 조커 맬웨어 처리 리스트 사이트 링크 https://docs.google.com/document/d/e/2PACX-1vSg8y-aR4VcGHMTbS2Tmo9KMNdXFYy1y7RVmSF8jx0OxhZKYKL9xwxl8J99SpVHvRcXiQfe3nBQtW7_/pub 링크 페이지에서 발취 내용 중 목록 com.imagecompress.android com.contact.withme.texts com.hmvoice.friendsms com.relax.relaxation.androidsms com.cheery.message.sendsms com.peason.lovinglovemessage com.file.recovefiles com.LPlocker.lockapps com.remindme.alram com.training.memorygame 맬웨어로 분석된 앱으로 구글 플레이스토어에 등록된 앱들은 삭제가 됐지만 향후에도 계속 업데이트 될 것으로 예상 조커 맬웨어는 2017년 최초 발견 최초 기능에는 SMS 사기, 연락처 목록과 기기 정보 도용을 통한 결재 사기 실행 스파이웨어 기능을 통한 악용 이번에 발견된 맬웨어는 분석 엔진에서 문자열을 숨기는 암호화 처리 사용자를 유혹하여 앱을 다운로드 하는 허위 리뷰나 버전 관

0xOS.ubuntu18.04 - 우분투 ubuntu 18.04 LTS 설치 02 설치 전 VMware 설정 VMware 에서는 우분투 설치 시 자동으로 마운트를 2개 잡아준다 autoinst.iso CD 이미지와 플로피 디스크인 autoinst.flp 플로피 디스크 이미지가 이것인데 VMware 설치 시 사용자 이름이나 암호 등을 묻는데 이런 정보들을 저장해서 사용자 설정 등을 묻지 않고 한번에 설치를 하게 도와준다 그런 의미에서 이른바 아무생각하고 싶지 않고 빨리 설치해서 사용하고 싶다 라고 한다면 해당 마운트 정보를 그대로 놔두고 설치를 진행하면 된다 하지만 추후 실제 서버나 컴퓨터 등에 설치할 때는 전혀 도움이 되지 않기 떄문에 다음 이미지에서 처럼 마운트에 대한 것을 마우스 클릭 후 아래  Remove 를 클릭하여 마운트 정보 자체를 삭제한다 물론 우분투 18.04 ISO 이미지만 남겨두고 앞서 언급한 불필요한 이미지 마운트 2개만 삭제 앞서 불필요한 마운트 2개를 삭제 후 시작 리눅스 특유의 서비스 로딩과 서비스 시작 화면이 연속해서 지나간다 설치 시 설치할 언어 지정 기본인 English 선택 후 엔터 Enter 우분투 이미지가 18.04 인데 최신 버전으로 설치할 것을 묻는다 앞에서도 언급했지만 18.04 에서의 프로그램 설치 목적을 정했기 떄문에 Continue... 를 선택 후 엔터 Enter 키보드 설정 화면 Done 선택 후 엔터 Enter 네트워크 설정 화면 VMware 가상화 설치이기 때문에 IP 정보를 자동으로 할당받아 가지고 온다 Done 선택 후 엔터 Enter 프록시 Proxy 서버 설정 무시하고 Done 선택 후 엔터 Enter 우분투 설치 후 저장소인 리파지토리 repository 설정 저장소는 설치 후 변경해도 되니 무시하고 Done 선택 후 엔터 Enter 파일시스템 선택 파티션 설정 화면인데 처음 언급했던 자동 설치 관련 마운트를 해제하지 않으면 아래 화면에서 첫번째로 설치가 진행된다 리눅스 설치시 가장 중요한 파티션은

한편에서는 잦은 업데이트 다른 한편의 관점에서는 빠른 업데이트를 하는 우분투 ubuntu 를 설치하고자 한다 설치 전 참고 사항 다운로드를 위해 우선 우분투 리눅스는 정식 버전 넘버링은 소수점 . 뒤에 .04 개발 버전 넘버링은 소수점 . 뒤에 .10 이 붙는다 또한 배포판 중 뒤에 LTS Long Term Support 가 붙는 버전이 따로 존재한다 이 중 버전 뒤에 LTS 가 붙는 것을 초보자에게 권하는데 그 이유는 다른 버전에 비해 업데이트 기간이 상대적으로 길고 안정적으로 운영한다는 의미를 가지고 있기 때문이다 사용자별 선택과 사용은 자유지만 새롭게 시작하는 입장이라면 xx.04 LTS 등의 이름이 붙는 우분투 버전을 선택하는 것이 최적일 것이다 본 블로그 글을 작성하기 전 우분투 최신 버전은 20.04 LTS 가 나왔지만 18.04 LTS 를 선택한 이유는 최신 버전이라 해도 내부 최적화 문제나 설치 후 각종 패키지를 설치할 블로그의 글 특성으로 인해 정상 설치가 안될 수도 있다는 판단하에 18.,04 LTS 를 선택했음을 밝힌다 0xOS.ubuntu18.04 - 우분투 ubuntu 18.04 LTS 설치 01 - 다운로드 현재 우분투 패포 최신 버전은 20.04 LTS 이기 때문에 검색을 통해 다운로드를 받는다 다음은 우분투 18.04 LTS 다운로드 사이트 링크 https://releases.ubuntu.com/18.04/ 여기서 개인 사용이니 Desktop image 를 다운 받을 텐데 최소 설치 후 각 패키지를 설치할 목적이기 때문에  Server install image 를 다운로드 한다 해당 버전 다운로드 주소 링크 https://releases.ubuntu.com/18.04/ubuntu-18.04.4-live-server-amd64.iso 다운로드 후 설치를 진행한다 https://project-openlab.blogspot.com/2020/07/0xosubuntu1804-ubuntu-1804-lts-01.html

0xNews - F5 BIG-IP 응용 프로그램 보안 서버에서 RCE 취약점 CVSS 10.0 발견 F5 BIG-IP 네트워킹 기기에서 애플리케이션 보안 서버를 수행하는데 CVSS 10 중요한 원격 코드 실행 RCE Remote Code Execution 취약점 발견 Positive Technologies 보안 연구팀 발표 https://www.ptsecurity.com/ww-en/about/news/f5-fixes-critical-vulnerability-discovered-by-positive-technologies-in-big-ip-application-delivery-controller/ CVE-2020-5902 지정 F5 홈페이지에서 해당 취약점 관련 보안 패치 사이트 링크 https://support.f5.com/csp/article/K52145254 취약점 악용에 성공하면 원격 공격자가 대상 시스템을 완전히 제어 가능 시스템에서 관리하는 응용 프로그램 데이터 감시 가능 취약점을 발견한 보안연구팀은 해당 사항을 F5 Network 측에 보고 이번 취약점은 BIG-IP ADC Application Delivery Controller 를 위한 TMUI Traffic Management User Interface 라는 구성 유틸리티에 있음 BIG-IP ADC 는 대기업, 데이터 센터, 클라우드 컴퓨팅 환경에서 사용 이를 통해 애플리케이션 가속화, 로드 밸런싱, 속도 조절, SSL 오프 로딩, 웹 애플리케이션 방화벽 구현 인증되지 않은 공격자는 BIG-IP 구성을 위한 TMUI 유틸리티를 호스팅하는 서버에  악의적으로 제적된 HTTP 요청을 전송하여 취약점을 원격에서 악용할 수 있음 이를 통해 취약점을 성공적으로 악용하면 공격자는 해당 기기에 대한 모든 관리자 제어 권한 획득 결과적으로 권한이 없는 기기에서 원하는 작업 수행 가능 연구팀은 취약점 확인 결과 해당 시스템에서의 파일 생성이나 삭제 서비스 비활성화 정보 탈취 임의의 시스템 명령어 수행 시스템 완

0xNews - Apache Guacamole 취약점으로 인해 원격 데스크톱의 위협 노출 확인 Check Point 보안연구팀 발표 https://blog.checkpoint.com/2020/07/02/hole-y-guacamole-fixing-critical-vulnerabilities-in-apaches-popular-remote-desktop-gateway/ 윈도우와 리눅스 시스템 관리를 위해 시스템 관리자가 사용하는 프로그램 중 하나로 인기있는 원격 데스크탑 애플리케이션 중 하나인 Apache Guacamole 에서 리버스 RDP reverse RDP 취약점 발견 이번 취약점을 공격자가 악용한다면 Guacamole 서버를 완전히 제어 가능 해당 서버에 접속된 모든 연결된 세션을 중간에 가로채고 제어 가능 해당 취약점은 올해 3월 31일 Apache Guacamole 에 보고 올해 6월 패치 발표 Apache Guacamole 업데이트 사이트 링크 https://guacamole.apache.org/releases/1.2.0/ Apache Guacamole 는 많이 사용되는 오픈 소스 클라이언트 원격 데스크톱 게이트웨어 솔루션 회사 서버에 설치하여 사용자가 인증 프로세스 통과 후 웹 브라우저를 사용하여 데스크톱에 원격 접속 실행 시중에 판매되는 NAS 제품군에서도 설치하여 사용 중 도커 Docker 로도 지원되며 현재 1천만건 이상 다운로드 기록 https://hub.docker.com/r/guacamole/guacamole Apache Guacamole 에서는 2020년 1월말 오픈 소스 RDP 클라이언트인 FreeRDP 2.0.0 에 대한 지원을 추가 하지만 FreeRDP 에 대한 리버스 RDP 취약점을 통한 RCE 공격이 되는 것을 확인 https://research.checkpoint.com/2019/reverse-rdp-attack-code-execution-on-rdp-clients/ 연구팀은 FreeRDP 2.0.0-rc4 에서만 취약점 패치

0xNews - 애플 Apple macOS 사용자를 대상으로 하는 새로운 랜섬웨어 Ransomware 발견 K7 Lab 연구팀 산하 연구원의 각각 발표 https://blog.malwarebytes.com/mac/2020/06/new-mac-ransomware-spreading-through-piracy/ https://objective-see.com/blog/blog_0x59.html EvilQuest 라는 랜섬웨어 Ransomware  설치시 애플의 CrashReporter 이나 구글 Google 소프트웨어 업데이트로 위장한 정상적인 앱과 함께 패키지화 해당 랜섬웨어가 정상 작동하면 피해자의 파일을 암호화 이 외 EvilQuest 는 앱의 지속성 확보 키 입력 기록 리버스 쉘 생성 암호화폐 지갑 관련 파일에 대한 탈취 수행 이번 분석을 통해 EvilQuest 는 이전 macOS 대상 랜섬웨어에서 악명 높은 KeRanger과 Patcher 만큼 위협적이라는 평가 KeRanger 관련 정보 사이트 링크 https://unit42.paloaltonetworks.com/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/ Patcher 관련 정보 사이트 링크 https://www.welivesecurity.com/2017/02/22/new-crypto-ransomware-hits-macos/ 현재까지 EvilQuest 는 Little Snitch, Mixed In Key 8 이라는 DJ 소프트웨어나 Ableton Live 같은 유명 프로그램의 트로이 목마 버전으로 유포 중 이렇게 유포되어 설치가 된 EvilQuest 는 샌드박스 검사를 통해 절전 패치를 감지하고 디버거에서 맬웨어 프로그램이 실행되지 않도록 안티 디버깅 로직도 갖추고 있음 연구팀은 KeRanger 같은 경우 설치 직시 맬웨어 활동하는 것이 아닌, 3일 정도 유예 기간 후 활동을 언급 이와 같은 맬웨어의 위장이나