openLab

0xNews - 브라우저 취약점을 악용한 두 개의 백도어 설치 공격 캠페인 트렌드마이크로 발표 https://www.trendmicro.com/en_us/research/20/j/operation-earth-kitsune-a-dance-of-two-new-backdoors.html 구글 크롬 Chrome 와 MS 인터넷 익스플로러 Internet Explorer 과 같은 웹 브라이주 취약점을 악용하여 한국의 디아스포라 diaspora 대상으로 하는 새로운 워터링 홀 공격 정보 공개 디아스포라는 타국가에 살면서 일하는 이주민이나 집단 등을 지칭 오퍼레이션 어스 키스네 Operation Earth Kitsune 로 명명된 이번 캠페인은 악성코드와 두 개의 새로운 백도어 SLUB - 슬랙 SLack and githUB- 의 사용을 포함 exfiltrate 시스템 정보를 이용하여 손상된 기계의 제어를 획득 워터링 홀 공격은 Watering Hole 공격 대상이 방문할 가능성이 높은 정상적인 웹 사이트를 공격하여 미리 감염시킨 후 대기 이후 대상자의 기기에 악성코드를 추가로 인젝션하거나 설치하는 공격 어스 키스네는 북한과 관련된 웹 사이트에 스파이웨어 샘플을 배포한 것으로 알려졌지만 해당 웹 사잍에 대한 접속은 한국 IP 주소에서 시작된 사용자에 대해 차단된 것으로 파악 이전 공격의 SLUB 를 포함하는 윈도우 시스템에 악성 코드를 다운로드하고 공격자 제어 개인 여유 채널로 실행 결과를 게시할 GitHub 저장소 플랫폼을 사용하여 악성코드의 최신 버전을 반복으로 연동 캠페인은 매우 다양하여 피해자 컴퓨터에 수많은 샘플을 배포하고 이 작업 중 여러 C&C 서버에 접속 총 5개 C&C 서버, 7개 샘플 악성 코드, 4개의 N-day 취약점에 대한 익스플로잇을 사용한 캠페인 확인 이런 공격에 대한 탐지를 방해하기 위해 보안 소프트웨어가 설치된 시스템을 건너 뛰도록 설계 공격자가 특수 제작된 HTML 을 통해 샌드박스 내에서 임의의 코드를 실행할 수 있도록 이미

0xNews - 모바일 브라우저의 바 Bar 타입 형태 URL 의 스푸핑 공격 발견 보안 연구원 Rafay Baloch 의 PoC 5개와 함께 발표 https://www.rafaybaloch.com/2020/10/multiple-address-bar-spoofing-vulnerabilities.html 애플 사파리 Safari, 오페라 Opera Touch, UCWeb, Yandex Browser, Bolt Browser, RITS Browser 등 모바일 브라우저에 영향을 미침 모바일 브라우저의 주소 표시 줄, 바 Bar 스푸핑 Spoofing 취약점 확인 이 외 스피어피싱 Spear-phishing 공격이나 악성 코드 전달 등에 대한 추가 공격 가능성 등의 여부 확인 중 이번 취약점은 2020년 여름경 발견 각 브라우저 제조업체에 통보 후 해결, 패치되기 전까지 대기 후 이번에 Rapid7 과 함께 공개 https://blog.rapid7.com/2020/10/20/vulntober-multiple-mobile-browser-address-bar-spoofing-vulnerabilities/ UCWeb, Blot Browser 은 현재까지 패치가 되지 않음 Opera Mini 는 2020년 11월경 수정 후 패치 예상 이번 취약점은 임의의 웹 사이트에서 악성 실행이 가능한 JavaScript 코드를 사용 페이지가 공격자가 선택한 다른 주소로 로드되는 동안 브라우저가 주소 표시 줄을 업데이트하도록 강제하기 때문에 발생 이 취약점은 사파리 브라우저가 임의의 포트를 통해 요청될 때 URL 주소 표시줄을 보존하기 때문에 발생 설정된 간격 함수는 2밀리초마다 bing.com:8080 을 다시 로드 이에 사용자가 원래 URL 에서 스푸핑된 URL 로의 리디렉션을 인식할 수 없음 기본적으로 사파리에서 이 취약점을 더욱 효과적으로 만드는 것은 커서를 통해 포커스가 설정될 때까지 URL 에서 포트번호를 공개하지 않는데 있음 공격자가 악성 웹 사이트를 설정하고 대상이 스푸핑

0xNews - 리눅스 기반 기기의 블루투스 제로 클릭 취약점 공개 구글 보안 연구팀 발표 https://github.com/google/security-research github 를 통해 PoC 도 함께 공개 이번 취약점은 리눅스 블루투스 Bluetooth 소프트웨어 스택에서 제로 클릭 Zero Click 취약점으로 확인 이로 인해 근처에서 인증되지 않은 원격 공격자가 취약한 기기에서 커널 권한으로 임의의 코드 실행 가능 BleedingTooth 라고 명명 발견된 취약점은 총 3개로 노트북과 IoT 기기와 같은 리눅스 기반 시스템을 위한 많은 핵심 블루투스 계층과 프로토콜을 지원하는 오픈소스인 BlueZ 프로토콜 스택에 있음 가장 심각한 취약점을 가진 첫번째는 리눅스 커널 4.8 이상에 영향을 미치는 힙 Heap 기반 유형 CVE-2020-12351 지정 CVSS 8.3 블루투스 표준 L2CAP Logical Link Control and Adaptation Protocol 에 있음 이는 서로 다른 상위 계층 프로토콜 간 데이터 다중화를 제공 이번 취약점은 피해자의 블루투스 기기의 물리적인 주소를 알고 있는 근거리에 있는 원격 공격자가 악성 L2CAP 패킷을 전송 서비스 거부 DoS 혹은 커널 권한으로 임의의 코드 실행을 유발 가능 또한 악성 블루투스 칩도 취약점을 유발할 수 있음 현재 미해결된 이 취약점은 2016년에 만들어진 l2cap_core.c 모듈이 변경 사항에서 도입된 것으로 분석 리눅스 커널의 git 에 등록된 해당 파일 관련 내용 링크 https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/net/bluetooth/l2cap_core.c?id=dbb50887c8f619fc5c3489783ebc3122bc134a31 데모 동영상 링크 더불어 오픈소스 BlueZ 에 투자를 한 인텔에서도 이로 인한 권한 상승 취약점에 대해 경고 발표 https://www.intel.com

0xNews - 2016년부터 2020년 현재까지 가장 많이 악용된 취약점 목록 발표 미국 FBI Federal Bureau of Investigation, 국토 안보부 DHS Department of Homeland Security, 사이버보안 및 인프라 보안국 CISA Cybersecurity & Infrastructure Security Agency 통합 연구팀 발표 https://us-cert.cisa.gov/ncas/alerts/aa20-133a 제로데이 0-Day 취약점과 달리 이미 알려진 취약점을 악용하여 공격하는 것이 공격자 입장에서 더 적은 리소스가 필요 공격자는 적은 리소스를 사용하여 큰 결과를 얻을 수 있기에 정부 담당자와 기업 보안 담당자는 사용하는 애플리케이션의 보안 업데이트에 주기적인 관심을 가져줄 것을 당부 가장 많이 공격자가 사용한 기술 중 하나는 MS 의 OLE Object Linking and Embedding MS 오피스 Office 문서가 다른 앱의 컨텐츠를 포함할 수 있도록 하는 기술 CVE-2017-11882 CVE-2017-0199 CVE-2012-0158 등 3개의 취약점은 해커 그룹에서 가장 많이 악용된 보안 취약점 두번째로 공격을 많이 받은 기술은 Apache Struts  CVE-2019-19781 CVE-2019-11510 등 2개의 취약점은 2020년 가장 많이 악용되는 취약점 2019년 후반부터 현재까지 COVID-19 로 인한 재택 근무로 인해 MS Office 365 를 많이 사용 이 MS Office 365 배포를 잘못 구성하여 외부 공격이 되는 문제도 발생 다음은 2016년부터 현재까지 가장 많이 악용된 취약점 리스트 TOP 10 / 1 CVE-2017-11882 MS Office 취약한 제품 : Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016 제품 관련 악성 코드 : Loki, FormBook, Pony / FAREIT 수정 : Microso

0xtestOS - Metasploitable 3 설치하기 03 - VMware 에서 사용하기 앞서 설치하기 01, 02 가 정상적으로 설치가 되었다면 해당 가상 이미지를 VMware 에서 사용할 수 있도록 한다. 1. VirtualBox 에서 해당 이미지 내보내기 가상 시스템(가상 이미지)를 선택 후 파일 - 가상 시스템 내보내기 를 선택한다. 2. 가상 시스템 내보내기 앞서 화면에서 굳이 선택하지 않더라도 VirtualBox 를 사용하는 중이라면 다수의 가상 시스템에서 어느 것을 내보내기할 것인지 질문하는 창이 나온다. 내보내기를 희망하는 가상 시스템을 선택 후 하단에서 다음을 선택한다. 3. 가상 시스템 내보내기 설정 기본 설정에서 크게 변경할 내용은 없으며 파일을 선택하여 저장하고자 하는 위치와 파일 이름을 정한 후 하단에 다음을 선택한다. 4. 가상 시스템 내보내기 최종 확인 내보내기 전 최종 확인이 완료되면 내보내기를 선택한다. 내보내기 선택 후 화면 남은 시간은 사용자 컴퓨터 마다 다르니 여유 있게 대기하도록 한다. 5. 내보내기 완료 후 해당 파일 확인하기 총 2.16GB 단일 파일로 내보내기가 정상적으로 성공 이제 해당 파일을 VMware 에서 불러오기 - Import 를 하면 된다. Metasploitable3 설치하기에 대한 본 블로그 리스트 0xtestOS - Metasploitable 3 설치하기 01 - 설치 전 준비 https://project-openlab.blogspot.com/2020/10/0xtestos-metasploitable-3-01.html 0xtestOS - Metasploitable 3 설치하기 02 https://project-openlab.blogspot.com/2020/10/0xtestos-metasploitable-3-02.html 0xtestOS - Metasploitable 3 설치하기 03 - VMware 에서 사용하기 https://project-openlab.blogspot.com/2020/10/0x

0xtestOS - Metasploitable 3 설치하기 02 Metasploitable 3 Github 사이트 링크 https://github.com/rapid7/metasploitable3 모든 설치 순서는 Metasploitable 3 Github 를 기준으로 하며 이 중 To build manually 으로 설치를 진행한다. 1. git 을 통한 Metasploitable 3 다운로드 https://github.com/rapid7/metasploitable3 다운로드는 위 사이트에 접속하여 직접 다운로드하기와 git 이라는 프로그램을 통해 다운로드를 받기 두 가지가 있는데 작업자 편한데로 하면 된다. 직접 다운로드 마우스로 Code 라는 버튼을 클릭 후 Download Zip 을 클릭하여 다운로드 후 압축을 푼다. git 을 통한 다운로드 우선 압축을 풀 곳을 먼저 선택한 후  git 프로그램을 통해 설치를 진행한다. 명령어 가장 마지막 . 은 현재 위치로 다운로드라는 의미이며 붙이지 않는다면 metasploitable3 이라는 폴더가 만들어진 후 그 안에 파일이 다운로드 된다. 2. VMimage Build 를 위한 packer 앞에 다운로드한 github 사이트의 폴더 중 ISO 폴더를 살펴보면 이번 Metasploitable3 는 ubuntu 와 windows 서버 둘 중 하나로 설치가 운영체제가 만들어지 면서 그 안에 취약점 파일들이 들어가는 형태로 구성이 된다. packer 를 통해 가상 이미지 제작과 운영체제를 선택한다. 3. vagrant 를 통한 가상 이미지 생성 4. vagrant plugin 설치 5. 가상 이미지 제작 생각보다 시간이 걸리는 마지막 작업 6. 가상 이미지 만들기 확인 위 이미지 하단을 보면 Setting hostname 이라고 나오는 부분에서 아무런 진전도 없고 멈춘 것 처럼 보인다. 이때 VirtualBox 를 실행한다. 자동 실행이 안되서 문제가 생긴 것 처럼 보이지만 숨겨진 형태로 이미 실행 중으로 되어 있음을

0xtestOS - Metasploitable 3 설치하기 01 - 설치 전 준비 모의해킹 대상이 되는 testOS 인 Metasploitable 3 설치인데 우선 설치 전 환경 구성과 이에 필요한 초기 설치 프로그램을 통한 준비를 한다. Metasploitable 3 설치를 위한 메뉴얼 사이트 링크 https://github.com/rapid7/metasploitable3 특이 사항 없으면 위 링크 사이트를 통해 무난히 설치할 수 있다. 본 블로그 페이지는 위 사이트를 참고하여 테스트와 글 게시를 하였고 위 사이트 하단에 있는 To build manually 의 내용을 기준으로 한다. 설치 전 블로그 작성자 환경 구성 CPU i7-7700 RAM 32GB OS Windows 10 Pro Build 2004 설치 전 작업을 위한 필수 설치 프로그램 Oracle VirtualBox https://www.virtualbox.org/ VMware 가 있으니 VirtualBox 는 설치 안해도 된다라고 생각하지 말고 무조건 설치하자. 이유는 하단에 추가 서술. 다음 2개의 프로그램은 Metasploitable 3 Github 에서 설치를 권하는 프로그램 packer https://www.packer.io/downloads.html 본 블로그 설치 테스트 환경은 Windows 이기에 해당 OS 에 맞는 것을 설치 vagrant  https://www.vagrantup.com/downloads 위와 마찬가지로 설치 테스트 환경에 맞는 해당 OS 를 선택해서 설치 윈도우 path 설정을 통해 packer, vagrant 명령어를 윈도우 명령 프롬프트에서 확인한다. git https://git-scm.com/downloads git 은 필수는 아니지만 선택 사항이다. Metasploitable 3 Github 를 통한 다운로드를 우선 실행해야 하는데 git 을 통해서 실행하던지 Github 를 통해서 다운로드 할 수 있기 때문이다. 하지만 명령어를 통한 다운로드를 원한다면

0xNews - 애플 온라인 서비스 분석 결과 최대 55개 취약점 발견 Sam Curry 연구팀 발표 https://samcurry.net/hacking-apple/ 연구팀은 2020년 7월부터 9월까지 3개월 동안 분석과 결과를 애플에 보고 애플은 해당 정보를 전달 받은 후 iPhone 제조업체는 영업일 기준 1~2일 내 취약점 패치 실시 다른 취약점은 4~6시간 내 취약점 수정 실시 이를 통해 애플은 버그바운티 프로그램의 일환으로 약 28개 취약점 확인 후 총 28만 8500 USD 지급 최대 55개 중 29개는 높은 위험 취약점, 13개는 중간 위험 취약점, 2개는 낮은 위험 취약점으로 분석 이번 취약점을 악용하여 일어날 수 있는 가상 시나리오 공격자는 고객과 애플 직원의 애플리케이션 완전 손상 가능 피해자의 iCloud 계정을 자동으로 공격자에게 장악 할 수 있는 웜 실행 소스 코드 검색 내부 애플 프로젝트, 애플에서 사용하는 산업 제어 웨어하우스 소프트웨어 손상 가능 관리 도구나 민감 리소스에 접속할 수 있는 권한의 애플 직원 세션을 공격자가 인수 가능 공격자가 취약점을 성공적으로 악용한다면 사용자의 iCloud 계정 탈취 후 모든 사진, 캘린더 정보, 비디오와 문서 탈취 탈취된 정보를 모든 연락처에 해당 정보 전달 가능 연구팀에서 지적한 중요 취약점 인증과 인증 우회를 통한 원격 코드 실행 RCE Remote Code Execution 잘못 구성된 권한을 통한 인증 우회로 글로벌 관리자 접속 가능 Unsanitized Filename Argument 를 통한 명령 인젝션 Injection 유출된 비밀과 노출된 관리자 도구를 통한 원격 코드 실행 RCE Remote Code Execution 메모리 누출로 인해 직원과 사용자 계정이 손상되어 다양한 내부 애플리케이션에 접속 가능 비 정제 입력 매개 변수를 통한 Vertica SQL Injection Wormable Stored XSS 를 통해 공격자가 피해자의 iCloud 계정을 완전 손상 가능 전체

0xNews - MS Azure 클라우드 서비스 취약점 발견 보안회사 Intezer 발표 https://www.intezer.com/blog/cloud-security/kud-i-enter-your-server-new-vulnerabilities-in-microsoft-azure/ MS Azure App Services 에서 보안 취약점 2개 발견 악의적인 사용자가 SSRF Server Side Request Forgery 공격을 수행 아니면 임의의 코드를 실행하고 관리 서버를 장악할 수 있음 이를 통해 공격자가 App Service 의 git 서버를 조용히 장악 가능 Azure Portal 을 통해 접속할 수 있는 악성 피싱 페이지를 시스템 관리자에게 접속하도록 강제할 수 있음 Azure App Service 는 웹, 앱, 모바일 백엔드를 빌드 하기 위한 호스팅 웹 서비스로 사용되는 MS 에서 서비스하는 클라우스 컴퓨팅 기반 플랫폼 애저 Azure 를 통해 App Service 를 만들면 두 개의 컨테이너 노드와 함께 앱의 HTTP 웹 서버와 앱 서비스의 관리 페이지를 가리키는 두 개의 도메인을 등록하는 새 도커 Docker 환경 생성 Kudu 를 활용하여 Github 혹은 Bitbucket 과 같은 소스 제어 공급자의 앱을 지속적으로 배포 Kudu 의 Github 공유 사이트 링크 https://github.com/projectkudu/kudu 동일하게 리눅스 환경의 애저 배포는 시스템에 대한 진단 정보를 제공 애플리케이션 노드에 대한 SSH 웹 인터페이스 혹은 webssh 로 구성되는 KuduLite 라는 서비스로 관리 KuduLite 의 Github 공유 사이트 링크 https://github.com/Azure-App-Service/KuduLite 첫번째 취약점 하드 코딩된 자격 증명 root / Docker! 을 통해 KuduLite 를 탈취할 수 있는 권한 상승 취약점 인스턴스에 SSH 하고 루트로 로그인하여 공격자가 완전히 제어 가능 이것은 공격자

0xNews - 새로운 UEFI Bootkit 악성 코드 발견 kaspersky 발표 https://securelist.com/mosaicregressor/98849/ 악성 UEFI Unified Extensible Firmware Interface 펌웨어 이미지는 여러 악의적인 모듈이 통합 아프리카, 아시아, 유럽 등의 외교관이나 NGO 구성원을 대상으로 공격 수행 타켓팅 사이버 공격 캠페인으로 대상 피해자의 컴퓨터에 악성 코드를 설치하는데 목적을 둠 발표한 연구팀에서는 MosalRegressor 이라고 명명 분석을 통해 2017년부터 2019년까지 수십명의 피해자 발생 분석 결과 북한과 관련이 있는 것으로 결론 UEFI 는 펌웨어 인터페이스 보안을 향상시키는 BIOS 를 대체하여 맬웨어 Malware 가 부팅 프로세스를 변경하지 않도록 함 UEFI 는 OS 운영체제 자체의 실행을 용이하게 함 이번 공격을 통해 감염이 되면 OS 재설치나 HDD 하드 드라이브 교체에도 악성 코드 삭제 불가 UEFI 펌웨어는 지속적인 악성코드 저장의 완벽한 메커니즘을 제공 정교한 공격자는 운영체제가 실행이 된 후 악성 코드를 배포하기 위해 펌웨어를 수정 원래 펌웨어를 덮서 쓰기 위해 사용된 정확한 감염 경로는 알려지지 않았음 하지만 유출된 메뉴얼에 따르면 악성 코드가 피해자의 컴퓨터에 물리적으로 접근하여 배포될 수 있음을 확인 최초 UEFI 악성코드는 2015년 유출되어 온라인에서 사용가능한 Hacking Team 의 VectorEDK Bootkit 의 맞춤형 버전 Github 의 VectorEDK 사이트 링크 https://github.com/hackedteam/vector-edk 2차 구성 요소를 가져오고 실행하기 위한 추가 다운로드로 구성 스파이활동과 데이터 수집을 목표로 하는 다단계 모듈식 프레임워크 MosaicRegressor 라는 이름의 두번째 페이로드를 설치하는데 사용 이 후 다운로더는 C&C Command & Control 서버에 연결 특정 명령을

0xNews - 바이러스 백신 소프트웨어에서의 취약점으로 인해 컴퓨터 손상 발생 주의 CyberArkLabs 발표 https://www.cyberark.com/resources/threat-research-blog/anti-virus-vulnerabilities-who-s-guarding-the-watch-tower 맬웨어 Malware 방지 제품과 관련된 높은 권한은 종종 파일 조작 권한을 통한 악용에 더 취약하게 하여 맬웨어가 시스템에 대한 높은 권한을 얻는 시나리오를 만들어서 공격 수행 이번에 발견된 취약점은 다음 백신 소프트웨어에 존재 확인 Kaspersky McAfee Symantec Fortinet Check Point Trend Micro Avira MS Defender 이번 취약점은 확인 후 각 공급업체 통보 후 수정 완료 발견된 취약점 중 중요도가 가장 높은 것은 임의의 위치에서 파일을 삭제하는 기능 공격자가 시스템의 모든 파일을 삭제 가능 시스템의 모든 파일 내용을 삭제할 수 있는 파일 손상 취약점 file corruption vulnerability Windows 의 C:\ProgramData 폴더에 대한 기본 DACL Discretionary Access Control Lists 에서 발생 응용 프로그램에서 추가 권한없이 표준 사용자를 위해 데이터를 저장 모든 사용자가 디렉토리의 기본 수준에 대한 쓰기와 삭제 권한을 모두 가지고 있다는 점을 감안할 때 권한이 없는 프로세스가 나중에 권한이 있는 프로세스에서 접속할 수 있는 'ProgramData' 에 새 폴더를 만들 때 권한 상승 가능성이 높아짐 이번 취약점으로 인한 소프트웨어의 CVE 리스트 Kaspersky  CVE-2020-25045, CVE-2020-25044, CVE-2020-25043 McAfee CVE-2020-7250, CVE-2020-7310 Symantec CVE-2019-19548 Fortinet CVE-2020-9290 Checkpoint CVE-2019