openLab

0xNews - 리눅스 루트킷 Facefish 백도어 공격 경고 Qihoo 360 NETLAB 발표 https://blog.netlab.360.com/ssh_stealer_facefish_en/ Facefish 로 명명 사용자 로그인 자격 증명 탈취, 기기 정보 탈취, 리눅스 시스템에 임의 명령 실행하는 백도어 Blowfish 암호를 사용하여 공격자가 제어하는 서버와의 암호화 통신을 하기에 발견하기 쉽지 않음 Facefish 는 Dropper 와 Rootkit 두 부분으로 구성 주요 기능은 Rootkit 모듈에 의해 결정 Ring3 계층에서 작동하며 LD_PRELOAD 기능을 사용하여 로드 ssh / sshd 프로그램 관련 기능을 후킹하여 사용자 로그인 자격 증명 탈취 시도 또한 일부 백도어 기능 지원 Facefish 는 원격 서버에서 Dropper 검색을 위해 CWP Control Web Panel 에 대한 명령 주입 Command Injection 으로 시작되는 다단계 감염 프로세스를 거침 C2 Command & Control 서버에서 발생한 추가 명령을 대기하는 것 외 민감 정보를 수집하고 전송하는 Rootkit 해제 Dropper 는 자체 작업 세트와 함께 제공되며 런타임 환경을 감지하고 구성 파일을 해독 C2 정보를 가져오고 Rootkit 을 구성 이를 sshd 에 인젝션하여 Rootkit 시작 Dropper 주요 특징 루트킷 Rootkit 은 공격자가 시스템에서 상승된 권한을 획득 기본 운영체제에서 수행하는 핵심 작업을 방해 루트킷이 운영체제의 구조를 위장하는 이러한 능력은 공격자에게 높은 수준의 은폐와 회피를 제공 Facefish 는 0x2XX 로 시작하는 명령을 사용하여 공개키를 교환 C2 서버와 통신 데이터를 암호화하는 BlowFish 사용하는 복잡한 통신 프로토콜과 암호화 알고리즘을 사용 다음은 서버에서 보낸 C2 명령 중 일부 0x300 탈취한 자격 증명 정보 보고 0x301 uname 명령에 대한 상세 정보 수집 0x302 리버스

0xNews - VS Code Visual Studio Code 익스텐션 extensions 에서 발견된 버그로 인해 공급망 공격 발생 가능 경고 오픈소스 보안 플랫폼 Synk 연구팀 발표 https://snyk.io/blog/visual-studio-code-extension-security-vulnerabilities-deep-dive/ VS Code Visual Studio Code 익스텐션 extensions 에서 발견된 심각한 보안 버그로 인해 공격자는 개발자의 IDE Integrated Development Environment 를 통해 시스템 구축이나 배포 외 개발자 컴퓨터를 공격할 수 있음 취약한 버그가 포함된 확장 기능으로 인해 개발자 컴퓨터에서 원격으로 임의의 코드를 실행하는데 악용될 수 있으며 이를 통해 공급망 공격 supply chain 의 시발점이 될 수 있음 현재 확인된 익스텐션 리스트 4개 LaTeX Workshop Rainbow Fart Open in Default Browser Instant Markdown 모두 누적 설치 2백만건 이상으로 인기있는 확장 기능 개발자 컴퓨터는 일반적으로 중요한 자격 증명을 직간접적으로 제품의 여러 부분에서 상호 작용하기 위해 보유 공격자는 이번 버그를 통해 개발자가 보유한 개인 키를 유출하거나 이를 통한 개발자 코드가 저장된 서버로 몰래 접속 가능 브라우저의 추가 기능과 같은 VS Code 확장 기능을 사용하면 개발자가 관련된 프로그래밍 언어나 디버거와 같은 추가 기능으로 인해 MS 의 Visual Studio Code 를 편하고 더 강력하게 이용할 수 있게 지원 VS Code 는 누적 사용자 1400만명으로 공격자는 명확하게 대상을 노려서 공격할 수 있음 연구팀은 확장 기능의 플러그인을 통해 얼마나 효과적으로 공격이 가능한지 모의 테스트 중에 이번 버그 확인 연구팀은 앞서 발견된 확장 기능 중 Instant Markdown 에서 확인된 경로 탐색 취약점 path traversal vulnerab

0xNews - RAM의 RowHammer 공격의 새로운 변종 기법 발견 구글 보안 연구팀 발표 https://security.googleblog.com/2021/05/introducing-half-double-new-hammering.html Half-Double 로 명명 현재 모든 방어 수단을 우회하여 메모리에 저장된 데이터를 변조 가능한 RowHammer 변종 공격 발표 이 새로운 공격 기법은 서로 직접 인접하지 않아도 한 행이 제거된 두 메모리 행 사이의 약한 취약한 지점을 이용 제조업체에 의해 만들어진 방어의 사각 지대를 이용하는 TRRespass 공격 기법과 다름 Half-Double 기법은 기본 실리콘 기판의 본질적인 속성을 이용 이것은 RowHammer 를 담당하는 전기적 결합을 이용한 것으로 셀 형상이 축소됨에 따라 효과적으로 더 강해지고 더 먼거리가 된다는 표시일 가능성을 가지고 공격 수행 RowHammer 공격과 함께 두가지 공격 모두 하드웨어가 제공하는 근본적인 보안 보장을 위반한다는 점에서 추측 실행speculative execution 과 비슷 2014년 RowHammer 공격이 처음 발견 공격자가 메모리 행에 대한 반복적인 접속을 통해 피해자인 인접한 행에 저장된 비트를 뒤집을 수 있을 만큼 큰 전기적 장애를 유발 신뢰할 수 없는 코드를 허용하는 DRAM 취약점 이는 샌드박스를 벗어나 시스템을 제어 DRAM 제조업체는 이러한 공격을 막기 위해 TRR Target Row Refresh 과 같은 대응책을 배치 공격자 접속행과 인접한 2개로 제한되어 있기에 2행 거리에 위치한 메모리 셀은 보호 받지 못함 불완전한 보호는 DDR4 메모리 카드의 TRR 방어를 우회 TRRespass 나 SMASH 와 같은 새로운 RowHammer 공격의 변종이 또다시 나올 수 있으며 이번에 발견된 Half-Double 공격은 이와 같은 변종 공격임 구글은 현재 독립적인 표준화 기구이자 반도체 엔지니어링 무역 조직인 JEDEC Joint Electron Dev

0xNews - 새로 발견된 블루투스 취약점으로 인해 MitM 공격 가능 확인 카네기 멜론 대학교 CERT Coordination Center 발표 https://kb.cert.org/vuls/id/799380 AuthValue 공격으로 명명 블루투스 코어나 메시 프로필을 지원하는 기기에서 발견된 취약점으로 인해 공격자는 정상적인 기기로 위장하여 사용자를 속임으로써 MitM man-in-the-middle 공격 수행 가능 코어 Core 와 메시 프로필 Mesh Profile 등 두가지 블루투스 사양은 단거리 무선 기술을 통한 다대다 통신을 허용하는 표준을 정의 애드훅 ad-hoc 네트워크에서 기기간 데이터 전송을 용이하게 함 블루투스 연기 공격 BIAS Bluetooth Impersonation AttackS 은 공격자가 피해자간 공유된 기기의 키를 알고 인증할 필요 없이 피해자와 보안 연결을 설정할 수 있도록 하여 블루투스 인증 메커니즘을 효과적으로 우회 BIAS 공격은 블루투스 보안 연결 설정 인증 절차, 적대적 역할 스위치나 보안 연결 다운 그레이드와 관련되어 최초 발견 블루투스 보안 연결 설정에 사용자 상호 작용이 필요하지 않기 때문에 BIAS 공격은 매우 은밀하고 조용히 작동 BIAS 공격 설명에 대한 Github 사이트 링크 https://francozappa.github.io/about-bias/ 연구팀은 BIAS 공격이 실용적인지 확인하기 위해 Apple, Qualcomm, Intel, Cypress, Broadcom, Samsung 등의 제조업체를 포함한 주요 블루투스 버전 사용 기기를 확보 중요 하드웨어와 소프트웨어 공급업체 31개 블루투스 기기 28개 고유 블루투스 칩 대상 테스트를 수행하여 성공적으로 공격 성공 확인 블루투스 메시 프로필 사양 버전 1.0, 1.0.1 등에서 4가지 별도 취약점 확인 CVE-2020-26555 블루투스 코어 핵심 사양 1.0B ~ 5.2 대상 Bluetooth 레거시 BR / EDR 핀 페어링 프로토콜 CV

0xNews - Nagios 모니터링 소프트웨어에서 중요한 취약점 발견 Skylightcyber 발표 https://skylightcyber.com/2021/05/20/13-nagios-vulnerabilities-7-will-shock-you/ Nagios 는 서버, 네트워크 카드, 애플리케이션, 서비스 등에 대한 모니터링이나 경고 서비스를 제공하는 SolarWinds NPM Network Performance Monitor 과 유사한 오픈 소스 IT 인프라 도구 이번 취약점을 발견한 연구팀은 Nagios 클라이언트가 수천개의 사이트를 모니터링하는 통신 환경에 위치했다고 가정 했을 때 취약점을 통해 클라이언트를 공격 후 모니터링 대상이 되는 고객 사이트 또한 공격이 가능 RCE remote code execution 취약점과 권한 상승 privilege escalation 취약점이 혼합 2020년 10월 Nagios 보고 후 11월 수정, 보안 패치 제공 이번 패치 중 가장 중요한 취약점에 대한 패치 CVE-2020-28648 CVSS 8.8 강력한 업스트림 공격 powerful upstream attack 달성하기 위한 총 5개 취약점 중 하나 익스플로잇 체인을 트리거 하기 위해 점프 지점으로 사용했던 Nagios XI 자동 검색 구성 요소 Auto-Discovery component 에 대한 부적절한 입력 검증에서 문제 발생 연구팀이 확인한 가상 공격 시나리오 CVE-2020-28648, CVE-2020-28910 등을 사용 고객 사이트에서 Nagios XI 서버를 대상으로 RCE 를 이용하여 루트 root 권한 상승 실시 서버에 대한 공격 완료 후 공격자는 Nagios XI 서버를 주기적으로 폴링 Polling 중앙 집중식 인프라 전반에 대한 가시성을 제공하는데 사용되는 업스트림 Nagios Fusion 서버로 악의적으로 조작된 데이터 전송 가능 연구팀은 테스트를 통해 모의 테스트의 XI 서버에서 반환된 데이터를 감염시킴으로서 XSS 트리거 - CVE-

0xNews - 23개 안드로이드앱에서 1억명 이상 개인 사용자 정보 노출 Information Leak Checkpoint 발표 https://research.checkpoint.com/2021/mobile-app-developers-misconfiguration-of-third-party-services-leave-personal-data-of-over-100-million-exposed/ 안드로이드 Android 앱의 잘못된 구성으로 인해 1억명 이상 사용자의 민감 정보가 유출된 것으로 판단 클라우드 서비스를 구성하고 애플리케이션에 통합할 때 모범 사례 best-practices 를 따르지 않음 이런 문제는 사용자 정보 노출과 개발자 관련 정보도 남아 있음 잘못된 구성과 설정 등으로 인해 사용자의 개인 정보와 개발자의 내부 리소스(업데이트 메커니즘이나 저장소 정보나 접속 정보 등)가 노출되어 위험에 처해질 수 있음 Checkpoint 는 구글 플레이 스토어에 등록된 앱 중에서 23개 안드로이드 애플리케이션에 대한 연구 진행 대상이 된 앱 Astro Guru, iFax, Logo Maker, Screen Recorder, T'Leva 등의 앱은 최소 1만에서 1천만회에 이르는 다운로드를 기록 이번 문제는 실시간 데이터베이스, 푸시 알림, 클라우드 스토리지 키를 잘못 구성 이메일, 전화번호, 채팅 메시지, 위치 정보, 비밀번호, 백업, 브라우저 히스토리, 사진 등이 유출되는 결과 발생 분석 결과 인증 장벽 authentication barriers 뒤에 있는 데이터베이스를 보호하지 않음 앙골라 택시 앱인 T'Leva 은 이로 인해 서버와 클라이언트에서 교환되는 메시지는 물론 사용자의 이름, 전화번호, 목적지 등의 사용자 정보 유출로 이어짐 또한 앱 개발자가 푸시 알림을 전송 후 앱에 직접 클라우드 스토리지 서비스에 접속하는데 필요한 키를 내장하고 있음을 확인 해당 정보를 얻게되는 악의적인 사용자라면 개발자를 대신하여 모든 사용자에게 허위 알림

0xNews - 거의 모든 Wifi 기기에 적용되는 취약점 발견 뉴욕대학교 연구팀 발표 https://www.fragattacks.com/ Wifi 무선 통신을 뒷받침하는 IEEE 802.11 기술 표준에서 3가지 설계와 구현에 대한 취약점 확인 이를 통해 공격자가 시스템 공격 후 제어와 내부 핵심 정보 탈취 가능 FragAttack FRgmentation and AGgregation attacks 로 명명 현존하는 무선랜 통신의 보안 프로토콜 중 하나인 WEP Wired Equivalent Privacy 와 WPA3 Wi-Fi Protected Access 3 등을 사용하는 무선 통신 기기가 피해 대상 피해자의 무선 범위 내에 있는 공격자는 이번 취약점을 악용 사용자 정보 탈취나 해당 기기에 대한 공격 가능 테스트 결과 모든 Wifi 제품에 하나 이상 취약점을 가지고 있기에 영향을 받음 대부분 무선랜 제품은 여러 취약점을 함께 가지고 있음 IEEE 802.11 은 Wifi 네트워크 프로토콜 제품군을 사용하는 모든 최신 기기에서의 사용 기반을 제공 랩탑, 타블릿, 프린터, 스마트폰, 스마트 스피커와 기타 기기가 서로 통신하고 무선 라우터를 통해 인터넷에 접속할 수 있도록 하는 통신 규약 2018년 1월 도입된 WPA3 는 무선 컴퓨터 네트워크를 보호하기 위한 강력한 인증과 향상된 암호화와 같은 여러 발전된 기능을 제공 대부분 Wifi 기기의 핵심은 3세대 보안 프로토콜 이번 취약점은 표준 구현시 인코딩된 광범위한 프로그래밍 실수에서 시작 일부 취약점은 1997년까지 거슬러 올라감 취약점은 표준 조각화 standard fragments 와 프레임 집계 방식 aggregates frames 에 관련이 있어서 위협 행위를 가능하게 함 임의의 패킷을 주입 Injection 하여 피해자가 악의적인 DNS 서버를 사용하도록 속이거나 프레임을 위조하여 데이터 탈취 수행  이번 취약점으로 확인된 총 12개 CVE 리스트 CVE-2020-24586 네트워크에 접속 혹은 재접속

0xNews - 안드로이드와 iOS용 앱에서 패치되지 않은 6개 취약점 공개 Axel Persinger 발표 https://axelp.io/MouseTrap MouseTrap 명명 매우 취약하고 잘못된 메커니즘, 암호화 부족, 잘못된 기본값 사용으로 인해 사용자를 위험에 처하게 할 수 있음 Remote Mouse 는 휴대폰과 태블릿을 컴퓨터용 무선 마우스, 키보드, 트랙 패드로 바꾸는 안드로이드 Android 와 iOS용 원격 제어 응용 프로그램 컴퓨터에 설치된 원격 마우스를 사용하여 음성 입력, 컴퓨터 볼륨 조정, 응용 프로그램간 전환을 지원 안드로이드 앱만으로도 1000만번 이상 다운로드 기록 구글 플레이 스토어 해당 앱 관련 정보 사이트 링크 https://play.google.com/store/apps/details?id=com.hungrybolo.remotemouseandroid&hl=ko&gl=US 안드로이드 앱에서 윈도우 서비스로 전송된 패킷을 분석 확인된 문제는 공격자가 사용자의 해시된 암호를 가로채서 레인보우 테이블 공격에 취약 컴퓨터로 전송된 명령 재생도 가능 데모 동영상 발표된 6개 취약점 리스트 CVE-2021-27569 제작된 패킷에 프로세스 이름을 전송하여 실행 중인 프로세스의 창을 최대화하거나 최소화 CVE-2021-27570 특수하게 조작된 패킷으로 프로세스 이름을 전송하여 실행 중인 모든 프로세스 강제 종료 CVE-2021-27571 최근에 사용하고 실행 중인 애플리케이션, 아이콘, 파일 경로를 검색 CVE-2021-27572 패킷 재생을 통한 인증 우회 인증되지 않은 원격 사용자가 암호가 설정된 경우에도 제작된 UDP 패킷을 통해 임의의 코드를 실행 가능 CVE-2021-27573 사전 승인 또는 인증없이 제작된 UDP 패킷을 통해 임의 코드를 실행 가능 CVE-2021-27574 앱의 일반 텍스트 HTTP 사용을 활용하여 업데이트를 확인하고 요청하여 소프트웨어 공급망 공격 supply-chain 수행 피해자가 실

0xNews - 공개된 DNS 서버를 중단시킬 수 있을 새로운 버그 발견 네덜란드와 뉴질랜드 국가 최상위 인터넷 도메인 .nl / .nz 를 관리하는 SIDN Labs 와 InternetNZ 연구팀 발표 https://tsuname.io/ TsuNAME 명명 공개되어 신뢰할 수 있는 DNS 서버에 대한 리플렉션 기반 reflection-based DoS 공격이 가능한 버그 발견 해당 버그는 DNS 리졸버 resolvers 에 영향을 미침 TsuNAME 은 도메인 이름이 주기적 종속 DNS 레코드로 잘못 구성될 때 발생 취약한 리졸버가 이러한 잘못된 구성에 접속하면 루핑 looping 이 시작 권한이 있는 서버와 기타 리졸버로 DNS 쿼리를 빠르게 전송 재귀 DNS 리졸버에 포함된 핵심 구성 요소 중 하나인 DNS 확인 resolution  142.250.71.36 같은 컴퓨터 친화적인 IP 주소로 같은 www.google.com 같은 호스트 이름을 변환 이를 달성하기 위해 요청된 DNS 레코드에 대한 권한 있는 DNS 네임 서버에 도달할 때까지 일련의 요청을 만들어 웹 페이지에 대한 클라이언트 요청에 응답 신뢰할 수 있는 DNS 서버는 조회 중인 도메인의 정확한 IP 주소를 보유하는 사전과 유사 cloudflare 의 DNS 관련 상세 설명 사이트 링크 https://www.cloudflare.com/ko-kr/learning/dns/what-is-dns 하지만 TsuNAME 을 사용하면 도메인 등록 중 잘못된 구성으로 인해 두 영역에 대한 네임 서버 레코드가 서로를 가리키도록 주기적 종속성이 생성되어 취약한 확인자가 단순히 영역간에 반송되어 권한있는 사용자에게 논스톱 쿼리 전송 두 상위 영역의 서버로 인해 상위 영역 권한 서버를 더 큰 권한으로 이용 이것이 어떻게 발생하는지에 관해서는 모두 순환 리졸버가 순환을 알지 못하는 것으로 귀결 주기적으로 종속 된 이름 레코드를 캐싱하지 않음 .nz 도메인에서 수집된 데이터에 따르면 두개의 잘못 구성된 도메인만으로 .

0xNews - 퀄컴 칩 버그로 인해 공격자가 안드로이드 기기에 대해 스파이 활동 가능 경고 CheckPoint 발표 https://research.checkpoint.com/2021/security-probe-of-qualcomm-msm/ 이번에 발견된 취약점을 공격자가 악용한다면 안드로이드 OS 자체를 공격의 진입점으로 사용 악성 코드나 코드 자체를 은폐하여 휴대폰에 인젝션 가능 SMS 메시지나 전화의 통화에 대한 접속 권한 강제 부여 가능 CVE-2020-11292 지정 모뎀이 상위 운영체제에 노출한 QMI 음성 서비스 API 에 있는 힙 오버플로우 overflow 취약점 악성 앱을 이용하여 안드로이드 OS 아래 은폐 가능 모뎀 칩 자체로 인해 기기에 내장된 보안 보호 기기에 탐지되지 않고 파일 탐색창에도 보이지 않음 1990년부터 설계된 퀄컴 Qualcomm MSM 칩을 사용하면 휴대폰이 셀룰러 네트워크에 연결 안드로이드가 MSM 소프트웨어 구성요소와 카메라와 지문 스캐너와 같은 기기의 기타 주변 장치 하위 시스템 간의 통신을 가능하게하는 독점 프로토콜인 QMI Qualcomm MSM Interface 를 통해 칩의 프로세서에 연결 가능 Counterpoint 의 2020년 3분기 조사 결과에 따르면 구글, 삼성, LG, 중국의 샤오미와 원플러스 OnePlus 의 스마트폰을 포함 오늘날 모든 스마트폰의 40%가 퀄컴의 MSM 칩을 사용 이중 약 30% 기기에 QMI 가 포함 Counterpoint 의 조사 결과 사이트 링크 https://www.counterpointresearch.com/mediatek-biggest-smartphone-chipset-vendor-q3-2020/ 공격자는 이 취약점을 이용하여 안드로이드에서 모뎀에 악성 코드를 주입 기기 사용자의 통화내역이나 SMS에 접속 가능 이 외 기기 사용자의 대화를 몰래 들을 수 있음 또한 기기의 SIM 을 잠금 해제하여 서비스 제공 업체가 부과한 제한을 해제할 수도 있음 해당 취약점은 2020년

0xNews - Intel, AMD, ARM 등에서 만들어진 CPU 에서 새로운 스펙터 공격 기법 발견 버지니아 대학과 샌디에고 캘리포니아 대학 연합 연구팀 논문 발표 https://www.windowscentral.com/new-spectre-attack-variants-leave-amd-intel-and-arm-processors-exposed 해당 논문 발표 사이트 링크 https://www.cs.virginia.edu/~av6ds/papers/isca2021a.pdf 2018년 1월 멜트다운과 Meltdown 스펙터 Spectre 취약점 발표 이후 해당 취약점은 소프트웨어적으로 해결할 수 없는 문제이기에 사용자와 관리자에게 오랜 시간 관리 감독을 강제하도록 했음 이번에 발표된 취약점은 현재 모든 스펙터 보호 기능 우회 가능 데스크탑, 랩탑, 클라우드 서버, 스마트폰 등과 같은 거의 모든 시스템에 대해 잠재적으로 공격할 수 있음을 확인 처음 멜트다운과 스펙터의 취약점과 이를 통한 공격이 확인된 후 CPU 칩 제조업체에서는 악성 코드가 허용되는 취약점을 완화하거나 없대도록 대처법을 발전시키면서 꾸준히 노력 예를 들어, 암호화, 암호화 키, 그 외 핵심 정보를 컴퓨터 커널 메모리에서 직접 읽는 형태의 지원을 하도록 변경 맬트다운과 스펙터 취약점에 대한 프리뷰 사이트 링크 https://blog.trailofbits.com/2018/01/30/an-accessible-overview-of-meltdown-and-spectre-part-1/ 이 중 스펙터는 핵심적인 타이밍 사이드 채널 공격 A timing side-channel attack 서로 다른 응용 프로그램간의 격리 isolation 해제 CPU 하드웨어 구현에서 예측 실행 speculative execution 이라는 최적화 방법을 활용 프로그램을 메모리의 임의 위치에 접속하도록 속여 민감 정보 유출 수행 스펙터 공격 핵심은 프로세서가 잘못된 경로를 따라 명령을 실행하도록 속인다는 점 프로세서가 작업을

0xNews - BIOS PrivEsc 버그로 인한 Dell 컴퓨터 기기 사용자 경고 SentinelOne 발표 https://labs.sentinelone.com/cve-2021-21551-hundreds-of-millions-of-dell-computers-at-risk-due-to-multiple-bios-driver-privilege-escalation-flaws/ 2009년부터 발견되지 않은 여러 중요한 권한 상승 취약점을 수정하는 업데이트를 발표 공격자가 커널 모드 권한을 획득하고 DoS 상태 유발 가능 2020년 12월 SentinelOne 보안 연구팀에서 버그 발견 후 Dell 에 보고 기기에 사전 설치되어 제공되는 dbutil_2_3.sys 라는 펌웨어 업데이트 드라이버에 존재 해당 파일은 Dell 에서 만든 추정치 수억대의 데스크탑, 랩탑, 노트북, 타블릿에 존재하며 모두 취약하다고 평가 로컬 인증 사용자 접속이 필요 dbutil_2_3.sys 드라이버의 취약점으로 인해 권한 상승, DoS, 정보 공개로 이어질 수있는 불충분한 접속 제어 취약점 다음 5개 CVE 취약점으로 지정 CVE-2021-21551 - 로컬 권한 상승 # 1 – 메모리 손상 CVE-2021-21551 - 로컬 권한 상승 # 2 – 메모리 손상 CVE-2021-21551 - 로컬 권한 상승 # 3 – 입력 유효성 검사 부족 CVE-2021-21551 - 로컬 권한 상승 # 4 – 입력 유효성 검사 부족 CVE-2021-21551 - 서비스 거부 DoS – 코드 논리 문제 Code logic issue 취약점 5개 모두 CVSS 8.8 로 높은 취약점으로 분류 권한 없이도 컴퓨터의 모든 사용자가 권한 상승과 커널 모드에서 코드를 실행할 수 있음 이런 취약점을 성공적으로 악용한다면 사용자 컴퓨터에 설치된 보안 제품을 우회하는데도 사용할 수 있음 다행인 점은 로컬 권한 상승 취약점이기에 인터넷을 통해 원격에서 악용될 가능성은 낮음 공격을 수행하려면 공격자가 취약한 시스템에서 관

0xNews - 총 21개 취약점이 발견된 Exim 메일 서버 사용 경고 Qualys 발표 https://blog.qualys.com/vulnerabilities-research/2021/05/04/21nails-multiple-vulnerabilities-in-exim-mail-server 21Nails 로 명명 서버에 대한 로컬 접속에 대해 11개 취약점 원격에서 악용될 수 있는 10개 취약점 포함 등 총 21개 취약점 확인  2020년 10월 Exim 에 보고 후 패치 발표 해당 취약점 리스트와 이에 대한 패치 발표 사이트 링크 https://www.openwall.com/lists/oss-security/2021/05/04/6 취약점 중 일부는 함께 연동되어 원격 인증되지 않은 코드 실행 가능 Exim 서버에서 루트 권한 획득 가능 이중 CVE-2020-28017 취약점 같은 경우 역추적 결과 2004년부터 적용된 것이라 Exim 모든 버전에 영향을 미치는 것으로 확인 PoC 데모 동영상 Exim 은 Unix 와 유사한 운영체제에서 널리 사용되는 MTA Mail Transfer Agent  인터넷에서 공개적으로 사용되는 메일 서버 중 60% 이상이 이 소프트웨어를 사용 쇼단 Shodan 검색에 따르면 온라인에 노출된 4백만 Exim 서버가 검색 일부 취약점에 대해 공격자가 성공적으로 악용에 성공하면 이메일 설정을 조정하고 손상된 메일 서버에 신규 계정 생성 가능 로컬 취약점 CVE-2020-28007 - Exim의 로그 디렉터리에서 링크 공격 CVE-2020-28008 - Exim의 스풀 Spool 디렉터리에서 다양한 공격 CVE-2020-28014 - 임의 파일 생성과 클로버링 clobbering CVE-2021-27216 - 임의 파일 삭제 CVE-2020-28011 - queue_run() 의 힙 버퍼 오버플로 overflow CVE-2020-28010 - main() 에서 힙 범위를 벗어난 쓰기 out-of-bounds write CVE-2020

0xNews - ICMP 프로토콜을 이용하는 윈도우 맬웨어 발견 트러스트웨이브 발표 https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/backdoor-at-the-end-of-the-icmp-tunnel/ 핑백 PingBack 으로 명명 윈도우 악성 코드로 은밀하게 통신하기 위해 ICMP 터널링을 활용 공격자가 ICMP 패킷을 활용하여 공격코드에 피기백 piggyback 가능 윈도우의 MSDTC Microsoft Distributed Transaction Coordinator 라는 정상적인 서비스를 통해 피기백으로 지목된 oci.dll 로드 정품 애플리케이션을 사용하여 악성 DLL 파일을 미리 로드하는 DLL 검색 순서 하이재킹이라는 방법 활용 연구팀은 MSDTC 에서 오라클 ODBC 인터페이스를 지원하는데 필요한 플러그인 중 하나로 악성 코드를 지원하는 것으로 지목 MSDTC 가 시작 시 자동으로 실행되도록 구성되어 있지는 않음 하지만 2020년 7월 VIrusTotal 샘플에 제출된 DLL 파일은 윈도우 시스템 디렉터리에 설치하고 지속성을 달성하기 위해 MSDTC 서비스를 시작 맬웨어 설치를 위한 별도의 실행 파일이 중요한 역할을 한 것으로 추정 악성코드가 성공적으로 실행되면 PingBack 은 기본 통신인 ICMP 프로토콜을 사용 ICMP 는 주로 다른 호스트에 연결할 수 없을 때 오류 메시지나 운영 정보를 전달하는데 사용되는 네트워크 계층 프로토콜 특히 PingBack 은 Echo 요청 ICMP 메시지 유형 8 을 활용 메시지 시퀸스 번호 1234, 1235, 1236 은 패킷에 포함된 정보 유형을 나타냄 1234 는 명령 혹은 데이터 1235, 1236 은 다른쪽에서 데이터 수신에 대한 승인 맬웨어가 지원하는 일부 명령에는 임의의 셀 명령을 실행하고 공격자의 호스트에서 파일을 다운로드나 업로드 수행 감염된 시스템에서 악의적인 명령을 실행하는 기능 포함 ICMP 터널링은 새로운 것은 아니지

0xNews - Rust 기반 맬웨어 발견 경고 ProofPoint 발표 https://www.proofpoint.com/us/blog/threat-insight/new-variant-buer-loader-written-rust 러스트 Rust 로 개발된 신규 변종 악성코드 로더를 배포하는 새로운 악성 공격 캠패인 발견 경고 RustyBuer 명명되는 맬웨어 DHL 배송 통지로 위장된 이메일로 배포되는 것을 최근 확보 후 해당 캠패인 확인 2021년 4월초부터 50개 이상 다양한 업종에 걸쳐 200개 이상 공격 조직에서 활용한 것으로 파악 새로운 RustyBuer 변종 맬웨어는 현재 점점 사용 영역을 넓히고 있는 러스터 Rust 로 작성 러스트에서 맬웨어를 재작성하면 기존 맬웨어 대비 탐지에 대해 회피가 조금 더 잘되는 것을 확인 2019년 8월 처음 공개된 RustyBuer 는 다크웹 기반의 해커그룹에서 판매되는 페이로드 중 하나 모듈형 맬웨어로 As a Serivce 제품으로 Windows 시스템에 대해 초기 공격 후 이후 확장 공격에 대한 교두보 역할을 위해 활용 2019년 12월 BustryBuer 은 .NET Core 로 작성된 제어판을 사용하여 완전히 C 언어로 개발된 맬웨어로 분류 ProofPoint 해당 맬웨어 분류에 대한 사이트 링크 https://www.proofpoint.com/us/threat-insight/post/buer-new-loader-emerges-underground-marketplace 2020년 9월 Ryuk 랜섬웨어 배후 운영자는 공격 캠페인 일환으로 RustyBuer 맬웨어 드롭퍼 초기 접속 백터로 사용하는 것을 확인 Sophos 의 RustyBuer 맬웨어 정보 분석 사이트 링크 https://news.sophos.com/en-us/2020/10/28/hacks-for-sale-inside-the-buer-loader-malware-as-a-service/ 이후 2021년 발견된 고용 채용 피싱 매크로를 활용한 다운로