openLab

0xNews - 유튜브 컨텐츠 제작자 계정을 노리는 악성코드 발견 Intezer 발표 https://www.intezer.com/blog/research/ytstealer-malware-youtube-cookies/ YTStealer 명명된 악성 도구 다크웹에서 서비스로 판매되는 것으로 보이며 RedLine Stealer 이나 Vidar 등이 설치되는 가짜 설치 프로그램을 사용하도록 배포 YTStealer 가 다크웹 시장에서 판매되는 다른 스틸러와 다른 점은 얻을 수 있는 모든 것을 잡는 대신 획득 가능한 단일 서비스에 대한 자격 증명을 수집하는데 더 집중한다는 것 그러나 악성코드의 작동방식은 사용자 프로필 폴더에 있는 웹 브라우저의 데이터베이스 파일에서 쿠키 정보를 추출한다는 점에서 악성코드와 유사 유튜브 YouTube 컨텐츠 제작자를 대상으로 삼는 이유는 감염된 컴퓨터에 설치된 브라우저 중 하나를 사용하여 유튜브 채널 정보를 수집하기 때문 헤드리스 모드 headless mode 에서 브라우저를 실행하고 데이터 저장소에 쿠키를 추가한 다음 Rod 라는 웹 자동화 도구를 사용하여 사용자의 유튜브 스튜디오 페이지로 이동하여 컨텐츠 제작자가 해당 채널을 설정 관리 감독 실행 이에 맬웨어는 채널 이름, 구독자 수, 생성 날짜 등을 포함한 채널에 대한 모든 정보를 도메인 이름 youbot[.]solutions 원격 서버로 전달하여 외부로 유출 YTStealer 의 또 다른 주목할 장면은 디버깅이나 메모리 분석을 방해하기 위해 오픈 소스 Chacal 안티 VM 프레임워크를 사용 Chacal 에 대한 Github 링크 https://github.com/p3tr0v/chacal 유출되는 도메인을 추가로 분석한 결과 2021년 12월 12일에 등록 whois 의 해당 도메인 검색 결과 https://whois.domaintools.com/youbot.solutions 미국 뉴멕시코주에 위치한 동일한 이름의 소프트웨어 회사와 연결된 것을 확인 하지만 Intezer 이 수집한

0xNews - UnRAR 취약점을 통해 짐브라 웹메일 서버 공격 확인 SonarSource 발표 https://blog.sonarsource.com/zimbra-pre-auth-rce-via-unrar-0day/ RARLab 의 UnRAR 유틸리티에 새로운 보안 취약점 발견 취약점을 통한 공격 성공시 공격자는 원격에서 바이너리에 의존하는 시스템에서 임의 코드 실행 가능 CVE-2022-30333 지정 악의적으로 제작된 RAR 아카이브를 추출할 때 트리거될 수 있는 유닉스 Unix 버전의 UnRAR에 위치한 경로 탐색 취약점과 관련이 있음 2022년 5월 4일과 6일에 릴리스된 버전 6.12 일부에서 RARLab 에서 이 취약점 해결 윈도우와 안드로이드 운영체제용 버전을 포함한 소프트웨어의 다른 바전은 영향을 받지 않음 응용 프로그램이나 피해자가 신뢰할 수 없는 아카이브를 추출할 때 공격자는 대상 추출 디렉토리 외부에 파일을 생성할 수 있음 알려진 위치에 쓸 수 있다면 시스템에서 임의 명령을 실행하는 방식으로 이를 악용 가능 취약한 인스턴스에서 사전 인증된 원격 코드 실행으로 이어질 수 있는 짐브라 Zimbra 협업 제품군도 포함 공격자가 이메일 서버에 대한 완전 접근 권한 부여 후 이를 악용하여 조직 내 다른 내부 리소스에 접근하거나 덮어 쓰기 가능 RAR 아카이브가 슬래스와 백슬래시가 혼합된 심볼링 링크를 포함하도록 제작된 심볼릭링크 공격과 관련 현재 검사를 우회하고 예상 디렉토리 외부 추출 가능 취약점은 백슬래시를 슬래시로 변환하여 윈도우에서 생성된 RAR 아카이브를 유닉스 시스템에서 추출 앞서 언급한 심볼링 링크를 효과적으로 변경할 수 있도록 설계된 기능과 관련이 있음 이런 동작을 이용하여 공격자는 짐브라의 웹 디렉토리에 JSP 셸을 생성하여 악의적인 명령을 내릴 수 있음 또한 대상 파일 시스템의 어느 곳에서나 임의 파일 생성 가능 이번 공격이 가능한 유일한 요구 사항은 UnRAR 이 서버에 설치되어 있어야 함

0xNews - MS 애저 서비스 Fabric 에서 새로운 취약점 발견 Palo Alto Networks Unit42 발표 https://unit42.paloaltonetworks.com/fabricscape-cve-2022-30137/ FabricScape 로 명명 CVE-2022-30137 지정 런타임 액세스 권한을 갖도록 구성된 컨테이너에서 악용될 수 있음 2022년 6월 14일 Service Fabric 9.0 누적 업데이트를 통해 문제 수정 MS 애저 Azure Service Fabric 는 MS 의 PassS Platform-as-a-Service 머신 클러스터에 마이크로서비스 기반 클라우드 애플리케이션을 구축 및 배포하는데 사용되는 컨테이너 오케스트레이터 솔루션 이번 취약점으로 손상된 컨테이너에 대한 접근 권한이 있는 공격자가 권한을 상승 시키고 리소스의 호스트 SF 노드와 전체 클러스터에 대한 제어 권한 획득 가능 이번 버그는 윈도우와 리눅스의 두 운영체제 플랫폼에 모두 존재하지만 리눅스에서만 악용 가능 Service Fabric 클러스터는 네트워크로 연결된 여러 노드의 집합 각 노드는 마이크로서비스나 컨테이너로 구성된 애플리케이션을 관리하고 실행하도록 설계 이번 취약점은 진단 정보 수집을 당담하는 symlink race 와 관련된 DCA Diagnostics Collection Agent 라는 구성 요소에 존재 이 취약점은 리눅스 컨테이너와 윈도우 컨테이너 모두 관찰 하지만 윈도우 컨테이너에서는 권한이 없는 공격자가 해당 환경에서 심볼릭 링크를 생성할 수 없었기에 악용될 수 없었음 리눅스 코드 실행을 위해 컨테이너가 실행되는 호스트의 /etc/environment 파일을 재정의하는 취약점을 이용 루트로 실행되는 내부 시간별 cron 작업을 악용 악성 환경 변수를 불러와 악성 공유 객체를 로드함으로써 수행 코드 실행을 확보하기 위해 동적 링커 하이재킹 dynamic linker hijacking 이라는 기술 사용 동적 링커 하이재킹 dynamic

0xNews - openSSL에서의 원격 메모리 손상 취약점 발견 Guido Vranken 보안연구원 취약점 공개 https://guidovranken.com/2022/06/27/notes-on-openssl-remote-memory-corruption/ openSSL 라이브러리의 최신 버전에서 일부 시스템에서 원격 메모리 손상 취약점 확인 2022년 6월 21일 릴리스된 openSSL v.3.0.4 취약점 존재 확인 AVX-512 명령어 세트가 있는 x64 시스템이 영향을 받음 openSSL v.1.1.1 과 openSSL 포크 BoringSSL, LibreSSL 은 영향을 받지 않음 이번 취약점은 공격자가 작은 행동으로 촉발시킬 수 있으며 단점은 수정되었지만 패치 업데이트 발표는 진행되지 않음 이번 취약점 패치에 대한 Github 정보 업데이트 https://github.com/openssl/openssl/pull/18626/commits/71ad6a8da3e39bd4caf5c6c767287ddd9bce8bae openSSL 은 TLS Transport Layer Security 프로토콜의 오픈 소스로 구현되어 제공되는, 널리 사용되는 암호화 라이브러리 AVX Advanced Vector Extensions 는 인텔이나 AMD 등의 마이크로프로세서용 x86 명령어 세트 아키텍처에 대한 확장 openSSL 재단은 AVX-512 지원 시스템에서 3.0.4 릴리스를 사용할 수 없게 만드는 심각한 버그로 판단 원격 컨텍스트에서 쉽게 발생할 수 있는 RSA 서명에 의해 트리게될 수 있는 힙 버퍼 오버플로 heap buffer overflow

0xNews - 파이썬 라이브러리에 숨겨진 백도어를 통한 공격 발견 Sonatype 발표 https://blog.sonatype.com/python-packages-upload-your-aws-keys-env-vars-secrets-to-web AWS 자격 증명과 환경 변수를 공개적으로 노출된 엔드포인트로 유출하도록 설계된 파이썬 python 라이브러리 발견 확인된 파이썬 라이브러리 리스트 loglib-modules pyg-modules pygrata pygrata-utils hkg-sol-utils 등 현재 해당 패키지와 엔드포인트는 삭제 이러한 패키지 중 일부는 암호키 등을 읽고 추출하는 코드를 포함하거나 작업을 수행할 종속된 코드 중 하나를 사용 liglib-modules / pygrata-utils 등에 삽입된 악성 코드를 통해 패키지는 AWS 자격증명, 네트워크 인터페이스 정보나 환경 변수를 수집 hxxp://graph.pygrata.com:8000/upload 의 엔드포인트로 전송 문제는 수백개의 .txt 파일 형식으로 저장되는 이 정보는 호스팅하는 엔드포인트가 인증 장벽으로 보호되지 않아 웹 상으로 모든 당사자가 이런 자격 증명에 접근할 수 있음 pygrate 와 같은 패키지는 앞의 두 패키지 중 하나를 종속성으로 사용 코드 자체를 포함하지 않음 도난된 자격 증명이 의도적으로 웹에 노출되었거나 잘못된 모의해킹 일부 관행의 결과인가라고 했을 때 보안 테스트라 해도 이번 활동의 의심스러운 특성을 배제할 수 있는 명확한 정보가 현재로서는 많지 않음 해당 행위자에 대한 신원과 동기 정보가 현재까지 불명확

0xNews - OT 기기를 만드는 10개 공급업체에 56개 취약점 공개 Forescout 발표 https://www.forescout.com/research-labs/ot-icefall/ OT:ICEFALL 로 총칭하는, Motorola, Emerson 등 최대 26개 기기 모델에서 56개 취약점 공개 이러한 취약점을 악용하여 다음 행동 실행 가능 대상 기기에 대한 네트워크 접근 권한이 있는 공격자가 원격으로 코드를 실행 OT기기의 파일이나 펌웨어 변경 인증 우회 자격 증명 손상 DoS 발생 이 외 다양한 운영상 정상 서비스 방해 등을 기술 보고서에 서술 PDF 문서 다운로드 링크 https://www.forescout.com/resources/ot-icefall-report/ 이번 취약점에 영향을 받는 제품군들은 석유나 가스, 화학, 원자력 등 중요 기반 시설 산업에 널리 사용 취약점을 공격자가 악용한다면 엄청난 문제가 발생될 수 있음 발견된 56개 취약점 중 38%는 자격 증명 손상, 21%는 펌웨어 조작, 14%는 원격 코드 실행, 8%는 구성 정보 변조 허용 더 중요한 점은 우회하거나 위험한 암호화 프로토콜 사용, 하드코딩된 일반 텍스트 자격 증명을 포함한 인증 체계가 손상되어 56개 취약점 중 22개를 차지 이는 수준 이하의 보안 제어 레벨로 인지 악용 가능한 가상의 공격 시나리오에서는 이런 취약점을 통해 천연 가스 파이프라인이나 풍력 발전소 터빈, 개별 제조 조립 라인 등에 대한 공격 후 점거를 통한 무기화, 연료 운송 등의 방해 등을 가능할 것으로 추측 이런 공격 시나리오 중 Omron NJ/NX 컨트롤러에 있는 취약점 CVE-2022-31206 은 원격 코드 실행 REC 취약점 CHERNOVITE 라는 국가 연계 그룹은 PipeDream, 일명 Incontroller 라는 정교한 악성 코드를 개발하여 악용 위험 관리를 복잡하게 하는 것은 CVE 부재는 말할 것도 없고 많은 OT시스템의 불투명하고 독점적인 특성과 함께 IT와 OT 네트워크 간 상

0xNews - 윈도우 도메인을 노리는 새로운 NTLM 릴레기 공격 경고 Filip Dragovic 보안연구원 공개 https://twitter.com/filip_dragovic/status/1538154721655103488 DFSCoerce 라고 하는 새로운 종류의 윈도우 NTLM 릴레이 공격이 DFS Distributed File System 분산 파일 시스템의 MS-DFSNM Namespace Management 을 활용 윈도우 도메인 제어의 권한을 점유할 수 있는 것으로 확인 MS-DFSNM Namespace Management 은 분산 파일 시스템 구성을 관리하기 위한 RPC Remote Procedure Call 인터페이스를 제공 NTLM NT Lan Manager 릴레이 공격은 시도와 응답 메커니즘을 이용하는 잘 알려진 방법 이를 통해 공격자가 클라이언트와 서버 사이에 위치해서 검증된 인증 요청을 중간에 가로채고 릴레이를 수행 네트워크 리소스에 대한 무단 접근을 할 수 있음으로 AD Active Directory 환경에서 효과적으로 초기 공격 발판을 확보할 수 있음 DFSCoerce 발견은 MS-EFSRPC Encrypting File System Remote Protocol 남용하여 공격자의 제어하에 있는 릴레이를 통해 인증하도록 도메인 컨트롤러를 포함한 윈도우 서버를 강제하는 PetitPotam 이라는 방법과 유사 DFSCoerce 의 Github 사이트 정보 공개 https://github.com/Wh04m1001/DFSCoerce 도메인 컨트롤러의 NTLM 인증 요청을 AD CS 시스템의 인증 기관 웹 등록이나 인증서 등록 웹 서비스로 중계함으로써 공격자는 TGT Ticket Granting Ticket 를 얻는데 사용할 수 있는 인증서를 얻을 수 있음 NTLM 릴레이 공격을 완화하기 위해 MS 는 EPA Extended Protection for Authentication, SMB 서명과 같은 보호를 활성화 AD CS 서버에서 HTTP

0xNews - 5년간 취약점이 악용된 애플 사파리 취약점에 대한 상세 정보 공개 Google Project Zero 발표 https://googleprojectzero.blogspot.com/2022/06/an-autopsy-on-zombie-in-wild-0-day.html CVE-2022-22620 지정 CVSS 스코어 8.8  Webkit 구성요소의 use-after-free 취약점과 관련하여 특수하게 조작된 웹 콘텐츠가 임의의 코드를 실행하도록 악용 가능 애플 Apple 은 2022년 2월, 사파리 Safari, iOS, iPadOS, macOS 전반에 걸쳐 버그 패치 업데이트 실시 해당 취약점이 악용될 수 있음을 간접적으로 인정 이번 취약점이 처음 보고된 2013년 완전 패치 됐음을 확인 그러나 변종으로 인해 3년 후 대규모 리팩토링 작업으로 인해 취약점 관련 코드 재도입 이 후 2022년 1월 패치 전까지 제로데이 취약점으로 5년 동안 계속 존재 취약점이 발생된 2013년 코드와 2022년 코드는 본질적으로 동일하지만 취약점을 유발하는 경로는 다름 2016년 10월과 2016년 12월 커밋의 양은 둘 다 매우 컸음 10월 커밋은 900개의 추가와 1225개의 삭제가 있는 40여개 파일 변경 12월 커밋은 1336개의 추가와 1325개의 삭제를 포함하는 95개 파일 변경 개발자나 검토자는 커밋의 각 변경 사항이 보안에 미치는 영향에 대해 이해하고 영향을 미치는지에 대한 여부에 대해 보다 객관적인 검토와 평가가 수반되어야 함

 0xNews - 심각한 UNISOC 칩 취약점으로 안드로이드 스마트폰 사용자 위협 경고 CheckPoint 발표 https://research.checkpoint.com/2022/vulnerability-within-the-unisoc-baseband/ UNISOC 의 스마트폰 칩셋에서 치명적인 취약점이 발견 이 취약점으로 인해 기형적인 패킷을 통해 스마트폰의 무선 통신을 방해 가능 해당 취약점을 패치하지 않고 방치한다면 특정 지역의 통신 무력화를 통한 사이버 무기화 가능 취약점의 핵심은 안드로이드 OS 가 아니라 통신 모뎀 펌웨어에 존재 UNISOC 는 중국 상하이에 본사를 둔 반도체 회사 미디어택 Mediatek, 퀄컴 Qualcomm, 애플 Apple 에 이은 세계 4번째로 큰 모바일 프로세서 제조 업체 이번 취약점은 CVE-2022-20210 지정 CVSS 스코어 10점 만점 중 9.4 크리티컬 UNISOC 의 LTE 프로토콜 스택 구현의 리버스 엔지니어링에 따라 발견 모뎀 펌웨어에서 NAS Non-Access Stratum 메시지를 처리하는 구성 요소의 버퍼 오버플로 buffer overflow 와 연관이 있어서 DoS 발생  - LTE protocol stacks 이번 취약점에 대한 대응을 위해 사용자는 2022년 6월 구글 안드로이드 보안 게시판을 참고하여 소프트웨어 업데이트 하는 것을 권고 구글 안드로이드 보안 게시판 사이트 링크 https://source.android.com/security/bulletin 공격자는 무선 방송국을 사용하여 모뎀을 재설정하는 기형적인 패킷을 보내 사용자의 통신 가능성을 취소시킬 수 있음