윈도우즈 커널 디버깅의 필수품이자 그 강력한 기능에도 불구하고, CLI 인터페이스만 제공해(제한적 GUI) 접근성이 떨어지던 WinDbg 가 Metro UI 로 업그레이드 됐다. 

분석가들에게 희소식. 아래는 업데이트 된 기능

https://developer.microsoft.com/en-us/windows/hardware/download-windbg

https://www.microsoft.com/en-us/store/p/windbg/9pgjgd53tn86



저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

올해 초 소스코드가 유출된 NukeBot 악성코드, 현재 Jimmy(혹은 Jimmy Nukebot)에서 기존 NukeBot 의 기능에 가상화폐 채굴등을 추가해 더욱 강력한 기능으로 공격에 활발히 사용되고 있다. 

처음 눈에 띄는건 API 임포트 부분. 보통 함수이름이나 서수로 임포트하는 데 반해 함수 이름의 해쉬값(Checksum)비교를 통해 임포트하기에 정적분석이 더 어려워졌다. 

다만 C2 통신에 사용되는 커스텀 프로토콜은 변치않고 남아있다는 소식입니다.

http://www.securityweek.com/jimmy-banking-trojan-reuses-nukebot-code?


저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story


[http://www.securityweek.com/north-korea-accused-stealing-bitcoin-bolster-finances?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]

최근 한국의 비트 코인 거래에 대한 사이버 공격에 대해 북한이 비난을 받고있다. 비영리 동아시아 통신사인 Radio Free Asia (RFA)는 북한이 한국에서 비트 코인 교환에 3건, 

유럽에서 1건의 사이버 공격을 이미 개시했다고 보도했다. 북한이 비트 코인을 목표로 삼고 있다는 전제는 유엔 언론 인터내셔널(UEFA) 통신사의 보도에서 또한 반복된다.

 "한국의 CWIC 사이버 전쟁 연구 센터 (CWIC Cyber ​​Warfare Research Centre)는 해킹 시도의 목표가 전세계의 암호 해독 및 디지털 지불 시스템인 비트 코인 (bitcoin)에 대한 국내 거래로 보인다."고 

주장했다. 한국의 사이버 전쟁 연구소의 정확한 설명은 발표되지 않았다. 그럼에도 불구하고 피싱 이메일이 비트 코인 교환뿐만 아니라 블록 체인, 금융 기술 분야의 기업을 비롯한 

다른 기업을 이용하는 벤처 기업을 목표로 삼고있다. 이 보고서는 "CWIC에 따르면 이메일에 첨부된 악성 코드는 북한 출신의 바이러스와 동일하다"고 덧붙였다.

저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story



시스코 Talos Security Intelligence의 보안 연구원은 공격자가 대상 컴퓨터에서 악성 코드를 실행하여 시스템을 완벽하게 제어할 수있는 LabVIEW 소프트웨어의 심각한 취약점을 발견했다. 

CVE-2017-2779로 식별된 코드 실행 취약점은 LabVIEW에서 사용되는 독점적인 파일 형식인 VI 파일을 열면 트리거 될 수 있다. 

이 취약점은 LabVIEW의 RSRC 세그먼트 구문 분석 기능에서 메모리 손상 문제로 인해 발생한다. VI 파일의 RSRC 세그먼트 내에서 

값을 변조하면 제어된 루프 조건이 발생하여 임의의 null 쓰기가 발생한다. "악의적으로 제작된 LabVIEW 가상 악기 파일

 (* .vi 확장자)은 공격자가 루핑 조건을 제어하여 임의의 null 쓰기를 유발할 수 있습니다."라고 Talos 연구원은 설명하고 있다. 

또한, 현재 벤더사로부터 패치가 발표되지 않았기 때문에 이메일로 수신한 첨부파일을 다운로드할 때에는 신중을 가해야 한다고 강조하고 있다.

[https://thehackernews.com/2017/08/hacking-labview-vi-file.html]

저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story



ERPScan의 연구원은 25달러 라즈베리파이로 SAP POS 시스템 해킹할 수 있는 취약점을 발견했다. 해당 취약점을 악용하면, 고객의 카드 데이터를 훔쳐 서버를 완전히 제어 할 수 있다.

 ERPScan은 "일단 로그인하면 인증 절차없이 SAP POS Xpress Server에 악의적인 구성 파일을 업로드 할 수 있으므로

 POS 시스템의 백엔드 및 프런트 엔드를 무제한으로 제어할 수 있습니다."라고 발표했다. 공격자는 Xpress Server에 새 설정을 구성하고 Xpress 서버에 

특정 명령을 보내 POS 터미널을 다시 시작할 수 있다고 한다. "이 취약점으로 인해 POS 단말기가 원격으로 시작되고 중지 될 수 있습니다."라고 ERPScan은 설명하며 사용자의 주의를 권고하고 있다.

 또한 이 취약점은 신용 카드 번호 데이터를 기록하고 해커의 서버로 직접 전송하는 데 악용 될 수 있다. 현재 SAP POS Retail Xpress Server의 모든 취약점은 SAP에 의해 해결되었으므로 

시스템을 보호하기 위해 가능한 빨리 적절한 패치(SAP 보안 참고 사항 2476601 및 SAP 보안 참고서 2520064)를 설치해야 한다.

[http://securityaffairs.co/wordpress/62458/hacking/hacking-sap-pos.html]

저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

티스토리 툴바