Python urllib HTTP 헤더 인젝션 취약점 Python의 urllib라이브러리(Python2에서는 urllib2，Python3에서는 urllib)에는 HTTP 스키마에 프로토콜 스트림 인젝션 취약점이 존재합니다. 만약 공격자가 Python 코드를 조작하여 임의의 URL 혹은 Python 코드를 통해 악의적인 webserver에 방문하도록 한다면, 내부망은 심각한 보안위협을 받을 수 있습니다. HTTP 프로토콜은 호스트를 처리할 때 인코딩된 퍼센티지 값으로 받아들인 뒤 디코딩 후 HTTP 데이터 스트림에 포함시킵니다. 하지만 추가적인 검증이나 인코딩을 하지 않기 때문에, 새로운 라인을 추가할 수 있습니다. #!/usr/bin/env python3 import sysimport urllibimpo..

국내외 보안동향 2016. 6. 21. 10:46

Windows DDE 프로토콜을 악용하는 최신 Flash 0 day취약점!Latest Flash Zero-Day Abuses Windows DDE Protocol 저번주, Adobe측은 새로운 제로데이 취약점인 CVE-2016-4171을 패치하였습니다. 이 취약점을 통하여 공격자는 Windows DDE 프로토콜을 이용하여 악성코드를 유포할 수 있으며, 타겟형 피싱공격을 진행할 수 있습니다. * DDE 프로토콜DDE(Dynamic Data Exchange) 프로토콜은 윈도우에서 응용프로그램 간 데이터전송을 위해 사용하는 프로토콜 지난주 화요일, 보안연구원은 플래시의 새로운 제로데이 취약점을 공개하였으며, 이틀뒤 Adobe는 해당 취약점이 패치된 Flash Player 22.0.0.192를 공개하였습니다. ..

국내외 보안동향 2016. 6. 20. 15:24

다수의 Github 계정, ‘패스워드 재사용 공격’ 기법으로 해킹 당해Github accounts Hacked in 'Password reuse attack' 매우 인기있는 코드 저장 사이트인 GitHub(깃허브)이 밝혀지지 않은 해커들이 최근 발생한 데이터 유출 사건을 통해 얻은 이메일 주소 및 패스워드를 재사용하여 수 많은 유저들의 계정이 유출 되었다고 경고하였습니다. 이로써 페이스북, 트위터에 이어 GitHub이 패스워드 재사용 공격의 타겟이 되었습니다. GitHub이 발행한 공지문에 따르면, 지난 6월 14일에 엄청난 횟수의 로그인 시도가 있었는데 이는 알려지지 않은 공격자가 “타 사이트”에서 얻어낸 이메일 주소 및 패스워드 리스트를 이용하여 로그인을 시도했다는 것입니다. GitHub의 관리자들이..

국내외 보안동향 2016. 6. 20. 09:55

JavaScript 만 사용한 랜섬웨어 발견!Ransomware created using only JavaScript discovered 보안 연구진이 JavaScript 만을 사용해 제작된 새로운 랜섬웨어 RAA를 발견했습니다. JavaScript는 본래 고급 암호화 함수를 포함하고 있지 않지만, 해당 랜섬웨어는 CryptoJS library를 사용하여 AES암호화를 통해 파일을 암호화할 수 있습니다. Word 문서로 가장한 이메일 및 첨부파일을 통해 배포되며, mgJaXnwanxlS_doc_.js 같은 이름을 사용합니다. 파일이 실행되면, 악성코드는 컴퓨터를 암호화 해 복호화에 $250 (0.39BTC)를 요구합니다. 해당 코드는 Windows Script Host (WSH)로 실행되며, 이는 시스템..

국내외 보안동향 2016. 6. 17. 15:55

모든 윈도우 버전에 영향을 줄 수 있는 BadTunnel 취약점(CVE-2016-3213)!'BadTunnel' Bugs Left Every Microsoft Windows PC Vulnerable For 20 Years 6월 윈도우 보안패치 중에는 일명 "BadTunnel"이라고 명명된 취약점 패치가 포함되어 있었습니다. BadTunnel(CVE-2016-3213)은 Win95부터 Win10까지 모두 영향을 받는 취약점으로, 지금까지 발견된 취약점들 중 영향받는 대상이 가장 광범위한 취약점입니다. 이 취약점은 설계상의 문제 때문에 발생하였습니다. 사용자가 URL을 클릭하거나 임의의 Office 문서, PDF 문서 혹은 기타 형식의 파일을 열거나, 혹은 USB를 연결(심지어 사용자가 USB에 저장되어 있..

국내외 보안동향 2016. 6. 16. 14:44

Struts2 원격코드실행 취약점 S2-037(CVE-2016-4438) 발견! Apache Struts2에서 취약점 S2-037(CVE-2016-4438)이 발견되었습니다. 이번 취약점은 사용자가 REST 플러그인을 사용할 때 공격자가 원격으로 임의의 코드를 실행할 수 있는 취약점입니다. 영향받는 버전 Apache struts 2.3.20 - 2.3.28.1 버전에서 REST 플러그인을 사용하는 사용자 패치방법 Struts2.3.29로 업그레이드 참고 : https://cwiki.apache.org/confluence/display/WW/S2-037

국내외 보안동향 2016. 6. 16. 10:34

ATM 악성코드 Skimmer 업데이트 버전 발견ATM infector 2009년, 사용자 PC를 감염시키지 않고 직접 ATM을 공격하는 Skimmer라는 악성코드가 최초로 발견되었습니다. 그리고 최근, Skimmer 악성코드의 업데이트 버전이 발견되었습니다. 공격자들은 분석가들의 분석을 어렵게 하기 의하여 패킹을 합니다. Skimmer 역시 Themida를 이용하여 패킹을 하였으며, infector과 dropper 역시 패킹을 하였습니다. 악성코드가 실행된 후에는 파일시스템이 FAT32인지 아닌지 확인을 합니다. 만약 FAT32 이라면 C:WindowsSystem32 경로 하위에 netmgr.dll파일을 드랍합니다. 만약 NTFS 라면 XFS서비스의 실행가능파일의 NTFS 데이터스트림 중 동일한 파일을..

국내외 보안동향 2016. 6. 16. 09:24

금융악성코드 시장에 새로운 위협, Bolek 뱅킹 악성코드 Combo of Zeus and Carberp Trojans Discovered with Self-Spreading Capabilities Bolek는 뱅킹 악성코드로, 예전에 유출되었던 Carberp와 Zeus의 코드에서 파생되었습니다. 악성코드 제작자는 이 두개의 코드를 섞어 새로운 뱅킹 악성코드를 제작하였습니다. CERT Poland 연구원은 5월 중순 해당 악성코드를 처음 발견하였습니다. 폴라드에서 발송된 피싱메일을 조사하던 중 Bolek와 Carberp의 KBot 모듈이 매우 유사한 점을 확인하였습니다. 미국의 보안회사 PhishMe는 Bolek의 동작방식에 대하여 종합적인 조사를 벌인 결과, Bolek와 Carberp가 서로 매우 유사..

국내외 보안동향 2016. 6. 15. 13:53