마이크로소프트에서 제공하는 운영체제인 윈도우 11에서 NTLM 릴레이 공격을 방지하기 위해 SMB 서명 필요하다고 합니다. 공격에서 위협 행위자는 네트워크 장치(도메인 컨트롤러 포함)가 공격자의 제어하에 있는 악의적인 서버에 대해 인증하도록 강제하여 악의적인 서버를 가장하고 권한을 상승시켜 윈도우 도메인을 완전히 제어합니다. 윈도우 10과 11이 SYSVOL과 NETLOGON이라는 이름의 공유에 연결할 때만 기본적으로 SMB 서명을 요구하고, 액티브 디렉터리 도메인 컨트롤러가 클라이언트가 연결될 때 SMB 서명을 요구했던 레거시 동작을 변경 SMB 서명은 각 메시지 끝에 포함된 서명과 해시를 통해 발신자와 수신자의 신원을 확인하여 악의적인 인증 요청을 차단하는 데 도움이 됩니다. The cryptogra..
마이크로소프트에서 제공하는 운영체제인 윈도우 10 에 대한 최근 보안 업데이트인 KB5012636을 발표했습니다. 해당 갱신은 Microsoft의 2022년 4월 월간 C 업데이트의 일부이며 Windows 10 사용자는 다음 달 패치 화요일의 일부로 5월 10일에 릴리스된 수정 사항을 테스트할 수 있습니다. 해당 업데이트는 자동 업데이트로 제공을 하지 않으면 사용자가 설치하고 싶은 분들만 설치하시면 됩니다. Windhows 10 선택적 업데이트 에는 일부 장치에서 시스템 정지 및 충돌을 유발하는 문제에 대한 수정 사항이 포함되어 있으며 업데이트 내용은 다음과 같습니다. 보안 업데이트에는 품질 개선이 포함되어 있습니다. 주요 변경 내용은 다음과 같습니다. 특정 판매 지점 터미널에서 최대 40분 동안 다시 ..
지난 시간에 원도우 인쇄 스풀러 인 인쇄 스풀러 제로 데이 취약점인 CVE-2021-34527 일명 Print Nightmare에 대한 긴급 보안 업데이트인 KB5004945 업데이트가 진행이 되었습니다. 해당 취약점을 악용할 때 악의적인 목적을 가진 자가 시스템에 대한 권한을 높이거나 원격에서 코드를 실행할 수 있습니다. 하지만, 해당 보안패치를 하더라도 앞서 이야기한 것처럼 우회할 수 있습니다. 해당 취약점은 Mimikatz 창시자인 Benjamin Delpy 는 악의적인 목적 가진 자가 자신이 제어하는 원격 인쇄 서버를 통해 Windows 시스템에서 SYSTEM 권한을 쉽게 획득할 수 있도록 하는 새로운 제로데이 취약점을 공개했습니다. 해당 부분은 해당 트위터를 참고 하시면 됩니다. 파일은 인쇄..
오늘은 사용자 컴퓨터를 비트코인 채굴에 이용하는 악성코드인 BitCoin Miner에 대해 알아보는 시간을 가져 보겠습니다.비트코인(bitcoin)이라는것은 2009년1월 3일 사토시 나카모토가 개발한 세계 최초의 암호화폐입니다. XBT 또는 BTC로 알려줘 있습니다. 일단 비트코인은 우리가 사용하는 화폐와 다르게 특정한 정부나 중앙은행, 금융기관의 개입이 없이 P2P 방법으로 안전하게 가능하면 유통량은 금처럼 한정돼 있습니다. 즉 비트코인이라는 것은 돈을 발행하는 중앙은행이라는 것이 없고 컴퓨터에 있는 CPU, GPU을 이용을 해서 암호화 문제를 풀며 비트코인이 일정 한량이 채굴될 수가 있게 돼 있으며 많은 컴퓨터가 문제를 풀수록 문제의 난이도가 높아져서 비트코인의 시스템의 보안이 강화됩니다. 즉 비트..
오늘은 지금 동유럽을 강타한 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염 증상 및 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 토끼라고 하면 사람들하고 귀엽고 사랑스러운 동물이기도 하지만 오스트레일리아 즉 호주에서는 인간에 의해서 자연이 파괴한 동물이기도 하고 세계경제공황과 1차 세계대전, 2차 세계대전 때에는 MRE로 활용이 되기 했고 경제 공황 속에서도 훌륭한 단백질 공급원이기도 합니다. 일단 해당 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)은 현재 러시아, 우크라이나, 불가리아, 터키 등을 휩쓸고 있습니다. 현재 확인된 상황은 우크라이나의 오데사 공항, 우크라이나의 키예프 지하철 시스템, 우크라이나 인프라 자원부, 인터 팩스(Interfax)및폰탄카(..
MBR 변조를 한 후 부팅을 방해하는 PETYA 랜섬웨어(패트야 랜섬웨어) 변종 골든 아이 랜섬웨어(Goldeneye Ransomware) 해당 랜섬웨어인 골든 아이 랜섬웨어(Goldeneye Ransomware)는 작년 3월쯤에 발견이 된 랜섬웨어 입니다. 일단 기본적으로 원본 버전인 랜섬웨어 인 PETYA 랜섬웨어하고 비슷한 것을 볼 수가 있습니다. 일단 원본 버전을 한번 보겠습니다. 일단 기본적으로 Master Boot Record (MBR)변조시도를 하고 변조가 성공했을 때는 컴퓨터가 정상적으로 부팅되지 않고 비트코인을 요구하는 특징을 가지고 있습니다. 기본적으로 독일에 있는 한 회사를 목표로 했고 이력서를 발송해서 드롭박스(Drop box)에 악의적으로 조작된 파일을 열게 되면 MBR영역을 덮어..
일단 여기서 Shadow Brokers에 대해 알아보고 가는 시간을 가져 보겠습니다. Shadow Brokers이라는것은 2016년 8월,NSA를 해킹했다면서 NSA 스파이툴 경매 등장을 시작으로 이름을 알리기 시작을 했으며 에드워드 스노든은 NSA 해킹에 관해서 러시아의 경고 메시지라고 말했고 2016년 10월 31일에서는 NSA 해킹에 관련해서 추가 정보를 공개했고 여기서 주의할 점은 한국, 중국, 일본이 정보 수집 국가 3군데였다는 점에서 한국과는 어떻게든 인연이 생긴 곳입니다. 당시 한국에서는 큰 관심거리가 되지 못했습니다. 일단 세계 곳곳에서 보안 등급이 높은 NSA가 해킹을 시도해서 성공했고 그리고 갑자기 1월 활동을 중단했습니다. 일단 해당 이유는 자세하게 알 수가 없으면 추측들이 그리고 해..