오늘은 북한 해킹 단체 Reaper(리퍼)에서 만든 악성코드 인 mfc100.dll(2023.5.29)에 대해서 글을 적어 보겠습니다. Reaper 또는 Group123 이라고 부르고 있고 Reaper(리퍼) 라고 부르는 APT 공격 단체이며 2012년부터 활동을 시작했고 정보 수집, 정찰 및 사이버 스파이 활동을 목적으로 하며, 정부, 군사, 대기업, 인권 단체를 대상으로 하고 있으며 즉 한국의 외교 및 국내 문제에 초점이 맞추어져 있으며 일본, 베트남, 중동 및 기타 지역의 기업을 대상으로 해서 회사 기밀 등을 탈취하고 있습니다. (화학, 전자, 제조, 항공 우주, 자동차, 의료) APT37,Inky Squid,RedEyes,ScarCruft,Ricochet Chollima 등으로 이름으로 활동을 하..
오늘은 Tutanota(투타노타) 사칭하는 피싱 메일 분석을 해보겠습니다. 일단 Tutanota는 암호화 이메일 서비스이며 종단간 암호화 방식을 사용하며 회사와 서버는 독일에 있습니다. 무료 계정으로는 1GB의 용량을 제공하고 그 이상의 용량은 당연히 유료입니다. 보안을 위해서 POP3나 IMAP은 지원하지 않으며 암호화 방식은 일반적으로 많이 쓰는 PGP를 쓰지 않고 아닌 자신들이 별도로 개발한 방식을 하는 것이 특징입니다. 일단 개인적으로 블로그에 해당 메일을 공개해놓으니까 이런 피싱 메일들이 오는 것 같습니다. 일단 해당 피싱 메일의 내용은 다음과 같습니다. tutanota(.)com Notification - ID#220132819 m26pershing@tutanota(.)com Your Emai..
마이크로소프트에서 제공하는 브라우저인 마이크로소프트 엣지(Microsoft Edge)에서 새로운 보안 취약점을 해결한 Microsoft Edge 114.0.1823.37 보안 업데이트가 진행이 되었습니다. 일단 Microsoft Edge 114.0.1823.37은 기본적으로 Chromium 브라우저이기 때문에 해당 구글 크롬 취약점하고 취약점은 같이 공유를 하며 Chromium은 Microsoft Edge가 Google Chrome, Brave Browser, Vivaldi, Opera 브라우저에서 사용하고 있습니다. 이번 업데이트를 통해서 13개의 보안 문제와 3개의 보안 문제를 진행합니다. CVE 2023 29345:Microsoft Edge(Chromium 기반) 보안 기능 우회 취약점 CVE-20..
모질라 에서 제공을 하는 브라우저인 파이어폭스에 대한 보안 업데이트 가 진행이 되었습니다. 이번 업데이트를 하면 각각 Firefox 114.0 및 Firefox 102.12.0 ESR로 변경이 되며 파이어폭스를 기반으로 하는 토르 브라우저도 함께 진행이 됩니다. 파이어폭스 114는 Firefox의 보안 문제 4개를 패치하고 총 심각도 등급 아직 악용이 되고 있는지 모름 Mozilla는 확장 아이콘의 순서를 변경하는 기능을 추가 북마크 및 로컬 검색 개선 사항이 추가 macOS 장치에서 기본 캡처 지원을 활성화 새로운 Firefox ESR 기반이 다음 달에 출시될 예정 Firefox 115를 기반으로 하며 윈도우 7,윈도우 8.1 사용자를 위한 새로운 기반 Firefox 114.0의 새로운 기능 및 개선 ..
KeePass 암호 관리자의 수석 개발자인 Dominik Reichl은 KeePass 2.54를 보안 업데이트 를 한 새로운 버전을 공개했습니다. 보안을 개선하고 이전 버전 프로그램의 잠재적인 공격 경로를 해결합니다. 신규 및 기존 KeePass 사용자는 다운로드 공식 웹사이트에서 KeePass 2.54를 사용할 수가 있습니다. 설치 프로그램은 암호 관리자 설치를 자동으로 갱신을 진행합니다. URL 재정의를 사용한 KeePass 사용자는 적용되는 구성 파일에 저장되지 않는 한 새 버전에서 비활성화가 진행됩니다. 내보내기 기능을 크게 향상했으며 해당 문제는 다음과 같습니다. 취약점에 대해 평준화된 주요 주장은 공격자가 시스템에 대한 쓰기 액세스 권한이 있는 경우 해당 시스템이 손상되고 더는 안전하지 않다는..
오늘은 오래간만에 이력서로 위장해서 유포 중인 LockBit(락빗) 랜섬웨어인 9곽나윤 99.docx에 대해 글을 적어 보겠습니다. 일단 원격 템플릿 주입(Remote Template Injection) 기술을 사용하고 있으며 간단하게 이야기하면 순간 외부 URL에 호스팅 된 진짜 콘텐츠를 가져옴으로써 변경될 수 있다는 특징을 가지고 있으며 공격자는 해당 URL 주소를 변경시켜 악성코드를 통해서 악성행위를 진행하면 아마도 기업을 대상으로 공격하는 것 같습니다. 먼저 해쉬값은 다음과 같습니다. 파일명:9곽나윤 99.docx 사이즈:155 KB CRC32:1e1eca3c MD5:2831b37cf521848142e8a5d69515b065 SHA-1:462e39e554bd3abb9ecdcec92d861b315f..
모질라 재단에서 만들어서 배포하는 브라우저인 파이어폭스에서 윈도우 7,윈도우 8,윈도우 8.1 기술 종료 발표를 했습니다. 일단 먼저 마이크로소프트는 이미 2023년 1월에 운영 체제에 대한 지원을 종료했으며 구글, 마이크로소프트는 브라우저 개발자는 이미 이러한 시스템에서 브라우저 지원을 중단했습니다. 다만, 아직은 파이어폭스는 일단 계속 지원을 하는 상태입니다. 모질라(Mozilla)는 당시 세부 사항을 제공하지 않았으며 적어도 2024년 하반기까지 운영 체제에 Firefox를 지원할 것이라고 했으며 파이어폭스는 2024년 9월까지만 윈도우 7,윈도우 8,윈도우 8.1 운영체제에서만 제공합니다. Mozilla는 Firefox 115(파이어폭스 115)가 출시되면 윈도우 7,윈도우 8,윈도우 8.1 에 ..
마이크로소프트에서 제공하는 운영체제인 윈도우 11에서 NTLM 릴레이 공격을 방지하기 위해 SMB 서명 필요하다고 합니다. 공격에서 위협 행위자는 네트워크 장치(도메인 컨트롤러 포함)가 공격자의 제어하에 있는 악의적인 서버에 대해 인증하도록 강제하여 악의적인 서버를 가장하고 권한을 상승시켜 윈도우 도메인을 완전히 제어합니다. 윈도우 10과 11이 SYSVOL과 NETLOGON이라는 이름의 공유에 연결할 때만 기본적으로 SMB 서명을 요구하고, 액티브 디렉터리 도메인 컨트롤러가 클라이언트가 연결될 때 SMB 서명을 요구했던 레거시 동작을 변경 SMB 서명은 각 메시지 끝에 포함된 서명과 해시를 통해 발신자와 수신자의 신원을 확인하여 악의적인 인증 요청을 차단하는 데 도움이 됩니다. The cryptogra..
먼저 해당 글을 오류가 있을 수가 있으면 반드시 진료는 의사, 약은 약사에게 상담을 먼저 하는 것을 추천합니다. 오늘은 항생제인 클렉스캡슐(세파클러수화물) 343.5mg에 대해 글을 적어 보겠습니다. 일단 개인적으로 몸살감기 때문에 사흘 동안 증상이 호전되지 않아서 마지막으로 처방받을 때 복용하게 된 약물입니다. 항생제(抗生劑,Antibiotics)이라는것은 세균(박테리아) 감염을 막거나 세균질환을 치료하는 데 사용되는 항미생물질 이며 원리는 세균을 죽이거나 생장을 방해함으로 세균을 억제해서 치료할 때 사용이 됩니다. 인류 역사상 최초로 1928년 8월 영국의 의학자 알렉산더 플레밍이 페니실린이라는 항생 물질을 발견한 이후 인류가 세균(박테리아) 등에 사망을 하는 경우가 줄어들어서 그러나 항생제 남용으로..
오늘은 마이크로소프트에서 제공하는 브라우저인 Microsoft Edge Canary(마이크로소프트 엣지 카나리아) 최신 기능을 활성화하는 방법에 대해 글을 적어 보겠습니다. 브라우저의 개발 버전에서 새로운 기능을 출시할 때마다 사용자 기반의 일부에 대해서만 기능을 활성화합니다. 특정 버전의 Microsoft Edge에서 특정 기능이 활성화되기까지 몇 달이라는 시간이 걸릴 수가 있습니다. 이를 해결 하기 위한 도구는 MSEdgeFeatures 가 있습니다. 해당 도구를 활용하면 도구를 사용하는 데 기능 ID가 필요하지 않기 때문에 도구 사용이 훨씬 간단하게 동작을 하는 데 도움이 됩니다. 이제 해당 기능을 사용하려면 파워셀(PowerShell)를 이용을 해서 활성화하는 방법이 있습니다. 반환되는 출력은 M..
오늘은 구글의.zip 도메인브라우저의 파일 아카이버 공격 주의에 대해 알아보겠습니다. 해당 브라우저의 파일 아카이버 익스플로잇을 활용해 피해자가. zip 도메인을 방문할 때 웹 브라우저에서 아카이빙 소프트웨어를 에뮬레이션하는 새로운 피싱 기법입니다. 해당 문제는 구글에서 최근 3월에 .app 및 .dev와 같이 가장 인기 있고 안전한 최상위 도메인을 출시했고 인터넷에 .dad,.phd,.prof,.esq,.foo,.zip,.mov,.nexus 등 8개의 새로운 확장자를 추가할 수가 있습니다. 여기서 문제가 발생하는데 다름이 아니고 해당 부분을 악용하면 이게 잘 보면 프로그램 확장자하고 비슷하다는 것을 확인할 수가 있다는 것입니다. 이렇게 혼동을 할 수가 있으니까 이것을 악용한다고 하면 피싱 공격을 진행할..