Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트


Windows Task Scheduler Zero Day Exploited by Malware


악성코드 개발자들이 윈도우의 작업 스케쥴러 제로데이 익스플로잇을 악용하기 시작했습니다. 이는 해당 취약점의 PoC 코드가 온라인에 공개된지 이틀 만입니다.


SandboxEscaper라는 보안 연구원은 8월 27일 윈도우 작업 스케쥴러가 사용하는 ALPC 인터페이스에 존재하는 보안 버그를 악용하는 소스코드를 발표했습니다.


구체적으로, 문제는 SchRpcSetSecurity API 기능에 존재합니다. 이는 사용자의 권한을 확인하지 않아 C:\Windows\Task의 파일 쓰기 권한을 허용합니다.


이 취약점은 윈도우 버전 7~10에 영향을 미치며, 공격자가 모든 권한을 SYSTEM 계정 수준으로 상승시켜 모든 접근권한을 얻는데 사용할 수 있습니다.


ESET의 연구원들은 익스플로잇 코드가 공개된지 며칠 후, PowerPool이라는 공격자들이 실시하는 악성 캠페인에서 이 코드가 사용되는 것을 발견했습니다. PowerPool은 그들이 주로 PowerShell로 작성 된 툴을 사용하기 때문에 붙여진 이름입니다.



GoogleUpdate.exe를 노리는 PowerPool


이 그룹은 칠레, 독일, 인도, 필리핀, 폴란드, 러시아, 영국, 미국 및 우크라이나에 약간의 피해자들을 보유한 것으로 보입니다.


연구원들은 PowerPool 개발자들이 익스플로잇의 바이너리버전을 사용하지 않고, 소스코드를 재컴파일링 하기 전 약간의 변화를 준 것으로 보인다고 밝혔습니다.


“PowerPool의 개발자들은 C:\Program Files (x86)\Google\Update\GoogleUpdate.exe 파일 컨텐츠를 변경했습니다. 이는 구글 어플리케이션의 합법적인 업데이터이며, 관리자 권한으로 정기적으로 마이크로소프트 윈도우 작업에 의해 실행 됩니다.”


이로 인해 PowerPool이 구글 업데이터의 실행 파일을 그들이 공격 2단계에서 사용하는 백도어의 복사본으로 덮어쓰기 할 수 있게 됩니다. 이 업데이터가 다음에 호출 되면, 백도어가 SYSTEM 권한과 함께 실행 될 것입니다.


연구원들에 따르면 PowerPool 악성코드 운영자들은 정찰 단계를 거쳐 관심이 있는 피해자들에게만 2단계 백도어를 사용하는 것으로 보입니다.


마이크로소프트는 ALPC 버그를 아직까지 패치하지 않았으나, 9월 11일 진행 될 월간 보안 업데이트에서 이를 수정할 것으로 추정 됩니다.


하지만, 마이크로소프트에서 승인한 것은 아니지만 취약점을 완화시킬 수 있는 방법이 있습니다. Karten Nilsen이 제공한 솔루션은 익스플로잇을 차단하며 예약 된 작업이 실행될 수 있도록 하지만, 예전 작업 스케쥴러 인터페이스에서 생성 된 것들이 손상을 입을 수 있습니다.


64비트 윈도우 10 버전 1803 사용자일 경우, 마이크로패치를 적용해 이 문제를 완화시킬 수 있습니다. 이는 임시 패치이며, Acros security의 0patch Agent를 설치해야 합니다.


현재 알약에서는 해당 악성코드들에 대해 Exploit.CVE-2018-0802, Backdoor.Agent.Cypress로 탐지중에 있습니다.



출처: http://blog.alyac.co.kr/1878?category=750247 [이스트시큐리티 알약 블로그] 



http://blog.alyac.co.kr/1878?category=750247

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

무심

2018.10.12 21:30
가입일: 2018:10.04
총 게시물수: 12
총 댓글수: 1882

정보 감사합니다

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
470 보안 소식 윈도우 취약점 악용한 랜섬웨어 ‘Sodin’ 한국도 노렸다 file anonymous 09-24 354
469 보안 소식 윈도에 'PC 제어권' 통째로 빼앗길 취약점 있다 + 1 파란하늘 06-15 507
468 보안 소식 WPA3에서 발견된 드래곤블러드 취약점 때문에 비밀번호 위험 senny 06-12 422
467 보안 소식 [긴급] 성유리의 이력서 사칭 랜섬웨어 이메일 주의 + 2 senny 06-12 590
466 보안 소식 아라드네트웍스, SH공사 스마트홈에 ‘세대 간 사이버 경계벽’ 납품 senny 06-12 329
465 보안 소식 CVE-2019-9510 취약점 통해 윈도우 잠금 화면 RDP 세션 우회 가능해 file kargans 06-10 361
464 보안 소식 '비정상적인 로그인 알림' 위장 메일 주의…악성코드 감염 위험 kargans 06-10 320
463 보안 소식 이진규 네이버 CISO "국내 데이터 규제, GDPR 보다 심각" + 3 돌까루 06-05 370
462 보안 소식 2019년 1분기, 모바일 뱅킹 악성코드 증가해 kargans 05-31 296
461 보안 소식 마크애니, 경기도의료원에 CCTV영상반출시스템 구축...“무분별한 영상 유출 방지” kargans 05-30 324
460 보안 소식 엔피코어 ‘좀비제로인스팩터V4.0’, 국제 CC인증 획득 kargans 05-30 301
459 보안 소식 국내 기업 표적으로 한 Clop 랜섬웨어의 지속적인 공격 주의 kargans 05-30 285
458 보안 소식 공공기관 서버에 몰래 '암호화폐 채굴' 프로그램 설치 돌까루 05-30 293
457 보안 소식 2019년 1분기, 모바일 뱅킹 악성코드 증가해 kargans 05-29 285
456 보안 소식 스패로우, 일본 시장에서 성과 올리고 있어 kargans 05-29 305
455 보안 소식 악성코드 가득한 노트북, 14억에 팔렸다 + 2 돌까루 05-29 339
454 보안 소식 악성코드 가득한 노트북, 14억에 팔렸다 + 4 돌까루 05-29 311
453 보안 소식 블록체인 서비스들 속속 ‘지갑 독립 선언’ 돌까루 05-29 274
452 보안 소식 4개월만에 입연 정부, 암호화폐 규제공백 기조 '유지' 돌까루 05-29 276
451 보안 소식 5G보안 기술자문협 내달 초 종료…화웨이 논란 변수될까 + 1 돌까루 05-29 310
450 보안 소식 비트코인 가격 상승하자, "北 추정 해커, 암호화폐 거래소 공격" 돌까루 05-29 81
449 보안 소식 대우조선해양, 블랙베리 QNX 도입...“혁신적인 제조과정 및 용접 로봇 컨트롤러 보안 강화” kargans 05-28 88
448 보안 소식 美 법무부, 미국 회사 4곳 해킹해 7천800만 명 정보 유출한 中 해커 기소 kargans 05-28 86
447 보안 소식 애플의 새로운 iOS, 심각한 보안 문제 발견 kargans 05-28 84
446 보안 소식 구글, 자체 비디오 게임 스트리밍 플랫폼 '스타디아' 공개 kargans 05-28 70