Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

MS Application Verifier에서 Double Agent 제로데이 취약점 발견!

MS Application Verifier에서 Double Agent 제로데이 취약점 발견! 

DoubleAgent: Zero-Day Code Injection and Persistence Technique


최근 Cybellum은 대다수의 보안제품을 장악할 수 있는 제로데이 취약점을 발견하였으며, 해당 취약점을 "Double Agent"라고 명명하였습니다. 


Avast, AVG, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes등 백신들이 모두 해당 취약점에 취약한 것으로 확인되었으며, 현재까지 몇개의 보안기업들만 해당 제로데이 취약점에 대한 패치를 진행한 것으로 확인되었습니다.

 

Avast (CVE-2017-5567)

AVG (CVE-2017-5566)

Avira (CVE-2017-6417)

Bitdefender (CVE-2017-6186)

Trendmicro (CVE-2017-5565)

Comodo

ESET

F-Secure

Kaspersky

Malwarebytes

McAfee

Panda

Quick Heal

Norton



취약점 악용


이번 공격은 MS의 개발자 검증도구 "Microsoft Application Verifier"에 존재하는 것으로 확인되었습니다. Windows XP에서 처음 도입된 Application Verifier은 모든 버전의 윈도우에 기본적으로 설치되어 있으며, 개발자들이 자신들이 개발한 코드를 검증하는데 사용하는 도구입니다. 


모든 버전에 윈도우가 Double Agent 취약점의 영향을 받습니다. 


해당 툴은 목표 프로그램의 동작테스트 과정에서 "verifier provider DLL"파일을 로드합니다. 해당 파일이 로드되면, 이 DLL은 지정된 프로세스에서 제공하는DLL을 Windows 레지스트리에 등록합니다. 그 후 Wondows는 자동으로 모든 프로세스 중 이 DLL을 인젝션 합니다. 


Cybellum에 따르면, Microsoft Application Verifier의 동작 매커니즘은, 대량의 악성코드들로 하여금 높은 권한으로 실행할 수 있도록 하며, 공격자가 악성 dll을 백신 혹은 다른 보안프로그램에 인젝션 할 수 있게 됩니다. 일부 보안 제품들은 해당 프로세스와 관련된 레지스트리를 보호하는 조치를 취했지만, 이러한 방법 역시 쉽게 우회할 수 있는 것으로 확인되었습니다. 


악성 프로그램이 어떤 보안제품에 악성 dll을 인젝션 하면, 공격자는 이 악성 dll이 인젝션 된 제품을 이용하여 화이트리스트/블랙리스트 수정, 내부로직 수정, 백도어 다운로드, 정보유출 등의 다양항 악성행위를 할 수 있습니다. 


이 악성코드는 시스템 재부팅, 프로그램 업데이트 혹은 백신이 재 설치 과정중에도 인젝션 될 수 있기 때문에 이 공격을 예방하는 것은 매우 어렵습니다. 


▶ 취약점 관련 정보 자세히 보기 



224F903658D3544B38163C



참고 : 

http://www.securityweek.com/attackers-can-hijack-security-products-microsoft-tool

http://cybellum.com/doubleagentzero-day-code-injection-and-persistence-technique/



출처: http://blog.alyac.co.kr/1030 [알약 공식 블로그]

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

Bobono

2017.03.29 17:06
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

좋은 정보 고맙습니다.

profile

프리네

2017.03.29 20:57
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

패치가 되었겠죠....정보 감사합니다.

profile

shaula

2017.03.30 10:00
가입일: 2018:10.08
총 게시물수: 2
총 댓글수: 567

좋은 정보 감사합니다.

List of Articles
번호 제목 글쓴이 날짜 조회 수sort
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
295 보안 소식 세인트시큐리티 ‘MAX AI’, 악성코드 탐지율 100% 최고점수 획득 + 9 언제나 12-20 212
294 보안 소식 [긴급] 공유기 DNS 변조 악성앱 다시 기승...계정 탈취 시도 + 6 ordo 04-08 211
293 보안 소식 경찰도 당한 해킹… 공식 트위터에 낯 뜨거운 문구들이 + 7 크로커스 01-03 211
292 보안 소식 2017 결산-보안]지구촌 '울린' 랜섬웨어 + 3 덕애 12-30 210
291 백신 자료 영국 소포스 홈 안티바이러스 무료 + 6 j1159 02-25 210
290 보안 소식 “ATM에 든 현금 다 뽑아내는” 멀웨어, 다크 웹에서 판매 중 file + 5 따봉 10-19 209
289 보안 소식 스미싱 알림 모음 + 10 티오피 08-04 209
288 보안 소식 호기심에 클릭했다가… 음란물 위장 악성코드 '주의' + 11 티오피 08-04 209
287 보안 소식 세인트시큐리티, 국산 인공지능 안티바이러스 개발 “100% 랜섬웨어 잡는다” + 12 언제나 12-11 209
286 보안 소식 구글 플레이 스토어 ... 악성앱 + 2 루릿페 04-28 208
285 보안 소식 '안전'표시 믿었는데…HTTPS 허점 악용한 피싱 사이트 주의 + 5 j1159 02-25 208
284 백신 자료 V3 Mac 제품군(기업용/개인용) 정기패치 안내 + 8 j1159 03-07 207
283 일반 [소식] 바다이야기, 오픈소스로 공개된 사회 암덩어리 + 7 j1159 02-23 207
282 보안 소식 1월 ‘위조 WhatsApp 알림메시지·발렌타인데이 선물’ 위장 스팸 많아 file + 7 따봉 01-04 206
281 보안 소식 랜섬웨어 때문에 ‘아이웹’ 서버 암호화 파란하늘 09-27 205
280 보안 소식 공유기 DNS 변조 조직, 큐싱 등의 진화된 공격으로 다시 등장 + 8 ordo 03-27 203
279 보안 소식 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 + 9 크로커스 02-24 202
278 일반 백트랙을 활용한 모의해킹 강의 03 - 웹 서비스 진단의 이해 + 6 매니안 10-17 202
277 보안 소식 "신호위반하셨네요" 진화하는 랜섬웨어, 경찰서 사칭까지 + 14 크로커스 05-31 201
276 일반 광고를 통해 유포되는 Cerber 랜섬웨어 + 10 j1159 02-23 201
275 일반 공유기·CCTV 해킹…우리집을 중국 해커가 엿본다 + 6 파란하늘 07-19 200
274 보안 소식 “미 CIA, 안드로이드와 스마트 TV 해킹 무기 개발” 위키리크스 관련 문서 공개 + 6 크로커스 03-09 196
273 일반 [CIO서밋 2017]시만텍 "클라우드 환경에 맞는 통합 보안 필요" + 6 j1159 02-24 196
272 보안 소식 페이스북 계정 탈취 위한 피싱 사이트 출현! 디페이스 공격도 계속 + 4 ordo 04-18 195
271 보안 소식 시스코·아파치·VMware·오라클 등 글로벌 SW, 보안 패치 줄이어 + 5 ordo 04-22 194