꼰머의 보안공부

- 맥OS 스파이웨어 클라우드멘시스 발견

- 보안뉴스

- 랩서스(LAPSUS$)

- MS, 옥타, 엔비디아 등의 정보를 해킹하던 랩서스가 흔적이 보이지 않음_더욱 위협적인 공격을 위한 준비중으로 분석

  최근 보안 업계는 정해진 전략 안에서 정확한 목표로 움직이는 공격에 대비해 방어 체계 구성

  하지만, 이러한 일련의 과정을 깨버리는 랩서스의 등장

- 보안뉴스

- 하바나크립트(HavanaCrypt)라는 구글 소프트웨어 업데이트(Google Software Update) 애플리케이션으로 위장

  C&C 서버는 마이크로소프트 웹(Microsoft Web) 호스팅 IP 주소 하나에 호스팅

  *피해자들에게 전달되는 피싱메일은 없어, 하나바크립트가 현재도 한창 개발되는 중에 있다는 분석

<하바나 크립트 특징>

- 과거에는 대부분 어도비의 플래시(Flash)가 거의 대부분 이었으며, 이에 어도비는 플래시의 개발을 완전히 종료 조치
  이후 각종 브라우저들의 가짜 업데이트가 유포되기 시작했다.

  모든 종류의 멀웨어들을 이런 식으로 포장하여 유포하는데, 랜섬웨어, 정보 탈취 멀웨어, 트로이목마 등 종류도 다양하다.

- 하바나크립트

1. 닷넷 기반 멀웨어이며, 오픈소스 옵퓨스카를 이용해 코드를 숨김

2. 피해자 시스템 설치 후 구글업데이트 레지스트리 존재 유무 확인 후 해당 레지스트리가 없을 때 동작

3. VM웨어와 가상머신와 관련된 요소(vm마우스, 관련 파일 및 파일명 등) 확인 후 이중 하나라도 해당할 경우 동작 중지

    즉, 가상환경이 아닌 환경에서 동작하기 위한 과정이다.

4. C&C 서버와 통신(배치 파일 다운 및 실행)

    C2 서버는 정상적인 MS 웹 호스팅 서비스에 호스팅

    배치 파일은 윈도 디펜더 설정 명령, 프로세스 중단 명령 등이 포함되어 있다.

5. 감염시킨 시스템으로부터 셰도우 복사본 삭제, 데이터 복구 기능 중지, 시스템 정보 수집

6. QuereUserWorkItem함수와 코드를 키패스 패스워드 세이프(KeePass Password Safe)로부터 가져와 암호화 실시 

- 보안뉴스

1. Follina 취약점?

2. 공격자들의 행동

- 해당 취약점은 현재 패치된 상태이나 공격자들은 아직 패치가 되지않은 시스템을 찾아 익스플로잇 시도

- 워드문서를 이용해 피해자가 해당 문서를 실행하면 디스코드 URL로 연결 및 HTML이 다운되며,

  HTML 문서를 이용 파워쉘 실행 및 로제나 백도어가 포함된 추가 익스플로잇 발생

- 로제나 처음 발견된 백도어로 원격 접근을 가능하게 함

* 백도어 : 공격자들이 시스템을 익스플로잇한 후 정상적인 인증 과정을 거치지 않고 시스템에 접근할 수 있도록 환경을 제공해주는 악성코드

3. 보안뉴스