분류 전체보기 (140) 썸네일형 리스트형 1. Conti group 얼마전 콘티 랜섬웨어 그룹이 문을 닫는다는 공식 선언을 했다. https://www.boannews.com/media/view.asp?idx=106920&kind=1&search=title&find=%C4%DC%C6%BC 문 닫은 콘티 랜섬웨어, 작은 팀으로 분산해 새로운 시작 IT 외신 블리핑컴퓨터에 의하면 악명 높은 콘티(Conti) 랜섬웨어의 운영자들이 공식적으로 콘티 운영을 중단했다고 한다. 공격 인프라도 사라졌고, 운영진들은 콘티라는 이름은 더 이상 없을 것이 www.boannews.com 웃긴건, 아직 conti news는 살아있다는건데, 당장 오늘까지도 자신들이 랜섬웨어를 통해 탈취한 정보를 공개했다. 만약 문을 닫는다는게 사실이라면, 보안뉴스 기사대로 실제로 문을 닫는다기보다는 여러 세부 .. 0. Ranion ransomware(EGALYTY Ransomware?) 최근 랜섬웨어 동향은 대부분 RaaS(Ransomware as a Service) 형태이고, 대부분 다크웹 내에서 구독형으로 판매된다. 일부분은 랜섬웨어 조직과 연계하여 랜섬웨어 프로그램을 받고, 랜섬웨어 구매자가 유포하는 형식도 존재하고.. 아예 위 과정들을 풀 서비스(?) 형태로 판매하는 조직도 더러 있다. 비슷하게, 2021년경까지 RaaS 형태로 다크웹 내에서 랜섬웨어를 판매하던 조직이 존재한다. Ranion 이라는 랜섬웨어를 판매하던 조직인데, 언젠가 해당 랜섬웨어 사이트가 다운되었다. 이리저리 서칭을 하다보니, EGALYTY 랜섬웨어 라는 RaaS 를 발견할 수 있었다. Ranion 랜섬웨어 판매 사이트와 비슷하게 생겼고, 실제로 본인이 Ranion 랜섬웨어의 개발자라고 주장하고 있다. 심지어.. 37. Eland's clop 얼마 전, 우리나라의 이랜드(E land) 그룹이 POS기 등 이랜드 그룹 매장 내에서 사용하는 여러 시스템에 대해 랜섬웨어에 감염되고 더불어 정보까지 탈취 당했다는 기사가 나왔었다. 실제로, 여러 보안 업체들에서 해당 상황에 대해 분석한 결과로는 랜섬웨어에 감염된 것이 맞으며 해당 랜섬웨어는 예전부터 TA505 라는 해킹그룹으로부터 만들어지고 운영된 Clop 랜섬웨어인 것으로 확인되었다. 현재, 탈취한 정보라면서 이랜드 그룹과 협상에 결렬될 때마다 협박의 용도로 카드 정보를 다크웹 상에 올리고있다. 하지만 이 정보가 진짜로 이랜드 그룹 POS기 등에서 탈취한 정보인지는 불분명해보인다. 사실 clop ransomware는 꽤 이전부터(작년) 등장해서 기업을 타겟팅 해서 유포되고는 했었다. 아래 글은 분석.. 36. Threat graph(North Korea) 약 1년전부터 수집되는 정보들을 기반으로 threat graph를 계속 만들고 있다. 중간중간 시간날 때 덧붙이는 형식이어서 엄청난 정보를 포함하고 있지는 않지만 graph를 이어가다보니 중간중간 상관관계가 계속해서 보인다. 아래 그래프가 현재 그래프 상태이다. 최대한 발생했던 유사도에 따라서 그룹별로 묶어두었는데, 중간중간 보면 그룹간 유사한 파일 혹은 C2 서버가 존재하는걸 볼 수 있다. 처음 만들면서 생각한 것은 Lazarus 그룹에 대해 만들어보자 였는데.. 어쩌다보니 NK 쪽 모든 파일을 수집하고 연결하고 있다. 트리형으로 나타내면 아래 그림과 같다. 트리형은 너무 복잡해서.. 전체 트리에서 중간만 확대한 그림이다. 앞으로도 발견되거나 수집되는 NK 관련 정보가 있으면 계속해서 추가 할 예정이다.. 35. Maze ransomware 최근 LG의 데이터를 훔쳤다고 핫(?)해진 Maze 랜섬웨어를 분석해보았다. 사실 랜섬웨어가 랜섬웨어이기 때문에.. 크게 다른 점은 없어보인다. OS Windows 7 Name Maze ransomware md5 4e2554b448424859b508433e6c4a043718343febc7894a849f446dd197b47d1e Maze 랜섬웨어 샘플에서는 특별한 패킹이나 프로텍터는 존재하지 않았다. 약간 특이한점은 실제로 사용하는 함수를 애초에 불러와놓은 상태로 가져다 쓰는 것이 아니라 아래 그림처럼 JMP 코드를 통해서 사용할 함수를 그때그때 변수를 통해 실행한다는 점이었다. 더해서, 사용할 함수와 같은 것들을 점프해서 쓰는 코드 또한 그냥 박혀있는게 아니라 프로그램 내 특정 디코딩 루틴을 통해서 디코.. 04. Detecting Fake 4G Base Stations (Blackhat USA 2020) 얼마전 Blackhat USA 2020이 개최되었다. 그 중 LTE, 5G 취약점 관련한 내용으로 EFF Threat Lab에서 "Detecting Fake 4G Base Stations in Real Time"의 제목으로 발표가 있었다. 해당 발표는 허위 기지국을 실시간으로 탐지하는 방법에 관한 내용이다. 전체 발표 자료는 아래 URL을 통해 확인 가능하다. https://i.blackhat.com/USA-20/Wednesday/us-20-Quintin-Detecting-Fake-4G-Base-Stations-In-Real-Time.pdf 이전까지, 허위 기지국을 탐지하는 방법은 대략적으로 App-based, Sensor-based 등이 있었다. 여기서 얘기하는 내용은 App-based 보다는 Sens.. 03. Guide to LTE Security NIST 문서 중 Guide to LTE Security 부분에서 LTE 위협 부분을 번역, 정리한 것 4.1 General Cybersecurity Threats LTE 인프라 구성요소(MME, eNodeB 등)는 범용 하드웨어, 펌웨어 및 소프트웨어 위에서 실행(USRP, srsLTE등)될 수 있으며 범용 운영체제(Ubuntu 등)에 퍼져있는 이미 알려진 소프트웨어 취약점에 노출될 수 있음. 혹은 사용되는 소프트웨어에 존재하는 취약점에 노출될 수 있음. 비록 범용 프로그램일지라도 customization이 많이 이루어진 상태이겠지만, 그럼에도 이미 잘 알려진 시스템 혹은 범용 하드웨어의 경우에는 식별되기 쉬움. 따라서, 이미 잘 알려진 취약점에 대한 패치가 이루어져야하고 구성 자체가 적절히 이루어져야.. 02. IP Geolocation, IP Tracking(OSINT) 무선 통신이 2G에서 3G, LTE를 거쳐 5G로 오면서 무선통신에 대한 위협도 당연히 증가했다. 그 중 대표적이고 가장 접근하기 쉬운(하이재킹 혹은 스니핑만으로 가능한) 공격이 cell tracking이라고 생각한다. 보통의 경우에는 System Information Block 중 SIB1에 포함된 TAC(Tracking Area Code)를 통해서 공격을 수행하곤 한다. SIB1 메시지에는 아래 그림처럼 사업자의 네트워크 식별번호인 PLMN(Public Land Mobile Network)과 관련된 정보가 존재한다. 그 중에는 TAC와 cell-identity 값이 존재한다. 각각의 값은 SIB1 메시지를 브로드캐스팅하는 셀(기지국)의 Area code와 셀의 고유 id를 나타낸다. 고전적인 방법으로.. 이전 1 ··· 3 4 5 6 7 8 9 ··· 18 다음
