TEAMCR@K

사이트) http://hakin9.org/

온라인으로 발행되는 Hakin9 매거진 입니다..
지난 달에 최초로 온라인에서 발행된 것 같은데,
"Writing WIN32 shellcode with a C-compiler", "Flash Memory Mobile Forensic"과 같은 주제들이 눈에 띄네요..+_+

이번달 이슈문서는 여기서 다운로드 가능합니다.
http://download.hakin9.org/en/hakin9_04_2010_EN.pdf

학습하는데는 매우 도움이 되는 DVL(Damn Vulnerable Linux) 라이브CD 사이트가 조금 변경이 되면서..

기존에 이미지(ISO파일)는 한참 올라오지 않았는데, 다시 링크가 걸려 있네요.

다운로드 속도도 웬만큼 좋게 나오고요.~

모의해킹 환경 만들기 위한 시간을 이 라이브 CD를 통해 조금 줄일 수 있을겁니다.

DVL 사이트 : http://www.damnvulnerablelinux.org/

문서 URL : http://www.exploit-db.com/download_pdf/12363

exploit-db 사이트에 Adobe Redear의 메모리 구조에 대해서 잘 설명된 자료가 업데이트 됐습니다.

취약점 분석 할시에 참고하기 좋을듯 하네요..

The Java Web Start Argument Injection Vulnerability 

취약점 보안 권고안

By. Dear.TOM (bdr@a3sc.co.kr)

Ⅰ. 취약점 개요

2. 대상 시스템
다음은 Oracle Sun 社에서 해당 취약점에 취약한 버전을 공개한 목록입니다.

2. 공격 분석
* 본 연구 문서는 신규 취약점 또는 보안 기술 우회 기법에 관한 문서로써 악용될 우려가 있는 상세 공격 코드 및 내용을 제한 합니다.

해당 취약점을 이용하여 제작된 악성 웹 페이지에 일반 사용자가 접근하면, 공격자가 의도한 임의의 프로그램을 실행 할 수 있습니다.

다음은 해당 취약점을 이용한 테스트 사이트의 웹 페이지 코드 입니다. 단, 해당 취약점을 최로로 밝힌 Tavis Ormany에 의해 테스트 용도로 구축되어 악의적인 공격을 수행하지는 않습니다.

Ⅲ. 해결 방안

1. Oracle Sun 社 에서 제공하는 공식 패치 적용 - Java 6 Updatae 20
  URL) http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html


Ⅳ. 참고자료

[1] [Full-disclosure] Java Deployment Toolkit Performs Insufficient Validation of Parameters
  URL) http://lists.grok.org.uk/pipermail/full-disclosure/2010-April/074036.html
[2] Java Deployment Toolkit Test Page
  URL) http://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html
[3] Java SE 6 Update 20 Release Notes
  URL) http://java.sun.com/javase/6/webnotes/6u20.html
[4] Security Alert for CVE-2010-0886 and CVE-2010-0887 Released
  URL) http://blogs.oracle.com/security/2010/04/security_alert_for_cve-2010-08.html
[5] JAVA Web Start Arbitrary command-line injection - "-XXaltjvm" arbitrary dll loading
  URL) http://reversemode.com/index.php?option=com_content&task=view&id=67&Itemid=1
[6] Java exploit launches local Windows applications
  URL) http://www.h-online.com/security/news/item/Java-exploit-launches-local-Windows-applications-974652.html
[7] Java zero-day flaw under active attack
  URL) http://blogs.zdnet.com/security/?p=6161
[8] The Java Web Start Argument Injection Vulnerability
  URL) http://blog.metasploit.com/2010/04/java-web-start-argument-injection.html

 

※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.

정식 버전이 어제 4월 19일 부로 릴리즈 되었습니다.

[홈페이지]
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

아래는 홈페이지에 나와 있는 pdf 다운로드 링크입니다.
[다운로드 링크1 : google docs]
https://docs.google.com/uc?export=download&id=0B3B7xlV22G8TNGUyOTFjMjAtZDJjMi00MjM4LTlmNGUtMzFiODdjMTA2OTZm
[다운로드 링크2 : googlecode]
http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf

국내 사용자들이 많이 사용하고 있는 Adobe PDF Reader 와 Foxit PDF Reader에서 "/Launch /Action" 을 이용한 사회 공학적 공격 기법이 이루어지고 있습니다.

메시지 구문을 수정하여 정상적인 메시지처럼 위장할 수 있으며, 사용자들에게 버튼 입력을 유도하여, 특정 명령어를 실행하게끔 합니다.

[대응방안]
Adobe Reader 인 경우에는 [환경 설정] > [신뢰 관리자] > [PDF가 아닌 첨부 파일을 외부 응용 프로그램으로 열기 허용] 에 기본적으로 설정되어 있는 부분을 체크 해제 하시고 사용하기 바랍니다.

3월 22일자로 블로그에 업로드된 '스마트폰 악성코드 위협 고찰'에 대한 질의가 쇄도하여 주요 질의에 대한 답변을 아래와 같이 정리하였습니다.

1. 금번 연구와 jailbreak(일명 탈옥)와의 관계
- 금번 연구는 jailbreak가 안된 일명 '순정폰'에서 테스트하였음
- 테스트는 아이폰과 동일 펌웨어(version 3.1.3)인 아이팟에서 테스트하였음

2. 금번 연구와 멀티태스킹과의 관계
- 금번 연구는 "해당 OS의 멀티태스킹 불가 기능"에 대해 우회 또는 무력화 하는 기법을 구현한 것임

3. 주요 사용 기술
- 아이폰 SDK를 사용하지 않고 별도의 프로세스를 forking하는 방식으로 구현

4. 악성프로그램 업로드
- 악성프로그램 배포 연구는 아니었으나, 실제 테스트는 개발PC에서 단말기에 전송
- 악성프로그램은 정상APP을 가장한 악성APP 형식으로 구현

5. 시사점 및 대책
- 정상APP을 가장한 악성APP이 종료(사용자 종료 행위 개입)되어도 백그라운드로 악성프로세스가 계속 구동될 수 있
는 부분이 시사점임
- 사용자 인식제고 뿐 아니라 악성APP 및 멀티태스킹을 우회하는 프로세스에 대한 탐지/차단 기술 등이 전반적으로
고려되어야 함