- 해당 페이지는 message를 클릭하면 test가 출력된다.

[캡쳐 1] test

- URL 확인 시 message 파라미터의 값을 출력하는 형식이며, 이를 통해 GET 메소드를 이용한 방식이란 것을 알 수 있다.

[캡쳐 2] GET 방식 데이터 전송

- message 파라미터의 값을 다른 값으로 변경하여 실행할 경우, 변경된 값이 출력되는 것을 확인할 수 있다.

[캡쳐 3] ggonmer

- PHP에는 eval()이나 exec() 함수를 사용한 경우 세미콜론(;)을 사용해 다른 함수를 실행할 수 있는 취약점이 있다.

exec() 외부프로그램을 실행시켜주는 함수로 쉘 명령어들을 사용할 수 있게 해준다.
eval() 문자열을 PHP 코드로 실행해 준다.
system() 문자열 형태의 명령어를 인자값으로 입력받아 실행시켜 준다.
shell_exec() 문자열 형태의 명령어를 인자값으로 입력받아 실행시켜 준다.

- 해당 페이지에 php 취약점이 존재하는지 유무를 판별하기 위해 세미콜론(;)을 사용해 system()함수를 실행시켜 본다.

[캡쳐 4] system('ls -al')

- 실행 결과 ls -al 명령어의 결과로 파일 목록과 내용을 확인할 수 있다.

[캡쳐 5] cat /etc/passwd

- 사용자 계정 정보를 담고있는 파일인 /etc/passwd의 내용 역시 볼 수 있다.

[캡쳐 6] cat /etc/shadow

- /etc/shadow 파일의 내용은 출력되지 않는 것으로 보아 현재 웹 권한만 가지고 있고, 상위 권한의 사용자만 접근 가능한 파일의 경우 출력되지 않는 것을 알 수 있다. 

- nc 명령을 이용해 공격자의 PC로 연결도 가능하다..

-n 옵션 호스트 네임과 포트를 숫자로 출력
-l 옵션 Listen 모드로 Port 오픈
-v 옵션 더 많은 정보를 볼 수 있음
-p 옵션 포트를 지정

① 먼저 공격자가 NC 명령을 이용해 리스닝 포트를 오픈 후 대기한다.

-e 옵션 연결 생성 뒤 실행 프로그램 지정

② Bee-Box에서 해당 명령을 실행한다.

③ Bee-Box에서 Kali로 연결이 생성 및 공격자의 shell을 획득.

'취약점 > RCE' 카테고리의 다른 글

iControl REST unauthenticated RCE(CVE-2021-22986)  (1) 2022.09.25
vBulletin Pre-Auth RCE(CVE-2019-16759)  (0) 2022.09.20
Bash Shell Shock(CVE-2014-6271)  (2) 2022.09.13
PHPUnit 원격코드 실행 취약점 (CVE-2017-9841)  (0) 2022.07.29
ThinkPHP 원격 코드 실행 취약점(CVE-2018-20062)  (0) 2022.07.19

1. PHPUnit이란?

- PHP 프로그래밍 언어를 위한 유닛 테스트 프레임워크
- SUnit과 함께 기원한 유닛 테스트 프레임워크를 위한 XUnit 아키텍처의 인스턴스이며 JUnit과 함께 대중화
- PHPUnit은 Sebastian Bergmann이 개발하였으며 개발 자체는 깃허브에서 호스팅되고 있음

 

2. CVE-2017-9841

[캡쳐 1] https://nvd.nist.gov/vuln/detail/CVE-2017-9841 번역

- 해당 취약점은 /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php에 대한 적절한 인증과정이 없어 발생되는 취약점

 

3. 취약점 분석

- 4.8.28 이전의 버전 및 5.6.3 이전의 5.x PHPUnit에 공격이 가능하다.
- eval-stdin.php에 해당 코드에 의해 취약점이 발생한 것으로 판단된다. php://input 함수를 이용해 원시 데이터를 읽은 후 eval 함수로 해당 명령을 실행하기 때문이다.

[캡쳐 2] 취약점 유발 코드
[캡처 3] 취약점 테스트

- 공격자들은 [캡쳐 3]의 php 코드를 통하여 먼저 취약점이 존재하는지 테스트 후 [캡쳐 4] 방식 등으로 공격을 진행.

[캡쳐 4] RawData

4. 대응방안

1. 최신 버전의 패치를 적용.

[캡쳐 5] 취약점이 패치된 버전의 소스코드

2. 보안 장비에 해당 패턴을 등록하여 탐지 및 차단
( ex) /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 경로로 요청을 탐지 및 차단 할 수 있도록 룰 설정)
3. .htaccess 파일을 /vendor 폴더에 위치 시킨 후 관련 설정을 등록.
* .htacccess 파일이란 "hypertext access"의 약자로 디렉토리에 대한 접근 허용 여부 등 설정 옵션을 제공한다.

<참고>

 

bWAPP PHP Code Injection

- 해당 페이지는 message를 클릭하면 test가 출력된다. - URL 확인 시 message 파라미터의 값을 출력하는 형식이며, 이를 통해 GET 메소드를 이용한 방식이란 것을 알 수 있다. - message 파라미터의 값을 다

ggonmerr.tistory.com

'취약점 > RCE' 카테고리의 다른 글

iControl REST unauthenticated RCE(CVE-2021-22986)  (1) 2022.09.25
vBulletin Pre-Auth RCE(CVE-2019-16759)  (0) 2022.09.20
Bash Shell Shock(CVE-2014-6271)  (2) 2022.09.13
bWAPP PHP Code Injection  (0) 2022.07.29
ThinkPHP 원격 코드 실행 취약점(CVE-2018-20062)  (0) 2022.07.19

1. IPS (Intrusion Prevention System) 이란?

- 침입 방지 시스템 (IDS + 차단 기능)

- 외부망에서 내부망으로 유입되는 악성패킷에 대하여 탐지 및 방어를 능동적으로 수행하며, 실시간으로 탐지/방어하는 솔루션

2. 동작방식

[캡쳐 1] https://wonin.tistory.com/356

① 트래픽 유입

② 무결성 검사 필터 (1차)

③ 유해 트래픽 검사 필터 (2차)

④ ②, ③에 의해 필터링 된 트래픽에 대해 "정책"과 비교

⑤ 정상 트래픽은 통과 시키며, 정책과 일치하는 트래픽이 있을 경우 차단 및 로깅

3. 종류

데이터 수집 방식 네트워크 - 네트워크 기반 IPS (NIPS)
- 네트워크 구간에 설치
호스트  - 호스트 기반 IPS (HIPS)
- 호스트(서버)에 직접 설치
탐지 방식 오용탐지 - 패턴 기반 탐지
이상탐지 - 정상 프로파일의 범위를 벗어날 경우 탐지

4. 구성 방식

- 대부분 In-Line 방식으로 방화벽 뒤에 설치하나 협의와 회의를 통해 내부 환경에 맞는 위치에 설치

5. 방화벽, IDS, IPS 비교

구분 FireWall IDS IPS
목적 접근 통제 및 인가 침입 여부 감지 침입 이전의 방지
패킷 차단  O X O
패킷 내용 분석 X O O
오용 탐지 X O O
오용 차단 X X O
이상 탐지 X O O
이상 차단 X X O
장점 엄격한 접근 통제
인가된 트래픽 허용		 실시간 탐지
사후분석 대응기술		 실시간 즉각 대응
세션 기반 탐지 가능
단점 내부자 공격 취약
네트워크 병목현상		 션형 패턴에 대한 탐지 어려움 오탐 발생 가능
장비 고가

 

'보안 장비 > 기본' 카테고리의 다른 글

DRM과 DLP  (0) 2022.11.21
이중화구성  (0) 2022.08.19
IDS #1  (0) 2022.07.27
방화벽 #1  (0) 2022.07.08

- 한국형 랜섬웨어 귀신(Gwisin)이 최근 국내 기업들을 대상으로 공격 및 피해 속출

* 랜섬웨어 : 사용자 PC의 데이터를 암호화한 후 정상적인 동작(복호화)을 위한 대가로 금품을 요구

특징 - 귀신이라는 한글형 이름, 한글 키보드 사용, 전문 기관에 신고하지 말라고 하는 등 북한 혹은 한글 사용 집단의 소행으로 추측
- 2021년 9월경 처음 등장
- 공격당한 PC의 배경화면을 "GWISIN 귀신"으로 바꾸며, 랜섬노트에는 내부 정보가 구체적으로 기재_타깃형 공격
- 암호화된 파일의 확장자명 역시 공격당한 기업의 이름을 사용, 공격 시간도 한국시간 기준 공휴일과 새벽시간대
동작 - MSI 설치 파일 형태로 동작
- 파일 단독 실행만으로는 행위가 발현되지 않고 특별한 실행 인자 값이 필요하며, 이 인자 값은 MSI 내부에 포함된 DLL 파일의 구동에 필요한 키 정보로 활용_이러한 동작 방식의 특징으로 다양한 샌드박스 환경 보안 제품에서는 탐지가 어려울 수 있음
- 내부 DLL 파일은 윈도우 정상프로세스에 인젝션해 동작하며, 대상 프로세스는 고객사마다 다름
- 인자 검증이 끝나면 인자를 이용해 내부에 존재하는 쉘코드를 복호화
- 정상 프로그램 'certreq.exe'를 실행환 후 복호화 한 쉘코드를 인젝션_인젝션된 셀코드는 귀신 램섬웨어 실행

 

- 보안뉴스

 

[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다

한국형 랜섬웨어 ‘귀신(Gwisin)’이 최근 국내 기업들을 대상으로 공격을 지속하고 있으며 피해기업도 속출하고 있어 주의가 요구된다. 특히, 귀신 랜섬웨어는 영어를 사용하고는 있지만, 귀신

www.boannews.com

'보안뉴스' 카테고리의 다른 글

[긴급] 웹하드에서 게임설치 파일 위장한 모네로 코인 마이너 악성코드 유포중  (0) 2022.08.02
브라우저 즐겨찾기 동기화, 사이버 공격에 악용될 수 있다  (0) 2022.08.02
아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게  (0) 2022.07.27
수수께끼 투성이 멀웨어 클라우드멘시스, 맥OS 사용자 정교하게 노려  (0) 2022.07.26
화려하게 등장했던 해킹 단체 랩서스, 왜 요즘 조용한가  (0) 2022.07.26

1. IDS (Instrusion Detection System) 이란?

- 침입 탐지 시스템

- 외부망에서 내부망으로 유입되는 악성패킷에 대하여 탐지해 담당자에게 통보하는 기능을 수행

2. 동작방식 및 장단점

2.1) 동작방식

데이터 수집 탐지 대상(패킷 등)으로부터 생성되는 데이터를 수집
데이터 가공 및 축약 수집된 데이터를 분석이 가능하도록 의미 있는 정보로 변환
침임 분석 및 탐지 기존에 정의한 룰과 비교하여 침입 여부 판별
보고 및 대응 칩입으로 판정 시 관리자에게 보고 및 적절한 대응

 

2-2) 장단점

장점 - 해킹에 대한 침입탐지시스템보다 적극적인 방어 가능
- 내부 사용자의 오, 남용 탐지 및 방어 기능
- 해킹사고 발생 시 어느 정도의 근원지 추적 가능
단점 - 대구모 네트워크에 사용 곤란
- 관리 및 운영 어려움
- 새로운 침입기법에 대한 즉각적인 대응 곤란
- 보안사고에 대한 근본적인 해결책은 되지 못함

3. 종류

탐지방법에 따른 분류 행위기반 - "규칙 기반 침입탐지" 혹은 "오용탐지"라고도 표현
- 기존에 설정한 패턴을 바탕으로 패킷을 분석해 일치 혹은 유사 시 침입으로 판단
- 장점 : 낮은 오탐률, 전문가 시스템 이용, 트로이목마와 백도어 탐지 가능
- 단점 : 패턴 업데이트 필요_패턴이 없는 유형에 대해서는 탐지가 불가
지식기반 - "통계적 변형탐지", "비정상 행위 탐지"라고도 표현
- 정상 범위에 대한 프로파일을 설정 후 해당 범위를 벗어날 경우 탐지
- 장점 : 패턴업데이트 불필요, Zero-Day Attack 탐지 가능, 침입 이외 시스템 운용상 문제점 발견 가능(내부 정보 유출)
- 단점 : 높은 오탐률, 정상과 비정상을 구분할 임계치 설정이 어려움
대응방법에 따른 분류 수동적 - 침입을 탐지하였을 때 별도의 대응 없이 관리자에게 통보
능동적 - 침입을 탐지하였을 때 스스로 대응을 수행하여 공격을 막거나 방어
데이터 수집원에 따른 분류 네트워크 - 네트워크 기반 IDS (NIDS)
- 네트워크를 통해 전송되는 정보(패킷 헤더, 데이터 및 트래픽 양, 응용프로그램 로그 등)를 분석하여 침입 판단
- 감지기가 promisecuous mode에서 동작하는 네트워크 인터페이스에 설치
- 장점 : 초기 구축 비용 저렴, OS에 독립적-구현/관리 용이
- 단점 : 암호화 패킷 분석 불가, 패킷 손실율, 호스트 상에서 수행되는 행위 탐지 불가
호스트 - 호스트 기반 IDS (HIDS)
- 호스트 시스템으로부터 생성,수집된 감사 자료를 침입 탐지에 사용
- 여러 호스트로 부터 수집된 감사 자료를 이용할 경우 "다중 호스트 기반"이라 함
- 장점 : 정확한 탐지, 다양한 대응책, 암호화 및 스위칭 환경에 적합, 추가적인 하드웨어 불필요
- 단점 : OS에 종속적, 시스템 부하 유발 가능, 구현의 어려움
탐지방법에 따른 분류 사후 분석 - 수집된 데이터를 정해진 시간에만 분석
- 즉시 대응이 어려움
실시간 분석 - 실시간 정보수집, 칩입 탐지 수행 및 이에 대응하는 대비책 수행

4. 구성 방식

In-Line 방식 - 연결된 네트워크를 통과하는 모든 트래픽이 거쳐 가도록 하는 모드
- 모든 트래픽을 확인할 수 있다는 장점과 네트워크 성능 저하 및 장애 발생에 따른 가용성 보장 불가한 단점
 
Span 방식
(Mirroring)		 - Mirroring 기능을 제공하는 스위치 허브를 통해 트래픽을 복사한 뒤 분석
- 네트워크 구성 변경 없이 모니터링이 가능하나, 트래픽이 몰릴 경우 누수가 발생할 수 있음
TAP 방식
(Test Access Port)		 - TAP : 네트워크 상에서 전송되는 패킷의 흐름에 영향을 주지 않고 패킷을 복사해 손실 없이 모니터링 하는 장비
- Mirroring 기능을 수행하는 네트워크 전용 장비를 통해 트래픽을 복사한 뒤 전달
- TAP 장비에 장애가 발생하거나 전원이 차단되는 경우 ByPass 모드로 동작되어 네트워크 흐름이 끊기지 않음

 

'보안 장비 > 기본' 카테고리의 다른 글

DRM과 DLP  (0) 2022.11.21
이중화구성  (0) 2022.08.19
IPS #1  (0) 2022.07.28
방화벽 #1  (0) 2022.07.08

- 2018년부터 꾸준한 활동을 유지하던 아마디 봇이 최근 업그레이드됨

아마디 봇 2018년 발견
데이터를 훔치는 것이 주 목적
다운로드 및 설치 기능_다른 멀웨어와 악성 페이로드 유포에 사용(갠드크랩 랜섬웨어, 플로드애미 RAT 등)
공격절차 - 과거에는 폴아웃, 리그 익스플로잇 킷이나 정보 탈취형 멀웨어(애조럴트)를 통해 유포
- 최근에는 드롭퍼(스모크로더)를 통해 유포

- 스모크로더를 소프트웨어 크랙으로 위장하여 사용자들의 다운을 유도
- 다운 후 실행 시 스모크로더 실행, explorer.exe에 악성 페이로드 주입
- 감염된 프로세스를 통해 아마디 봇 다운, 시작 프로그램 폴더에 위치+스케줄러 등록=공격 지속성 확보
- 아마디 봇은 C&C 서버에 접속 후 플러그인 다운_해당 플러그인을 이용해 시스템 정보 획득
  수집하는 시스템 정보 : 컴퓨터 이름, 사용자 이름, OS 정보, 설치된 애플리케이션, 백신 정보 등
특징 <추가된 기능>
- 14개 회사에서 만든 백신을 찾아 우회하는 기능
- 스케줄러를 통해 공격 지속성 확보
- 보다 많은 정보 수집
- UAC 우회
- 다른 멀웨어 다운로드

 

- 보안뉴스

 

아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게

지난 2년 동안 활발하게 활동했던 멀웨어인 아마디 봇(Amadey Bot)의 변종이 새로운 기능을 탑재하여 나타났다. 이 때문에 아마디 봇은 이전보다 더 은밀하고, 더 집요하며, 훨씬 더 위험한 멀웨어

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

브라우저 즐겨찾기 동기화, 사이버 공격에 악용될 수 있다  (0) 2022.08.02
[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다  (0) 2022.07.28
수수께끼 투성이 멀웨어 클라우드멘시스, 맥OS 사용자 정교하게 노려  (0) 2022.07.26
화려하게 등장했던 해킹 단체 랩서스, 왜 요즘 조용한가  (0) 2022.07.26
마이크로소프트와 구글의 소프트웨어 업데이트로 위장한 새 랜섬웨어  (0) 2022.07.16
침해 사고 정보
일자 2021/04/03
침해 정보 개인정보 (아이디, 이름, 휴대폰 번호, 거주지, 생일, 이메일 주소)
특징 스크래핑
피해크기 53300만명 (한국 12만명)
침해 사고 분석
경위 해킹 관련 온라인 게시판에 페이스북 이용자의 개인정보가 공개
   106개국 53300만명의 데이터로, 이중 한국인은 약 12만명
 
② 페이스북은 해당 데이터는 2019년 이미 보도된 데이터로, 현재는 수정한 상태 발표
원인 ① 2019년 발견된 페이스북 스크래핑 관련 이슈
- 스크래핑이란 웹 사이트에서 필요한 데이터를 긁어오는 것
Cf) 크롤링이란 수많은 웹 사이트를 체계적으로 돌아다니면서 URL, 키워드 등을 수집

- 당시 페이스북에는 전화번호로 사용자를 찾는 기능이 존재
  A사용자를 찾고 싶은 경우 A의 전화번호를 입력하면 찾을 수 있었음
  A의 페이지로 들어가면 친구가 아니어도, A가 전체공개한 정보를 볼 수 있었음 
  해당 정보에 이름, 거주지, 출신학교 등의 정보가 포함되어 있었고, 이를 수집한 것

- 해커들이 이러한 방식으로 개인정보를 수집한다는 내용이 보도됐고,
  페이스북은 20198월에 해당 기능 삭제 및 개인정보 보호 관련 기능 강화 주장
조치 ① 페이스북은 202146일 해당 사실 인정
 
페이스북은 데이터 스크래핑 등 위반 행위를 조사하는 전담팀을 만들어 대응 중으로 발표
 
페이스북은 유출 사실을 피해자에 알리지 않음
- 보안 전문가들은 페이스북에 사회공학공격 등 2차 피해를 막기위해 피해 사실 통지 촉구
기타 - 페이스북의 개인정보 유출 사건 다수
2016년 미 대선 즈음 영국 정치 컨설팅업체가 정치 광고 목적 8천만명 데이터 불법 수집
2019년 이용자 26700만명 개인정보 유출

 

'침해사고 > 개인정보' 카테고리의 다른 글

서울대학교병원 개인정보 유출  (0) 2023.05.10
인터파크 개인정보 유출  (0) 2023.04.16
한국남부발전 개인정보 유출  (0) 2022.08.31
빗썸 개인정보 유출  (0) 2022.08.24
카드 3사 개인정보 유출  (0) 2022.07.16

- 맥OS 스파이웨어 클라우드멘시스 발견

기능 - 문서 유출
- 키스트로크 확보(키로깅)
- 스크린 캡쳐
- 공공 클라우드 스토리지 서비스에 페이로드 저장_해당 서비스를 C&C 서버로 활용 하기도
개요 - 오브젝티브씨로 개발된 일종의 백도어
- 현재까지 분석한 바에 의하면 총 39개의 명령 수행 가능
- 훔쳐낸 데이터는 암호화되며, 복호화 하기위해서는 클루드멘시스 운영자의 비밀키가 필요
- 공격 배후 세력이나 피해자가 특정되지 않음_공격자의 의도는 기밀이나 지적재산을 탈취하는 것
- 맥 환경에서 나타난 몇 안되는 정식 스파이웨어
특징 - 클라우드 스토리지 적극 활용
- 클라우드 계정에 파일을 올리거나 내리는 데 필요한 인증 토큰이 포함되어 있음
- 명령이 담긴 파일을 업로드 -> 해당 파일을 받아 명령 실행 -> 결과 암호화하여 업로드 -> 운영자 확인
   => 멀웨어 내에 IP 주소나 도메인이 존재하지 않음_이전에도 존재한 방식이나 맥OS 환경에서는 최초
- 고도의 표적 공격_현재까지 분석된 표적은 51개의 맥OS 컴퓨터
- 코드 전체의 질이 떨어지며, 난독화 기능이 존재하지 않음, 맥 환경에서 이미 알려진 취약점을 익스플로잇
대응 - 현재까지 알려진 맥OS 취약점을 패치
- 비밀번호 변경/강화, 피싱 예방 교육, 다중 인증 시스템 도입 등
- 애플의 락다운 모드 활성화

 

- 보안뉴스

 

수수께끼 투성이 멀웨어 클라우드멘시스, 맥OS 사용자 정교하게 노려

현존하는 발표 자료와 보고서에서 한 번도 등장하지 않은 맥OS 스파이웨어의 존재가 드러났다. 문서를 빼돌리고, 피해자의 키스트로크를 확보하고, 스크린도 캡처하는 등의 활동을 애플 장비에

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

[긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다  (0) 2022.07.28
아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게  (0) 2022.07.27
화려하게 등장했던 해킹 단체 랩서스, 왜 요즘 조용한가  (0) 2022.07.26
마이크로소프트와 구글의 소프트웨어 업데이트로 위장한 새 랜섬웨어  (0) 2022.07.16
폴리나 취약점 익스플로잇 후 로제나 백도어 설치  (0) 2022.07.12

+ Recent posts

티스토리툴바