티스토리

꼰머의 보안공부

검색하기

블로그 홈

꼰머의 보안공부

ggonmerr.tistory.com/m

공부하는 꼰머⭐️

구독자: 17

방명록 방문하기

주요 글 목록

BPFDoor 악성코드 1. 개요- 공격자는 BPFDoor 악성코드를 사용해 SK텔레콤을 해킹해 데이터를 탈취 [1][2][3][4]- BPF(Berkeley Packet Filter) 기술을 악용해 은닉성과 탐지 회피 > BPF란 OS 커널 레벨에서 동작하는 경량화된 VM 기술로, 네트워크 인터페이스를 통해 수신되는 패킷에 대해 커널 공간에서 직접 필터링 > 시스템 성능과 보안성을 향상시킬 수 있으나, 악성코드에 활용될 경우 탐지 회피 및 은닉성 강화 수단으로 사용됨2. 소스코드2.1 프로그램 초기화- 탐지 회피 > 프로세스 이름을 임의로 선택해 백도어를 일반 프로세스로 위장> 파일 타임스탬프를 2008년으로 위장 등 탐지를 회피하기 위한 과정을 진행int main(int argc, char *argv[]){ ... 공감수 1 댓글수 0 2025. 5. 9.
Fast Flux 공격 1. 개요- 주요국 사이버보안 당국이 공동으로 Fast Flux 기법의 위험성 경고 [1]- DNS 레코드를 빠르게 변경하여 악성 서버의 위치를 은폐하여 탐지를 (지속적으로) 회피하기 위해 사용2. 주요내용- 악의적인 공격자가 공격을 진행할 때 상태 업데이트 및 추가 명령을 받기 위해 "Call Home(≒C2)"을 사용> Fast Flux를 활용해 해당 통신이 악성으로 탐지되어 차단될 가능성을 줄일 수 있음> Fast Flux는 단일 도메인과 관련된 DNS 레코드(Ex. IP 주소)를 빠르게 변경하는 도메인 기반 기술> Single flux와 Double flux 기법이 존재 2.1 Single flux- 하나의 도메인이 다수의 IP와 연결되어 IP가 빠르게 순환하는 방식> 하나의 IP 주소가 차단 또.. 공감수 0 댓글수 0 2025. 4. 12.
Ragnar Loader 분석 보고서 1. 개요- Ragnar Loader는 2020년에 등장한 이후 네트워크 내에서 장기적인 침투를 가능하게 하는데 중요한 역할을 수행※ Ragnar Locker, FIN7, FIN8, Ruthless Mantis(구 REvil) 등 여러 해킹 그룹이 사용- 주요 목표는 대상 시스템 내에서 장기적인 발판을 확보해 지속적인 악성 작업을 가능하게 하는 것- 탐지를 회피하고 회복력을 유지하기 위한 기능들이 계속해서 강화되고 있음2. 주요 내용 [1]- Ragnar Locker는 공격에 활용 가능 한 툴킷을 포함하는 아카이브 파일을 제공> Reverse Shell 파일, 로컬 권한 상승 파일, 원격 데스크톱 프로토콜(RDP) 파일과 각 파일 별 설명 파일(txt)이 포함 - 툴킷은 다음 구성요소로 구성> 노드 초기.. 공감수 2 댓글수 0 2025. 3. 12.
정적분석 (Static Analysis) #4 본 게시글은 책 의 내용을 정리한 글 입니다. 악성코드 분석 시작하기 : 네이버 도서네이버 도서 상세정보를 제공합니다.search.shopping.naver.com1.7 악성코드 비교와 분류- 의심 바이너리를 이전 분석 샘플 또는 공개, 사설 저장소에 저장된 샘플과 비교하면 악성코드 군, 악성코드의 특징, 이전 분석 샘플과의 유사성을 파악할 수 있음- 악성 코드 제작자는 빈번하게 악성코드의 미세한 부분을 변경해 해시 값을 완전히 변경하기 때문에 암호 해시(MD5/SAH1/SHA256)를 통한 분류는 유사한 샘플을 식별하는데 도움이 되지 않음퍼지 해싱을 이용한 악성코드 분류- 퍼지 해싱 (Fuzz Hashing)은 파일 유사도를 비교하는 방법> ssdeep을 이용해 샘플에 대한 퍼지 해시를 생성할 수 있.. 공감수 2 댓글수 1 2025. 3. 8.
정적분석 (Static Analysis) #3 본 게시글은 책 의 내용을 정리한 글 입니다. 악성코드 분석 시작하기 : 네이버 도서네이버 도서 상세정보를 제공합니다.search.shopping.naver.com1.6 PE 헤더 정보 조사- 윈도우 실행 파일은 PE/COFF (Portable Executable/Common Object File Format)를 반드시 준수해야 함 - PE 파일 포맷> 윈도우 실행 파일(.exe, .dll, .sys, .ocx, drv)이 사용> 운영 시스템이 메모리로 로딩할 때 필요한 정보를 가진 일련의 구조체와 하위 컴포넌트 - 실행 파일을 컴파일하면 해당 구조체를 설명하는 헤더 (PE 헤더)를 포함> 실행 파일이 메모리에서 실행될 위치> 실행 파일의 시작 위치> 애플리케이션이 의존하는 라이브러리/함수 목록> 바이.. 공감수 0 댓글수 1 2025. 3. 7.
정적분석 (Static Analysis) #2 본 게시글은 책 의 내용을 정리한 글 입니다. 악성코드 분석 시작하기 : 네이버 도서네이버 도서 상세정보를 제공합니다.search.shopping.naver.com1.4 문자열 추출- 문자열 (String) : 파일에 포함된 출력 가능한 ASCII와 유니코드의 순차적인 문자 집합 - 문자열 추출은 프로그램 기능과 의심 바이너리 관련 지표에 대한 단서를 제공> 파일명, URL, 도메인명, IP 주소, 공격 명령어, 제시트리 키 등을 포함> 악성코드가 파일을 생성한다면 해당 파일명이 바이너리 안에 문자열로 저장> 공격자가 통제하는 도메인명을 악성코드가 호출한다면 해당 도메인명이 문자열로 저장> 파일의 목적과 기능에 대한 명확한 단서는 아니지만, 악성코드가 할 수 있는 일에 대한 힌트를 제공 - 리눅스에서는.. 공감수 1 댓글수 0 2025. 3. 6.
APAC 지역 기업 대상 FatalRat 피싱 공격 (SalmonSlalom 캠페인) 1. 개요- 한국을 포함한 APAC 지역 기업을 대상으로 FatalRat을 배포하는 대규모 피싱 공격(SalmonSlalom 캠페인)이 발견 [1]- 제조업, 건설업, 정보기술(IT), 통신, 의료, 에너지, 물류 운송 등 산업군을 대상으로 진행- 중국의 정식 클라우드 서비스(Youdao Cloud Notes, myqcloud CDN)를 악용한 정교한 다단계 감염 기법을 사용2. 주요 내용2.1 초기 감염 (Initial Infection)- APAC 지역 정부 기관 및 기업을 대상으로 피싱 메일, WeChat, Telegram을 통해 악성 ZIP 파일 유포> ZIP 파일에는 세금 신고서나 송장 파일이 포함되어 있으며, 파일명은 중국어로 작성> 또한, ZIP 파일에 1단계 로더가 포함되어 있으며, AsP.. 공감수 2 댓글수 0 2025. 2. 27.
정적분석 (Static Analysis) 본 게시글은 책 의 내용을 정리한 글 입니다. 악성코드 분석 시작하기 : 네이버 도서네이버 도서 상세정보를 제공합니다.search.shopping.naver.com1. 정적분석 (Static Analysis)- 의심스러운 파일을 실행하지 않고 분석하는 기법 > 악성코드 목표 아키텍처 식별하기 : 파일 유형 파악 > 악성코드 식별하기 : 해시 추출 > 백신 엔진을 이용해 의심스러운 바이너리 스캔하기 : 다중 백신 스캐닝 > 파일과 관련된 문자열, 함수, 메타데이터 추출하기 : 문자열 추출 > 분석을 방해하고자 사용한 난독화 기술 식별하기 : 파일 난독화 파악 > 윈도우 실행 파일 정적 분석 : PE 헤더 정보 조사 > 악성코드 샘플들을 비교하고 분류하기 : 퍼지 해싱, 임포트 해시, 섹션 해시, YARA.. 공감수 1 댓글수 1 2025. 2. 25.
악성코드 분석 개요 본 게시글은 책 의 내용을 정리한 글 입니다. 악성코드 분석 시작하기 : 네이버 도서네이버 도서 상세정보를 제공합니다.search.shopping.naver.com1. 악성코드란- 악의적인 행위를 하는 코드로, 실행 파일, 스크립트, 코드, 또는 다른 유형의 소프트웨어 형태가 될 수 있음> 컴퓨터 연산 방해 > 개인, 비즈니스, 재무 데이터를 포함한 민감 정보 훔치기 > 표적 감시 > 스팸 이메일 보내기 > 분산 서비스 거부(DDoS, Distributed-Denial-of-Service) 공격 참여 > 컴퓨터에 있는 파일을 잠근 후에 대가(Ransom) 요구하기 - 악성코드의 분류구분설명기능적 구분바이러스 (Virus)또는 웜 (Worm)- 자가 복제하고 다른 컴퓨터로 확산하는 기능을 가짐- 바이러스.. 공감수 4 댓글수 1 2025. 2. 18.
Malvertising 기법 1. Malvertising(멀버타이징)- Malware(악성코드)와 Advertising(광고)의 합성어로 악성 광고를 의미- 사용자를 속이기 위해 가짜 사이트로 리다이렉션하는 등 광고를 악용한 해킹 기법- 상대적으로 보안이 취약한 광고 서버를 해킹하거나 악성 광고를 게시하여 공격에 활용2. 상세내용 [1]- 연구원들이 Google에 slack 검색한 결과 광고가 가장 먼저 표시되었음> 해당 광고가 누구에 의해 게시되었으며, 이전에 게시한 광고 내역을 확인할 수 있음> 연구원들이 이를 확인한 결과 홍콩 소재 의심스러운 광고주에 의해 게시됨을 확인- 확인된 광고를 클릭하면 정상적인 Slack 공식 웹사이트의 가격 페이지로 리디렉션> 공격자들은 도메인을 구매한 후 악용하기 위해 정상적인 도메인처럼 보이도록.. 공감수 0 댓글수 0 2024. 12. 16.
복사-붙여넣기를 악용한 ClickFix 공격 1. 개요- 최근 복사-붙여 넣기 기법을 활용한 ‘ClickFix’라 불리는 새로운 공격 발견 [1] - 가짜 팝업 메시지의 버튼을 클릭하면 악성코드 또는 악의적 프로그램이 다운로드 되는 형태 2. 주요내용2.1 ClickFix- 유명 서비스를 위조해 문서나 페이지 내 긴급한 오류가 발생했다는 팝업 텍스트 상자를 표시 > 사용자를 속이기 위해 MS Office 문서나 Google Meet 등 유명 서비스를 위조해 페이지 내 팝업 표시 > 사용자가 직접 PowerShell(powershell.exe)이나 Windows 명령 프롬프트(cmd.exe)를 통해 실행하라는 메시지가 표시되며, "How to fix" 등의 버튼을 클릭하면 악의적 명령이 복사 2.2 악성 VBS 스크립트- hxxps://googied.. 공감수 5 댓글수 5 2024. 10. 24.
국내 및 중국 사용자 대상으로 유포되는 UULoader 1. 개요- 한국과 중국 사용자를 대상으로 정상 애플리케이션으로 위장한 UULoader 유포 정황 확인 [1] > DLL 파일 내 내장된 프로그램 데이터베이스(PDB) 파일에 중국어 문자열이 있다는 점에서 UULoader로 명명 - UULoader는 Gh0stRAT이나 Mimikatz와 같은 멀웨어를 유포하는데 사용되는 로더 2. 주요내용- UULoader는 File Header Stripping을 통해 정적 탐지 회피 > File Header Stripping: 파일의 헤더 정보를 제거하는 작업 > 해당 작업을 통해 탐지를 회피하거나 분석을 어렵게 만듦- UULoader의 핵심 파일은 cab 파일 안에 압축되어 있음 > cab 파일은 헤더가 제거되어 있음 (File Header Stripping) >.. 공감수 0 댓글수 0 2024. 8. 20.
동아시아 사용자를 대상으로 유포되는 악성코드 1. 개요- 동아시아와 한국을 대상으로 악성코드가 유포되는 정황이 확인 - SW 취약점 또는 악성코드가 포함된 크랙 버전을 통해 유포 - C2 서버와 통신하며 추가 명령을 수행하거나 사용자 정보를 탈취 2. 주요내용2.1 Velvet Ant [1]- 중국 해킹 그룹 China-Nexus와 연류된 공격자가 약 3년 동안 동아시아에 위치한 익명의 조직을 대상으로 장기간 공격- 공격자는 EDR이 설치되지 않고 로깅이 제한된 시스템을 표적으로 삼는 등 레거시 운영 체제를 노림 > 또한, 피해자 환경에 이미 배포된 원격 접속 트로이목마 PlugX를 활용 > PlugX는 2008년부터 중국 국가 후원 공격 그룹에서 사용되었으며, 감염된 시스템에 대한 원격 액세스를 제공하도록 설계> 공격에는 인터넷에 직접 액세스할 .. 공감수 0 댓글수 0 2024. 6. 21.
z0Miner, 국내 WebLogic 서버 대상 공격 1. 개요 - 최근 국내 WebLogic 서버를 공격 및 장악해 z0Miner 악성코드를 유포하는 정황이 포착 - 정보 탈취 또는 랜섬웨어를 설치할 수 있어 웹로직 서비스 점검 필요 2. 주요 내용 [1] 2.1 z0Miner [2] - 2020년 Tecnet 보안팀에 의해 처음으로 소개된 마이너 악성코드 (암호 화폐 채굴 봇넷) - 국내외 보안이 취약한 서버인 Atlassian Confluence, Apache ActiveMQ, Log4J 등을 대상으로 마이너 악성코드를 유포 - CVE-2020-14882, CVE-2020-14883을 악용해 WebLogic 서버 공격 구분 설명 CVE-2020-14882 [3] - 특수하게 조작된 GET 요청을 통해 인증을 우회하여 관리자 콘솔 접근할 수 있는 취약점.. 공감수 0 댓글수 0 2024. 3. 9.
국내 보안 프로그램 위장 인포스틸러 트롤스틸러(Troll Stealer) 1. 개요 - 북한 배후 해킹그룹 김수키(Kimsuky)에서 국내 보안 프로그램으로 위장한 악성코드 유표 정황 포착 - Go 언어 기반 인포스틸러로, 국내 보안기업의 보안 프로그램 설치파일로 위장 - 시스템 정보, 브라우저 정보, AV 설치 목록 등을 탈취하며, GPKI 정보 또한 탈취를 시도 - 악성코드에 파일에 포함된 문자열을 따 '트롤스틸러(Troll Stealer)'로 명명 2. 주요내용 [1] - 악성코드는 국내 특정 웹 사이트 접속시 연결되는 보안 프로그램 다운로드 페이지로부터 유포 > SGA Solutions의 보안 프로그램 설치 파일(TrustPKI, NX_PRNMAN)로 위장 > 악성코드는 정상 인스트롤러와 악성코드를 드랍 및 실행하는 Dropper > 악성파일은 모두 원래 인증서인 “S.. 공감수 0 댓글수 0 2024. 2. 15.
Androxgh0st 악성코드 분석 보고서 1. 개요 - FBI, CISA는 Androxgh0st 악성코드와 관련된 보안권고 발표 [1] - 알려진 여러 취약점을 악용해 봇넷을 구성하여 Androxgh0st 유포 - .env 파일에서 민감 정보를 추출해 유명 애플리케이션의 자격 증명 탈취 목적을 지닌 파이선 스크립트 멀웨어 > AWS, Microsoft Office 365, SendGrid, and Twilio > .env: 환경 변수가 저장된 파일로, API key, port, DB 등 민감한 정보를 환경변수에 담아 관리 [2][3] 2. 주요 내용 2.1 Androxgh0st [4] - 22.12 보안 업체 Lacework 최초 발견한 파이썬을 기반 멀웨어 - Laravel 애플리케이션의 .env 파일에서 크리데셜이나 API 키 등 민감 데이.. 공감수 0 댓글수 0 2024. 1. 19.
대한민국 사용자를 대상으로 한 SugarGh0st RAT 1. 개요 - CISCO Talos에서 대한민국 사용자를 대상으로한 중국 배후 RAT "SugarGh0st RAT" 발견 [1] > Gh0st RAT의 변종으로, C2 서버와 통신하며 명령을 수행 > 대한민국 사용자외에도 우즈베키스탄 외교부를 대상으로 공격 수행 1.1 Gh0st RAT [2] - 红狼小组(C.Rufus Security Team)이라는 중국 그룹에 의해 개발 - 2008년 소스코드가 공개되어 여러 변종이 등장 2. SugarGh0st RAT - 기존 Gh0st RAT과 차이점 ① 정교한 표적 공격 ② 특정 ODBC(Open Database Connectivity) 레지스트리 키를 찾음 ③ 특정 파일 확장자와 함수 이름을 가진 라이브러리 파일을 로드 ④ 원격 관리 작업을 용이하게 하기위한 .. 공감수 0 댓글수 1 2023. 12. 4.
KISA 보안 업데이트로 위장한 악성코드 유포 1. 개요 - 국가사이버안보센터는 최근 국가배후 해킹조직의 공격 정황을 확인했다고 발표 - 해당 조직은 KISA 보안 업데이트 등 정상 프로그램으로 위장하여 악성코드를 유포 > KISA 보안 업데이트 외 MS 업데이트, 소프트웨어 설치 파일 등으로 위장하여 유포될 가능성이 존재 2. 주요 내용 [2] - 확인된 악성 파일은 ‘KISA-Security-Upgrade.exe’라는 이름으로 유포 > 이노 셋업(Inno Setup) 소프트웨어를 사용하여 제작 > 이노 셋업이란 JrSfoftware社에서 제작한 스크립트 기반의 윈도우용 설치 프로그램을 제작할 수 있는 도구 - 해당 파일 내부에 스크립트 파일 ‘install_script.iss’이 존재 > 스크립트 파일에 기록된 명령에 따라 시스템 파일 생성 및 .. 공감수 0 댓글수 0 2023. 6. 13.
러시아 배후 Snake 악성코드 1. 개요 - 미국 CISA, NSA, FBI 등에서 러시아 연방 보안국(FSB)과 연관된 것으로 추정되는 Snake 악성코드 분석 보고서 발표 - Snake 악성코드는 50여 개 국가 정부 네트워크, 연구 시설 및 언론 등을 대상으로 민감 정보 탈취를 시도 Hunting Russian Intelligence “Snake” Malware | CISA SUMMARY The Snake implant is considered the most sophisticated cyber espionage tool designed and used by Center 16 of Russia’s Federal Security Service (FSB) for long-term intelligence collection on se.. 공감수 0 댓글수 0 2023. 5. 13.
악의적인 MS Word RTF File 악성코드 유포 (CVE-2017-0199) #3 1. 분석 도구 1.1 Virus Total [1] - 무료로 파일 검사를 제공하는 웹사이트로, 파일, URL 내의 바이러스를 검사해주는 사이트 (IP 조회도 가능) 1.2 HxD [2] - 파일에 저장된 HEX(16진수) 값을 읽고 수정하는데 이용 1.3 rtfdump.py [3][4] - Github에서 다운받을 수 있는 파이썬으로 작성된 RTF 파일을 분석하는데 사용되는 Open Source 1.4 oledump.py [8] - OLE 파일을 분석하는 프로그램 2. 분석 ① Virus Total 조회 - 실습에서 진행한 RTF 파일을 Virus Total에서 조회한 결과는 다음과 같음 > 58개의 벤더사 중 39개의 벤더사가 악성 파일로 탐지 > 탐지명을 확인해보면 CVE-2017-0199와 관련된.. 공감수 0 댓글수 0 2023. 5. 5.
악의적인 MS Word RTF File 악성코드 유포 (CVE-2017-0199) #2 1. 취약점 [1] - MS Zero-day 공격으로, OLE2link 오브젝트를 포함한 워드파일을 열기만 하면 임의의 코드가 실행되는 취약점 영향받는 버전: Microsoft Word 모든 버전 2. 실습 2.1 환경 - 공격자 환경 - 피해자환경 2.2 실습 ① PoC를 위한 파일은 Github에 올라온 오픈 소스를 사용 [2] git clone https://github.com/bhdresh/CVE-2017-0199 ② msfvenom을 사용해 리버스쉘을 생성하는 HTA 파일을 생성 msfvenom [3][4] - 메타스플로잇 프레임워크에 포함되어 있는 페이로드 생성 도구로 칼리에 내장되어 있음 - 2015년 6월에 msfpayload 및 msfencode가 msfvenom에 통합 - 해당 툴을 처.. 공감수 0 댓글수 0 2023. 4. 26.
악의적인 MS Word RTF File 악성코드 유포 (CVE-2017-0199) #1 1. 개요 - 북한 해킹 조직 킴수키(Kimsuky)에서 과거 활용했던 취약점 - 과거 북한은 해당 취약점을 이용해 2014.12.09 한수원 사태를 일으킴 - 해당 취약점은 발견 당시 Zero-Day 취약점이었으며, 2017.04 MS에서 패치를 진행 - 러시아에서 사이버무기로 활용하던 제로데이 취약점으로, 취약점이 공개되자 북한이 활용한 것으로 판단 ※ 보안뉴스 "세계적인 관심 받고 있는 북한의 APT 단체 킴수키, 어떻게 막아야 하나" 취약점이 포함되어 있어 정리 2. 관련 지식 2.1 OLE - 객체 연결 삽입(Object Linking and Embedding, OLE)의 준말 - MS에서 개발하였으며, 문서와 기타 객체에 연결과 삽입을 도와주는 연결규약 - 다른 응용프로그램에서 작성된 문자나 .. 공감수 0 댓글수 0 2023. 4. 24.
BYOVD (Bring Your Own Vulnerable Driver) 기법 1. BYOD (Bring Your Own Device) - 개인 소유의 스마트기기 또는 모바일 장비를 이용해 회사 데이터베이스와 애플리케이션 등에 액세스해서 업무를 처리하는 것을 의미 - 기업은 하드웨어 교체 비용, 소프트웨어 라이선스 구입 및 유지 비용 등을 절감 가능 - 장소나 시간에 관계 없이 개인 기기에서 자유롭게 업무 문서를 열람 가능하여 생산성과 업무 속도 개선 2. BYOVD (Bring Your Own Vulerable Device) - BYOD (Bring Your Own Device)에서 파생된 단어로, 취약점이 존재하는 드라이버를 포함하고 있는 프로그램을 악용 > 최신 윈도우 운영체제에서는 더 이상 서명되지 않은 드라이버 로드는 불가 > 그러나, 합법적으로 서명된 드라이버 모듈은 로.. 공감수 0 댓글수 0 2023. 3. 22.
제로클릭(Zero-Click) 1. 개요 - 모바일 보안수칙으로 보통 의심스러운(출처가 불분명한) 링크, 첨부파일 등을 클릭하지 말 것을 당부 - 이러한 대응방안을 무력화하는 방법이 제로클릭(Zero-Click) 기법 2. 제로클릭(Zero-Click) - 단어 뜻 그대로 클릭이 제로인 상태를 뜻함 - 기존의 피싱 등을 통한 악성코드와 달리 사용자가 클릭하지 않아도 몰래 침투해 사용자의 스마트폰을 좀비폰으로 만듦 - 애플 iOS나 구글 안드로이드 운영체제, 왓츠앱 같은 메신저 프로그램의 취약점들을 악용해 사용자 몰래 기기에 침투 - 공격이 성공할 경우 통화 도청·녹음, 사진 촬영, 비밀번호 탈취 등이 가능해짐 - 제로클릭 공격은 정부기관 관계자, 정치인, 활동가 등 고위급 인사나 언론인을 대상으로 함 - 대중화됐다고 보기는 어렵지만 .. 공감수 0 댓글수 0 2023. 2. 20.
악성코드와 레지스트리 1. 레지스트리 - 시스템, 사용자, 프로그램, 서비스, 드라이버 등 PC 운용에 반드시 필요한 정보를 저장해둔 데이터베이스 - 윈도우+R > regedit.exe(또는 regedit)를 통해 접근하며, 키(Key_폴더의 개념)와 값(Value_파일의 개념)로 구성 - 레지스트리는 수많은 논리를 구분하는 하이브(Hive)로 나눌 수 있으며, 하이브는 모두 HKEY로 시작 하이브 약칭 설명 HKEY_CLASSES_ROOT HKCR - 파일 확장자와 특정 프로그램을 연결시켜주는 참조 테이블 - OLE 데이터와 확장자에 대한 정보, 파일과 프로그램 각 연결 정보가 포함 - 파일 확장자들이 서브트리로 구성, 각 확장자는 파일타입과 연결되어 해당 프로그램을 확인가능 HKEY_CURRENT_USER HKCU - 현.. 공감수 0 댓글수 1 2023. 1. 8.
Gh0st RAT(Remote Access Trojan) 1. 개요 - 중국의 ‘C. Rufus Security Team’에서 개발되었으며 오픈소스로 제작된 원격 제어 악성코드 - 감염에 필요한 악성코드 생성 및 감염PC들의 관리와 공격명령을 통한 악성행위를 수행할 수 있는 해킹도구 - 해커는 자신의 서버로 접속한 좀비PC들에게 간단한 조작으로 DDoS공격, 화면제어, 키로깅, 도청 등 악성행위를 수행 - 소스코드가 공개되어 꾸준하게 버전업이 되고 있으며, 누구나 쉽게 사용할 수 있음 2. 분석 2.1 툴 - 먼저 툴은 Connections, Settings, Build 3개의 탭으로 구성 ① Connections - 공격자가 제어 가능한 PC, 즉 좀비 PC 확인 가능 - 공격자가 배포한 파일을 피해자가 실행할 경우 목록에 등록되며 제어가 가능해짐 기능 파일.. 공감수 0 댓글수 0 2022. 11. 28.
2021.03.28 PHP Git 서버 해킹 사건_백도어 1. 개요 - 2021.03.28 PHP의 Git 서버(git.php.net)에 백도어를 심어 PHP 개발자들이 악성 서비스 및 앱을 개발하도록 유도 - 감염된 코드로 웹 사이트를 만들었다면, 공격자들은 백도어를 통해 침투 및 임의의 명령을 실행 가능 - 재빨리 발견되어 조치가 취해짐 > 정상적인 코드로 롤백 - git.php.net 서버 폐기 후 GitHub 저장소로 프로젝트를 이전 조치 2. 공급망 공격 (Value-Chain Attack) - 서드파티 공격(Third Party Attack) 공격이라고도 불림 - 유통 및 공급 과정을 이용한 공격 유형 - 자사의 시스템 및 데이터에 접속할 수 있는 외부 협력업체나 공급업체를 통해 누군가가 시스템에 침투할 때 발생 - 자체적으로 새로운 기술을 개발하지.. 공감수 0 댓글수 1 2022. 11. 25.
C2aaS(C2-as-a-Service) 1. 개요 - 2022년 08월경 새로운 범죄 서비스 발견 - 다크 유틸리티(Dark Utilities) : 사이버 공격을 할 때 사용되는 C2(Command & Control) 서버를 쉽게 준비해주는 서비스 - 다크 유틸리티는 2022년 초 확립된 C2aaS(C2-as-a-Service) 모델 C2 플랫폼 - 비용은 9.99유로이며 등록자수는 3,000명 정도로 예상 2. 기능 - 사용자 인증을 위해 Discord를 활용 - 인증 후 플랫폼, 서버 상태 및 기타 지표에 대한 다양한 통계를 표시하는 대시보드가 사용자에게 제공 - 공격자는 개발 리소스를 할당하지 않고도 여러 아키텍처를 대상으로 할 수 있음 - 피해자 시스템에서 실행되는 코드로 이뤄진 페이로드를 제공 - 피해자 시스템을 서비스에 등록해 .. 공감수 0 댓글수 0 2022. 11. 19.
IoT Mirai 악성코드 분석 1. 개요 타임라인 설명 2016.09.13 - 컴퓨터 보안기자 Brian Krebs의 웹사이트(krebsonsecurity.com) 665 Gbps 공격 진행 2016.09.18 - OVH(프랑스 웹 호스트)에 최초 1.1 Tbps 공격시작, 최종 1.5 Tbps 공격으로 세계에서 가장 큰 규모의 디도스 공격으로 기록 2016.09.30 - 해커 포럼(Hacker Forum)에 미라이 제작자 소스코드와 상세한 내용 공개 - 소스코드를 공개함에 따라 변종 악성코드가 발생할 것이라는 예상이 있었으며, 실제로도 지속적으로 변종 악성코드 발견되는 중 2016.10.21 - 2016 Dyn cyberattack 1.2 Tbps 크기 공격(미국의 주요 도메인 서비스 마비된 사건 발생, 장기간 서비스 중단) - D.. 공감수 0 댓글수 0 2022. 11. 11.

문의안내

티스토리
로그인
고객센터

티스토리는 카카오에서 사랑을 담아 만듭니다.