06.23 보안뉴스

* 다이소 몰 해킹 사고

  http://www.boannews.com/media/view.asp?idx=68566

  - 보안 관리 부실로 인한 해킹 사건

  

  - 공격 방법 : zmEu를 사용하여 웹 서버 스캔을 하여 컴퓨터의 취약점 스캐너 phpMyAdmin 프로그램 또한 추측을 시도 SSH무차별 대입 방법을 통해

             패스워드를 지속적인 대입하는 공격

  *Tip : 무작위 대입 공격(apache acess log)

 - 대응 방안 : Abuse Page 생성하여 옵션으로 404와 같은 에러 표시 대신 403에러를 보여 툴을 혼란시킬 수 있다.

* FileLess형태로 유포된 GandCrab

http://www.boannews.com/media/view.asp?idx=68369

- 동작 방식

    - 취약점 발생시 jscript실행

- JS코드가 작성된 페이지 접근하여 실행

- 인젝션 : IE에서 정상적으로 실행됬는데 자바 스크립안에 GandCrab.Dll이 숨어 있던 파일이 explorer.exe에 인젝션하여             실행

- WMI로 구동되는 커맨드

- WMI 윈도우 에서 관리하기 위한 도구

- base64인코딩을 하는 이유 : 보안 장비를 한번 우회하기 위해

   - kill-Switch 
      - 악성코드가 동작하려면 외부에 C&C와 연결되는걸 중단시킨다.

   - Text.txt를 드라이브 제일 상위에 두면 그 하위에 있는 디렉토리를 암호화를 안한다. 

   - IOCs정보(Indicator of compromise) 침해사고에 대한 특징을 알려주는 것
   - DEP : 정의해 놓은 행위 이외에 행동을 하면 동작하지 않게 하는 것
       - 고급시스테 설정 고급 -> 성능옵션 -> 데이터 실행 방지(DEP)
       - 메모리에 대한 접근을 허용됬는지 확인
       - 하드웨어 기반