nemo의 이야기
06.23 보안뉴스 본문
* 다이소 몰 해킹 사고
http://www.boannews.com/media/view.asp?idx=68566
- 보안 관리 부실로 인한 해킹 사건
- 공격 방법 : zmEu를 사용하여 웹 서버 스캔을 하여 컴퓨터의 취약점 스캐너 phpMyAdmin 프로그램 또한 추측을 시도 SSH무차별 대입 방법을 통해
패스워드를 지속적인 대입하는 공격
*Tip : 무작위 대입 공격(apache acess log)
- 대응 방안 : Abuse Page 생성하여 옵션으로 404와 같은 에러 표시 대신 403에러를 보여 툴을 혼란시킬 수 있다.
* FileLess형태로 유포된 GandCrab
http://www.boannews.com/media/view.asp?idx=68369
- 동작 방식
- 취약점 발생시 jscript실행
- JS코드가 작성된 페이지 접근하여 실행
- 인젝션 : IE에서 정상적으로 실행됬는데 자바 스크립안에 GandCrab.Dll이 숨어 있던 파일이 explorer.exe에 인젝션하여 실행
- WMI로 구동되는 커맨드
- WMI 윈도우 에서 관리하기 위한 도구
- base64인코딩을 하는 이유 : 보안 장비를 한번 우회하기 위해
- kill-Switch - 악성코드가 동작하려면 외부에 C&C와 연결되는걸 중단시킨다. - Text.txt를 드라이브 제일 상위에 두면 그 하위에 있는 디렉토리를 암호화를 안한다. - IOCs정보(Indicator of compromise) 침해사고에 대한 특징을 알려주는 것 - DEP : 정의해 놓은 행위 이외에 행동을 하면 동작하지 않게 하는 것 - 고급시스테 설정 고급 -> 성능옵션 -> 데이터 실행 방지(DEP) - 메모리에 대한 접근을 허용됬는지 확인 - 하드웨어 기반
'Security News' 카테고리의 다른 글
07.06 보안뉴스 (0) | 2018.07.06 |
---|---|
07.02 보안뉴스 (0) | 2018.07.02 |
06.30 보안뉴스 (0) | 2018.06.30 |
05.29 보안뉴스 (0) | 2018.05.29 |