SECURITY/해킹사고 사례

[해킹사고사례] 웹쉘 webshell 감염 사례

파일업로드 취약점 / webshell 해킹 감염 사례 사고 개요 XX업체 XX서비스 webshell, Miner 코드 감염 침해사고 요약 웹서비스내 이미지 파일 업로드 페이지 취약점을 이용 웹쉘 및 악성코드 설치 웹쉘 파일 srv.aspx , s.aspx Miner 채굴 코드 sqlservr.exe XX업체 XX서비스 운영 서버내 “webshell” 및 “Miner 코드” 감염 확인 상세 분석 웹쉘 파일 http request 화면 a. srv.aspx (/..../.../.../common/srv.aspx) x월 13일 오후 16:01분경 최초 생성 IIS 웹로그 출발지는 중국 IP / 시간은 GMT +9 2019-03-13 07:01:37 X.1X.1X.1X POST /..../.../.../comm..

2022. 2. 9. 14:44

SECURITY/보안기술(SECOPS)

보안 위협 이벤트 탐지 룰 Playbook

Elasticsearch query Rule에 대한 보안 위협 탐지를 slack 알람으로 받는내용입니다. 일부는 메일로도 발송중.. 폐사는 주로 T사 APT 보안 솔루션을 활용하여 엘라스틱과 연동하여 사용중이며 해당 룰은 frequency(빈도), priority(우선순위)등 다양한 변수를 조합하여 운영중입니다. 대표적인 악성 행위에 대한 탐지 rule을 예로 든것입니다. Log4j Log4Shell 공격 탐지 query: deviceHostName:DDI AND name:("CVE-2021-44228 - OGNL EXPLOIT - HTTP(REQUEST)" OR "POSSIBLE HTTP HEADER OGNL EXPRESSION EXPLOIT - HTTP(REQUEST)" OR "POSSIBLE USE..

2022. 1. 28. 14:41