Laura

You are here:-Laura

About Laura

This author has not yet filled in any details.
So far Laura has created 14 blog entries.

Reverse Shell 탐지 with MITRE ATT&CK

리버스 쉘(Reverse Shell) 목표 시스템의 취약점을 이용하여 쉘 세션을 시작한 다음 피해자의 컴퓨터에 액세스합니다. 목표는 원격 컴퓨터에 연결하고 공격자가 원격으로 액세스할 수 있도록 대상 시스템 쉘의 입력 및 출력 연결을 리다이렉션 하는 것입니다. 특정 피해 시스템에서 자신의 권한(cmd)을 사용하여 공격자 시스템에 연결하여 찾아가는 방식입니다. 리버스 연결을 하는 이유는 정보보호 제품의 네트워크 연결 구조 때문입니다. 외부에서

By |2023-04-19T11:22:52+09:004월 13th, 2023|Categories: Column|Reverse Shell 탐지 with MITRE ATT&CK 댓글 닫힘

CALDERA 칼데라

CALDERA 칼데라? MITRE에서 개발한 프레임워크로 해킹 그룹의 공격 기술을 재현하고 테스트하기 위해 제작된 도구들의 집합체 CALDERA 설치 참고 https://github.com/mitre/caldera https://caldera.mitre.org/ https://caldera.readthedocs.io/en/latest/

By |2023-02-21T10:09:47+09:002월 21st, 2023|Categories: Column|CALDERA 칼데라 댓글 닫힘

ANONYMOUS LOGON, NTLM V1 사용 정책 중지

ANONYMOUS LOGON? 익명 사용자 계정을 통해 인증을 받지 않은 상태에서 파일과 폴더에 액세스할 수 있다. NTLM V1? NT(New Technology) LAN Manager 사용자에게 인증, 무결성 및 기밀성을 제공하기 위한 Microsoft 보안 프로토콜 제품 가능한 모든 8자리 암호 해시 순열을 6시간 이내에 해독할 수 있다고 한다. [1] ANONYMOUS LOGON 비활성화 방법 참고: KISA 주요정보통신기반시설 W-42 점검내용 'SAM

By |2023-02-20T16:34:07+09:002월 20th, 2023|Categories: Column|ANONYMOUS LOGON, NTLM V1 사용 정책 중지 댓글 닫힘

Emotet 악성코드 분석

Emotet(이모텟)? - 주로 이메일을 통해 확산되는 트로이 목마 - 합법적인 이메일처럼 보이도록 가장하여 사용자가 악성 파일을 클릭하도록 유도 - 트로이 목마를 업데이트하고 기본적으로 시스템에 액세스한 다음 운영자가 추가 페이로드를 다운로드할 수 있도록 하는 악성코드 유형인 "로더"로 작동하도록 구성 - 감염된 호스트에서 은행 자격 증명을 훔치거나, 피해자들로부터 돈을 갈취하는 것을 목표로 동작   Emotet 실행/분석 1.

By |2022-10-21T16:59:52+09:0010월 13th, 2022|Categories: Column|Emotet 악성코드 분석 댓글 닫힘

Windows Outbound 규칙 차단

Outbound? 장치/호스트에서 특정 장치로 나가는 연결. 트래픽 발생 ex) Windows 10에서 웹 브라우저로 웹 서버 접속 및 파일 다운로드 *참고 Direction - %%14593: Outbound - %%14592: Inbound 목적 Windows 특정 프로그램 사용된 Outbound 차단 웹 서버 공격, 백도어 설치 등 C&C 서버 접속하게 하는 행위 차단 [사진 1] w3wp.exe 이용하여 악성 IP 주소로 Outbound 규칙

By |2022-10-02T10:40:06+09:009월 19th, 2022|Categories: Tech|Windows Outbound 규칙 차단 댓글 닫힘

SQLMAP

SQLMAP 이란? [1] SQL Injection 결함을 감지 및 악용할 수 있는, Python 으로 작성된 오픈 소스 침투 테스트 도구 mysql, postgresql, oracle, microsoft sql server 등을 포함한 모든 최신 데이터베이스에서 작동 DB 취약 여부 확인부터 DB, 테이블, 컬럼, 데이터 탈취까지의 SQLI 공격 기술을 자동화한 Tool 다음과 같은 일반적인 SQL Injection 기술을 자동화 1) Error Based

By |2023-02-21T10:31:12+09:006월 21st, 2022|Categories: Tech|SQLMAP 댓글 닫힘

Spring Java 프레임워크 (CVE-2022-22965, CVE-2022-22963) Rule 업데이트 안내

[PLURA V5] Spring Java 프레임워크 원격 코드 실행 공격 탐지 및 차단 필터 업데이트 제공 안내 웹 방화벽 / 웹 / 시스템 - 시스템 그룹별 사용자 필터 등록 후 차단 및 탐지 가능 [사진 1] 메뉴>필터>등록>웹방화벽 or 웹>등록 [사진 2] 메뉴>필터>등록>시스템>등록 Rule CVE-2022-22965 (?i:class\.module\.classloader\.resources\.context\.parent\.pipeline\.) CVE-2022-22963 (?i:.*\/functionrouter$) [사진 3] 웹 방화벽 CVE-2022-22965 사용자 필터 등록 (Post-body,

By |2022-10-02T10:40:06+09:004월 6th, 2022|Categories: Column|Spring Java 프레임워크 (CVE-2022-22965, CVE-2022-22963) Rule 업데이트 안내 댓글 닫힘

VPN 취약점 악용 공격 증가

VPN (Virtual Private Network) 주로 서버에 대한 원격 접속 용도로 사용되며, 공용 네트워크를 통해 내부 시스템 자원에 접근할 목적으로 쓰이는 가상 사설 네트워크 ¹⁾ COVID-19로 인한 재택근무가 증가하고, 이에 대한 보안 대책으로 기업에서 VPN 사용이 늘어나고 있다. VPN 제품 취약점을 이용한 공격이 성공한다면, 해당 제품이 패치되기까지 동일한 제품을 사용하는 다른 기업들조차 영향을 받을 수 있다.

By |2022-10-28T10:35:01+09:009월 17th, 2021|Categories: Column|VPN 취약점 악용 공격 증가 댓글 닫힘

PHP WEBSHELL 악성코드

WEBSHELL? 웹 서버의 업로드 취약점을 통하여 시스템에 명령을 내릴 수 있는 코드를 말합니다. 간단한 서버 스크립트(JSP, PHP, ASP ...)로 만드는 방법이 널리 사용됩니다.¹⁾ Microsoft 탐지 및 대응팀에 따르면 Webshell 공격은 2020년 대비 2021년에 2배 증가하였으며, 전 세계적으로 꾸준히 위협이 되고 있는 공격입니다.²⁾ 다음 스크린샷은 최근 PLURA V5 에서 탐지된 악성코드입니다. [이미지 1] WEBSHELL>FILE EXECUTION -

By |2022-10-02T10:40:12+09:005월 12th, 2021|Categories: Column|PHP WEBSHELL 악성코드 댓글 닫힘

사용자 정의 규칙 필터 (웹 & 웹방화벽)

웹 해킹은 웹 사이트 취약점을 공격하는 기술로, 웹 페이지를 통하여 권한이 없는 시스템에 접근하거나 데이터 유출 및 파괴와 같은 행위가 이루어집니다. 특히 웹 애플리케이션을 통해 해킹이 주로 발생됩니다. OWASP 에서 10대 웹 애플리케이션 취약점을 발표하였고 PLURA V5는 이걸 기준으로 웹 공격 유형 분석을 통해 탐지 패턴을 등록하여 관리하고 있습니다. 해커는 제로데이 취약점이라고 하는, 이전에 보고된

By |2022-10-02T10:40:12+09:004월 28th, 2021|Categories: Column|사용자 정의 규칙 필터 (웹 & 웹방화벽) 댓글 닫힘