Column

Emotet(이모텟)? - 주로 이메일을 통해 확산되는 트로이 목마 - 합법적인 이메일처럼 보이도록 가장하여 사용자가 악성 파일을 클릭하도록 유도 - 트로이 목마를 업데이트하고 기본적으로 시스템에 액세스한 다음 운영자가 추가 페이로드를 다운로드할 수 있도록 하는 악성코드 유형인 "로더"로 작동하도록 구성 - 감염된 호스트에서 은행 자격 증명을 훔치거나, 피해자들로부터 돈을 갈취하는 것을 목표로 동작   Emotet 실행/분석 1.

[PLURA V5] Spring Java 프레임워크 원격 코드 실행 공격 탐지 및 차단 필터 업데이트 제공 안내 웹 방화벽 / 웹 / 시스템 - 시스템 그룹별 사용자 필터 등록 후 차단 및 탐지 가능 [사진 1] 메뉴>필터>등록>웹방화벽 or 웹>등록 [사진 2] 메뉴>필터>등록>시스템>등록 Rule CVE-2022-22965 (?i:class\.module\.classloader\.resources\.context\.parent\.pipeline\.) CVE-2022-22963 (?i:.*\/functionrouter$) [사진 3] 웹 방화벽 CVE-2022-22965 사용자 필터 등록 (Post-body,

우리가 사용하는 거의 대부분의 응용프로그램은 로그를 생성합니다. 이러한 로그에는 응용프로그램 관련 정보가 포함됩니다. 응용프로그램은 시작과 멈춤 등의 현황과 에러 등을 로그로 저장합니다.   우리는 응용프로그램의 설정을 이용하여 로깅 포맷을 사용자 정의로 사용할 수 있습니다.   웹 시스템은 대표적인 응용프로그램으로 아파치 HTTPD, TOMCAT, 그리고 NGINX 에서 설정을 통하여 웹 로깅을 제공하고 있습니다. PLURA V5는 웹 로깅에

PLURA V5 Apache Log4j 취약점 공격 탐지 및 차단 필터 업데이트 제공 안내 □ Apache Log4j 취약점 (CVE-2021-44228)에 대응하여 시스템, 웹, 웹방화벽 필터 등록 완료되었습니다. □ 시스템 필터는 필터 - 추천 항목에 필터를 운영체제와 그룹에 맞게 등록 하면 됩니다. 사용할 수 있는 패턴은 다음과 같습니다. sudo egrep -I -i -r '${jndi:(ldap[s]?|rmi|dns):/[^n]+' /var/log sudo find

1. 사건 개요 CVE-2021-44228[1], 아파치 소프트웨어 재단의 자바 언어로 제작된 Log4j 라이브러리[2]를 사용하는, 대부분의 인터넷 서비스에서 매우 중대한 보안 취약점이 발견된 사건. (From 나무위키[0]) 이 취약점을 이용하면 공격자는 관리자 권한을 획득할 수 있습니다. 본 취약점은  패치가 적용되어도 향후 수년에 걸쳐서 문제가 될 수 있습니다. 이유는 JAVA 프로젝트의 특성상 jar 파일에 포함되어 다양한 프로젝트에 숨겨져 있을 수

비영리재단인 OWASP(The Open Web Application Security Project)는 2021년 새로운 애플리케이션 보안 위협 10가지를 발표했다. 3개의 항목이 새롭게 추가 되었고, 4개의 항목에서 범위 및 새로운 이름으로 변경된 것들이 존재한다.   2017 2021  A1. Injection A1. Broken Access Control A2. Broken Authentication A2. Cryptographic Failures  A3. Sensitive Data Exposure A3. Injection A4. XML External Entities (XXE) A4.

VPN (Virtual Private Network) 주로 서버에 대한 원격 접속 용도로 사용되며, 공용 네트워크를 통해 내부 시스템 자원에 접근할 목적으로 쓰이는 가상 사설 네트워크 ¹⁾ COVID-19로 인한 재택근무가 증가하고, 이에 대한 보안 대책으로 기업에서 VPN 사용이 늘어나고 있다. VPN 제품 취약점을 이용한 공격이 성공한다면, 해당 제품이 패치되기까지 동일한 제품을 사용하는 다른 기업들조차 영향을 받을 수 있다.

실시간으로 정보를 알려주는 편리함으로 '알림'은 모든 서비스에서 필수가 되었습니다. 대표적으로 쇼핑은 결제, 배송 등의 알림을 제공하며 은행은 입금, 출금 등의 알림을 제공하는데요. 이 처럼 '알림' 이란 필요 이벤트 및 이슈 발생 시 즉각 인지할 수 있도록 하는 사용자 편의 서비스입니다. PLURA V5 해킹 대응을 위한 사용자 편의 서비스인 '알림' 기능 살펴 보겠습니다. PLURA V5 에서 탐지하는 해킹

WEBSHELL? 웹 서버의 업로드 취약점을 통하여 시스템에 명령을 내릴 수 있는 코드를 말합니다. 간단한 서버 스크립트(JSP, PHP, ASP ...)로 만드는 방법이 널리 사용됩니다.¹⁾ Microsoft 탐지 및 대응팀에 따르면 Webshell 공격은 2020년 대비 2021년에 2배 증가하였으며, 전 세계적으로 꾸준히 위협이 되고 있는 공격입니다.²⁾ 다음 스크린샷은 최근 PLURA V5 에서 탐지된 악성코드입니다. [이미지 1] WEBSHELL>FILE EXECUTION -

정보보안 시스템은 2가지를 기반으로 구축합니다. 1) 네트워크 2) 호스트 네트워크 기반 제품은 방화벽, 웹방화벽, 침입차단시스템(IPS), 침입탐지시스템(IDS), 통합보안장비(UTM), 지능형지속공격(APT), 데이터유출방지(DLP) 등이 있습니다. 장점은 호스트(서버, 데스크탑)에 에이전트를 설치하지 않는다. 단점은 인라인(In-Line)으로 구성 時 네트워크 단절이 발생하므로, 별도의 정기점검 시간을 확보해야 한다. 단일 장애점(Single Point of Failure) 대비를 위하여 클러스터 구성 등 추가 비용과 네트워크 구조의 복잡성이 증가한다. 호스트