Excellent Cyber Security Partner 「PLURA V5」 PLURA V5 Letter - 2021. 01. 랜섬웨어에 대응하기 위한 탐지 방법? 비대면/재택근무 증가로 해킹 공격이 거세지고 있습니다. 특히 랜섬웨어는 대단히 심각합니다. 프루라는 어떻게 랜섬웨어를 탐지할까요? 필터를 등록하고 이것을 이어서 붙이는 방식으로 다양한 상관분석 시나리오를 제공하여 수백여가지 랜섬웨어를 실시간 탐지하고 있습니다. 상관분석 기능 사용 방법? 먼저 프루라에서 제공하는 상관분석 필터를 등록하거나 사용자가 직접
XSL Script Processing? 공격자는 XSL 파일에 스크립트를 포함하여 애플리케이션 제어를 우회하고 코드 실행을 모호하게 할 수 있습니다. 마이터에서 T1220로 관리하고 있는 공격입니다. XSL? XSL (Extensible Stylesheet Language: 확장 가능한 스타일시트 언어) 파일은 일반적으로 XML 파일 내의 데이터 처리 및 렌더링을 설명하는 데 사용됩니다. 복잡한 작업을 지원하기 위해 XSL 표준에는 다양한 언어로 포함된 스크립팅 지원이 포함되어
1. system-view 진입 system-view 2. ACL Number 지정 xxxx로 지정 ACL [xxxx] 3. 허용 또는 차단할 Source IP 지정 대상 IP : x.x.x.x Source IP가 Host일 경우 rule [permit/deny] source x.x.x.x 0 Source IP가 Subnet일 경우 rule [permit/deny] source x.x.x.x [wildcard mask] 4. SSH Server에 ACL 추가 ssh server acl [xxxx] 5. 적용 확인 display
Syslog 서버가 UDP 통신을 하는 경우, 수신과 발신 여부를 확인하기 어려울 경우가 있습니다. Interface를 기반으로 수신과 송신 여부를 체크하는 방법입니다. 1) 수신 확인하기, interface eth0 일 경우 # tcpdump -ni eth0 udp and port 514 2) 발신 확인하기, interface eth1 일 경우 # tcpdump -ni eth1 udp and port 514 내부 블로그
[CentOS 7] # rsyslogd -version rsyslogd 8.24.0-57.el7_9, compiled with: PLATFORM: x86_64-redhat-linux-gnu # cp /etc/yum.repos.d/rsyslog.repo /etc/yum.repos.d/rsyslog.repo.old # curl -s http://rpms.adiscon.com/v8-stable/rsyslog.repo -o /etc/yum.repos.d/rsyslog.repo # yum -y install rsyslog # yum list rsyslog # rsyslogd -version rsyslogd 8.2012.0 (aka 2020.12) compiled with:
▣ Wannacry Ransomware 시연 영상 ▣ 내부 블로그 http://blog.plura.io/?p=9882
1. Syslog Audit 활성화(아래 1, 2번 중 선택 사용) 1.1 Audit Log 패키지 개별 설치를 진행합니다. ▶ CentOS, Red Hat, Amazon Linux # yum -y install audit audisp-plugins ▶ Ubuntu # apt -y update # apt -y install auditd audispd-plugins ※ 사용자 환경에 따라 아래 패키지를 설치해주세요. ▶ CentOS, Red Hat, Amazon Linux
