본문 바로가기

반응형

보안/취약점정보

Formbook 악성코드 Formbook은 인포스틸러 악성코드로서 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. Formbook 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악의적인 행위는 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, Clipboard Grabbing, 웹브라우저의 Form Grabbing 등 다양한 정보를 탈취할 수 있다. ○ 악성코드 유포는 주로 메일을 이용하여 전파되며 메일 본문에 악성코드 유포지를 링크를 걸거나 파일 첨부 등 악성코드 설치 유도 ○ 폼북(FormBook) 악성코드는 시스템 환경을 먼저 확인하여 악성 행위 동작 여.. 더보기
Apache Tomcat 취약점 아파치 톰캣은 오픈소스 웹 서버로 여러가지 자바스크립트 기반 기술들을 지원하는데 그중 자바스크립트 기술 중 하나인 AJP(아파치 제이서브 프로토콜)에서 CVE-2020-1938이 발견되었다고 한다. ※ AJP : 바이너리 형태의 데이터를 네트워크로 전송하도록 개발된 프로토콜로 웹 서버의 성능을 증가시켜줌 Apache Tomcat 모든 버전 (9.x/8.x/7.x/6.x) 에서 AJP 프로토콜 (PORT : 8009)을 이용해 /webapps/ROOT 디렉터리 하위 파일을 읽을 수 있는 ‘잠재적인(potential)’ 원격코드실행 취약점(Ghostcat, CVE-2020-1938)이 발견되었다. ‘잠재적’이라고 표현하는 이유는 웹 어플리케이션 프로그램 내에서 파일 업로드 및 저장이 허용되어야 하는 전제조건.. 더보기
Dlink 취약점 공격 - Mirai 변종 악성코드로 IoT 기기를 대상으로 SOAP 프로토콜을 기반으로한 D-Link HNAP(홈 네트워크 관리 프로토콜) 의 취약점인 hxxp://purenetworks.com/HNAP1/을 사용해 인증을 우회하여 서비스 중지 또는 백도어 공격 시도 - D-Link 취약 제품군 : DAP-1522 revB, DAP-1650 revB, DIR-880L, DIR-865L, DIR-860L revA, DIR-860L revB, DIR-815 revB, DIR-300 revB, DIR-600 revB, DIR-645, TEW-751DR, TEW-733GR D-Link 라우터의 Home Network Automation Protocol (HNAP)이 스택 기반의 버퍼 오버플로우 취약점인 CVE-201.. 더보기
RDP 공격? RDP란? 마이크로소프트의 RDP(Remote Desktop Protocol)는 윈도우 시스템에 원격으로 연결하기 위해 사용된다. [Window]+[R] → mstsc RDP 공격? RDP 프로토콜은 사용이 쉽고 해킹된 시스템을 완전히 제어할 수 있기 때문에 RDP를 표적으로 삼는 것을 선호한다. 또한 공격자가 정당한 목적으로 사용되는 프로토콜을 통해 시스템에 액세스할 수 있기 때문에 방어자가 악의적인 활동을 탐지하기가 더 어렵다. 마이크로소프트의 RDP는 사용자가 윈도우로 구동하는 다른 컴퓨터에서 원격 윈도우 시스템에 연결하는 수단을 제공한다. 원격 디스플레이 및 입력 기능을 제공하기 때문에 실제로 장치 앞에 앉아 있는 것처럼 원격 윈도우 시스템에 액세스해 작업할 수 있다. 예를 들어, RDP를 사용해.. 더보기