'보안' 카테고리의 글 목록 (2 Page)

본문 바로가기

보안

Formbook 악성코드 Formbook은 인포스틸러 악성코드로서 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. Formbook 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악의적인 행위는 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, Clipboard Grabbing, 웹브라우저의 Form Grabbing 등 다양한 정보를 탈취할 수 있다. ○ 악성코드 유포는 주로 메일을 이용하여 전파되며 메일 본문에 악성코드 유포지를 링크를 걸거나 파일 첨부 등 악성코드 설치 유도 ○ 폼북(FormBook) 악성코드는 시스템 환경을 먼저 확인하여 악성 행위 동작 여.. 더보기

웹 공격 및 대응 기법 - 2일차 보호되어 있는 글입니다. 더보기

웹 공격 및 대응 기법 - 1일차 보호되어 있는 글입니다. 더보기

[보안 기본] 파일 시그니처(매직넘버) 파일들은 각각 고유한 포맷을 가지고 있는데 포맷의 기본이 되는 내용이 파일 시그니쳐(파일 매직넘버) 입니다 파일의 처음에 존재하는 시그니처는 헤더(Header) 시그니처, 파일의 마지막에 존재하는 시그니처는 푸터(Footer or Tailer) 시그니처 파일 형식이라고도 하는데 각 파일 형식마다 가지고 있는 고유의 특징이 있다. 이러한 특징들은 정해져 있으며 이를 파일 시그니처(매직 넘버)라고 한다. 악성코드 분석, 디지털 포렌식 등을 할 때 파일의 포맷을 아는 것은 굉장히 중요하다. 손상된 파일을 복구하거나 안에 숨겨진 내용을 파악하는 포렌식, 악성코드 분석할때 주로 사용된다 매직넘버는 파일의 처음에만 존재하는 파일 포맷도 있지만 파일의 마지막에도 존재하는 포맷도 있는데, 파일의 처음에 존재하는 시그니.. 더보기

Apache Tomcat 취약점 아파치 톰캣은 오픈소스 웹 서버로 여러가지 자바스크립트 기반 기술들을 지원하는데 그중 자바스크립트 기술 중 하나인 AJP(아파치 제이서브 프로토콜)에서 CVE-2020-1938이 발견되었다고 한다. ※ AJP : 바이너리 형태의 데이터를 네트워크로 전송하도록 개발된 프로토콜로 웹 서버의 성능을 증가시켜줌 Apache Tomcat 모든 버전 (9.x/8.x/7.x/6.x) 에서 AJP 프로토콜 (PORT : 8009)을 이용해 /webapps/ROOT 디렉터리 하위 파일을 읽을 수 있는 ‘잠재적인(potential)’ 원격코드실행 취약점(Ghostcat, CVE-2020-1938)이 발견되었다. ‘잠재적’이라고 표현하는 이유는 웹 어플리케이션 프로그램 내에서 파일 업로드 및 저장이 허용되어야 하는 전제조건.. 더보기

웹 해킹 이해를 위한 웹 이해 Servlet 웹 기반의 요청에 대한 동적인 처리가 가능한 하나의 클래스이다. Server Side에서 돌아가는 Java Program 개발자가 작성해야 하는 부분 클라이언트의 요청이 들어오면 WAS는 해당 요청에 맞는 Servlet이 메모리에 있는지 확인 ↳ if. 메모리에 X, 해당 Servlet Class를 메모리에 올린 후(Servlet 객체 생성) init 메서드 실행 → service 메서드를 실행 ↳ else if. 메모리에 O, 바로 service 메서드 실행 init() 한 번만 수행된다. 클라이언트(browser)의 요청에 따라 적절한 Servlet이 생성되고 이 Servlet이 메모리에 로드될 때 init() 메서드가 호출 역할 : Servlet 객체를 초기화 service(reque.. 더보기

Dlink 취약점 공격 - Mirai 변종 악성코드로 IoT 기기를 대상으로 SOAP 프로토콜을 기반으로한 D-Link HNAP(홈 네트워크 관리 프로토콜) 의 취약점인 hxxp://purenetworks.com/HNAP1/을 사용해 인증을 우회하여 서비스 중지 또는 백도어 공격 시도 - D-Link 취약 제품군 : DAP-1522 revB, DAP-1650 revB, DIR-880L, DIR-865L, DIR-860L revA, DIR-860L revB, DIR-815 revB, DIR-300 revB, DIR-600 revB, DIR-645, TEW-751DR, TEW-733GR D-Link 라우터의 Home Network Automation Protocol (HNAP)이 스택 기반의 버퍼 오버플로우 취약점인 CVE-201.. 더보기

RDP 공격? RDP란? 마이크로소프트의 RDP(Remote Desktop Protocol)는 윈도우 시스템에 원격으로 연결하기 위해 사용된다. [Window]+[R] → mstsc RDP 공격? RDP 프로토콜은 사용이 쉽고 해킹된 시스템을 완전히 제어할 수 있기 때문에 RDP를 표적으로 삼는 것을 선호한다. 또한 공격자가 정당한 목적으로 사용되는 프로토콜을 통해 시스템에 액세스할 수 있기 때문에 방어자가 악의적인 활동을 탐지하기가 더 어렵다. 마이크로소프트의 RDP는 사용자가 윈도우로 구동하는 다른 컴퓨터에서 원격 윈도우 시스템에 연결하는 수단을 제공한다. 원격 디스플레이 및 입력 기능을 제공하기 때문에 실제로 장치 앞에 앉아 있는 것처럼 원격 윈도우 시스템에 액세스해 작업할 수 있다. 예를 들어, RDP를 사용해.. 더보기

이전 1 2 3 다음

티스토리툴바