멈출 수 없는 발전

브라우저 익스플로잇

브라우저 익스플로잇 : 웹 브라우저나 그 구성 요소(JavaScript 엔진 등)의 보안 취약점을 악용해 악성코드를 실행하거나 시스템을 장악하는 공격 기법 [CVE-2007-0038(애니메이션 커서 원격 코드 실행 취약점) 개념]HTML 페이지 혹은 웹 페이즈를 통해 로드되는 애니메이션 커서 파일(.ANI)을 USER32.DLL 라이브러리의 함수에서 처리하는 과정에서 버퍼 오버플로우가 발생하는 취약점브라우저에서 도메인 URI를 통해 서버의 JS, HTML, CSS 같은 내용 전달 받음서버에서 .ani 파일을 브라우저에 전달해 커서 변경 가능브라우저는 USER32.dll을 이용해 마우스 커서 효과 적용[.ANI 파일]웹 페이지에서 로드멀티미디어 파일 포멧인 RIFF(Resource Interchange F..

[시그마 룰] [HAYABUSA 툴 이용해 SYSMON 로그파일 조사](현재 디렉토리 위치)> (HAYABUSA 툴 경로) csv-timeline -r (룰 디렉토리 위치) -d (sysmon 로그 디렉토리 위치) -C -o (저장할 결과파일명)csv-timeline : CSV 형식의 시간순으로 정렬-C -o (저장할 결과파일명) : 이미 저장할 결과 파일 존재시 덮어쓰기[실행 결과]총 9,617개 이벤트 로그 중, 작성한 시그마룰 기준 총 35개의 이벤트 탐지DESKTOP-9SCSJHC, IEWIN7, DESKTOP-PIU87N6 단말 3대 확인[Timeline Explorer 툴로 결과 파일 확인] [분석결과]단말날짜시간이벤트 내용DESKTOP-9SCSJHC2021.11.08 ~ 2022.06.17다..

[비정상 서비스 호스트 프로셋세스 탐지 시그마 룰]process_create_svchostEventID : 1 - 프로세스 생성 이벤트Image : 해당 프로세스 실행svchost_with_no_commandline : 파라미터 없이 'svchost.exe'로 끝regular_parent_filter : 부모 프로세스가 '..\services.exe'조건 : process_create_svchost에 해당 프로세스가 생성되었고, 파라미터 없이 'svchost.exe'로 끝나거나 부모 프로세스가 '..\services.exe' 아닌 것[HAYABUSA 툴 이용해 SYSMON 로그파일 조사](현재 디렉토리 위치)> (HAYABUSA 툴 경로) csv-timeline -r (룰 디렉토리 위치) -d (sysm..

[시그마 룰 설명]title : 시그마룰 명EventID : 1 - 프로세스 생성hwp.exe 부모 프로세스포스트스크립트('gswin32c.exe', 'gswin32.exe', 'gswin64c.exe', 'gswin64.exe', 'gbb.exe') 자식 프로세스[HAYABUSA 툴 이용해 SYSMON 로그파일 조사](현재 디렉토리 위치)> (HAYABUSA 툴 경로) csv-timeline -r (룰 디렉토리 위치) -d (sysmon 로그 디렉토리 위치) -C -o (저장할 결과파일명)csv-timeline : CSV 형식의 시간순으로 정렬-C -o (저장할 결과파일명) : 이미 저장할 결과 파일 존재시 덮어쓰기[실행 결과]총 9,617개 이벤트 로그 중, 작성한 시그마룰 기준 2개의 이벤트 탐지D..

[개념]이미 시스템에 설치되어 있어 별도 수정하는 과정 없이 공격에 바로 사용 가능한 기능을 가진 정상적인 실행 파일해당 파일은 정상적이며 코드 서명이 되어 있는 신뢰할 수 있는 바이너리이다.Proxy/indirect execution, 파일 다운로드/업로드, UAC 우회등 악용 됨공격자는 탐지, 차단 메커니즘 우회하는데 유리함[bitsamin.exe]백그라운드에서 안정적으로 파일 전송하는 기능업데이트 및 시스템 내부 작업에서 사용 됨일반적으로 외부에서 악성코드가 내부로 다운로드시 보안 솔루션은 브라우저나 알려진 악성 다운로드 도구를 우선적으로 의심공격자는 백그라운드 전송 서비스 기능이 있는 해당 LOL 바이너리를 사용별도의 악성 다운로드 도구 나 웹 브라우저 사용 없이 정상 시스템 도구만으로 진행 됨..

[정의]YAML 문법을 이용하여 보안과 관련된 이벤트를 표현하기 위한 규칙의 집합다양한 형식을 가진 로그에 적용하여 보안 관련 이벤트 식별하는데 사용SIEM 벤더나 플랫폼마다 보안 이벤트 탐지에 사용되는 규칙 호환 함[시그마 룰 포멧] [룰 예시]실행된 프로세스 이미지 경로가 "\cmd.exe"로 끝나는 경우 탐지공격자가 경로 변경을 한 후 실행했어도 파일명 변경 안할 시 탐지 가능'Net.WebClient', 'DownloadFile', 'DownloadString', 'Invoke-WebRequest' : 해당 명령어들은 축약어가 사용 가능해 강력한 명령어들 이다.시스템 관리자 계정 사용한 내역은 제외 하므로서 오탐률을 줄인다.

[개념]윈도우 시스템 이벤트 모니터링 도구프로세스 생성, 네트워크 연결, 파일 생성/수정/접근, 레지스트리의 생성/수집/접근 등의 상세 정보를 윈도우 이벤트 로그 파일 형태로 기록하는 '이벤트 수집 에이전트'구분Event ID이벤트 명칭상세 내용프로세스 및 드라이버 (Process Lifecycle & Execution)ID 1프로세스 생성 (Process Create)전체 명령어 라인, 부모 프로세스(PPID), 해시 값 등을 기록ID 5프로세스 종료 (Process Terminated)프로세스가 종료될 때 생성, 공격 도구가 실행 후 흔적 지우기 위해 종료되는 시점 파악ID 6드라이버 로드 (Driver Loaded)서명 정보 및 해시 로깅ID 7이미지 로드 (Image Loaded)DLL 로드 시 ..

[원천적 대응]업로드 폴더를 웹 폴더가 아닌 다른 장소에 위치웹 폴더 내부 위치시 웹 사이트에서 직접적 호출 가능업로드 폴더 실행 권한 제거[완화적 대응]업로드 가능한 파일 확장자 제한필터링이 완벽하지 못하다면 우회 수단 존재 할 수 있음업로드 파일명을 랜덤한 값으로 임의로 변경하여 파일명 예측 못하도록 함업로드 디렉토리에 서버 스크립트 언어를 사용하지 못하도록 설정, 웹 쉘 업로드 되었더라도 실행 불가 함.[확장자 우회 대응 실습]Directory 지시자 : 지정한 디렉토리 내 모든 파일 서비스와 기능 허용 및 거부 설정하는 지시자'pip_admin_flag engine off' : PHP 모듈이 해당 디렉토리 내에서 실행하지 않도록 설정PHP 파일이 실행되지 않고 다운로드 하도록 변경 됨

[취약점 조건]서버에 파일 업로드 가능업로드 폴더 웹 디렉토리 내부에 존재폴더 실행권한 존재파일에 대한 필터링 존재 안함(확장자, 파일 내용, 파일 저장 경로, 파일 크기, 파일 이름 등)[웹 쉘(Web Shell)]웹 서버에 설치되어 원격으로 서버 제어 가능하게 하는 스크립트 파일주로 서버 언어 스크립트로 제작공격자가 서버 칩입 후 지속적으로 접근하거나 명령을 실행 목적한 줄 웹 쉘'eval()' 나 'exec()' 함수와 같은 명령어 실행하는 한 줄 코드 eval() 함수 : 문자열로 된 프로그래밍 코드(수식이나 명령어)를 인자로 받아 이를 실제 코드로 해석하고 실행 exec() 함수 : 현재 실행 중인 프로세스의 메모리 공간을 새로운 프로그램으로 덮어씌워 실행하는 시스템 호출파일 사이즈가 작아 탐지..

[Path Traversal]외부로부터 제공받은 입력을 검증하지 않고, 바로 경로로 사용시 발생하는 취약점웹 서버가 링크 호출을 통해 특정 파일을 받아오는 구조를 가질 때 '../' 같은 취약점 사용하여 웹 서버 내부 파일 호출웹 디렉토리 외부에 저장된 파일 및 디렉토리에 접근 목적으로 '../'을 반복 사용하여, 허용 범위를 넘어 민감한 서버 파일 시스템 접근 가능[LFI][개념]Locla File Include 약자로 파일 불러오기 기능을 이용하여 서버 내부의 파일에 엑세스하는 공격링크 호출을 통해 특정 파일을 받아오는 구조를 가질 시 '../ 와 같은 path traversal 취약점을 사용하여 웹 서버 내부 파일을 호출하는 취약점 [Peruggia case 실습]페이지에 따라 action 매개변..