SEO

이전 프로젝트에서 사용하였던 자료입니다. (개인공부용으로 TTPs를 재매핑하였으니, 이 점 참고하여 확인해주시기 바랍니다.) 3.20 사이버테러 사건 개요2013년 3월 20일 오후 2시 10분경부터 주요 방송사들의 컴퓨터가 작동이 중지되는 사건이 발생하였습니다. 사건이 발생하고 악성코드에 감염된 컴퓨터들은 사용자에게 재부팅을 요구하거나 강제로 재부팅을 한 이후에 동작을 중지했습니다. 이러한 동작의 원인은 MBR이 파괴된 것으로 드러났습니다. 비슷한 시간에 대한민국의 주요 언론사와 기업체의 전산망이 마비되고, 위와 같은 방식으로 감염되어 KBS, MBC, YTN 등의 방송국과 농협, 신한은행, 제주은행, 우리은행이 피해를 입었습니다. 실제로 이 사건으로 인해 인터넷 뱅킹 거래와 현금 자동입출금기 이용 등..

이전 프로젝트에서 사용하였던 자료입니다. (개인공부용으로 TTPs를 재매핑하였으니, 이 점 참고하여 확인해주시기 바랍니다.) 한수원 사이버테러 사건 시나리오  국내의 대표적인 악성코드 감염 사례로는 한수원 사건이 있습니다.위의 사진은 2014년 12월 9일에 발생하였던 한수원 사이버테러 사건은 공격 시나리오입니다.한수원 사이버테러 사건의 침투 과정은 다음과 같습니다.kimsuky로 추측되는 북한 해커 조직이 중국 선양 IP 대역을 사용합니다.범행에 사용된 중국 선양 IP 대역은 평소 북한 해킹 조직이 사용하는 kimsuky 계열 악성코드들의 IP 주소들과 12자리 숫자 중 9자리가 일치했습니다. (175.167..)중국 선양 IP 대역을 VPN 업체를 통하여 국내 IP 주소로 변환합니다.국내 VPN 업체..

제목 : 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러 기사 요약사고 배경처음 무브잇 침해 사건이 발생했을 때 마이크로소프트(Microsoft)의 보안 전문가들은 배후 세력을 레이스템피스트(Lace Tempest)라고 명명하며, “클롭 랜섬웨어 집단이 사용하는 협박용 웹사이트를 이용하는 그룹”이라고 설명했다 (2023.06.04)이틀 뒤인 6일에 클롭 랜섬웨어 공격자들이 직접 무브잇 제품을 사용하는 기업들에게 데이터를 대량으로 가져갔음을 알렸다. 클롭은 무브잇의 개발사인 Progress Software의 패치노트나 취약점 정보를 통해 SQL 주입 취약점이 있었는지를 확인한다. 만약 취약한 버전이 있었다면 취약한 버전과 패치가 적용된 버전을 비교하여 어떠한 변화가 있었는지 확인하고 공격한다...

Remcos 악성코드RAT 이란?RAT은 Remote Administration Tool의 약자(Remote Access Trojans의 약자라는 말도 있다. 의미가 비슷하다.)로 원격으로 기술 장치를 완전히 제어할 수 있는 소프트웨를 의미한다. RAT은 엑세스 권한이 있는 사람에게 파일에 엑세스하고, 카메라를 사용하고, 장치를 켜거나 끌수도 있는 기능을 제공한다. RAT은 합법적으로 사용할 수 있지만 일반적으로 악의적인 목적을 가지고 사용하는 해커들이 사용한다. 따라서 RAT은 사용자가 요청한 합법적인 프로그램(게임 등)으로 사용자 모르게 다운로드되는 경우가 많기 때문에 더욱 위험하다. RAT이 장치에 설치되면 정보를 훔치고, 키보드를 차단하고, 다른 멀웨어를 설치하고, 장치를 쓸모없게 만드는 등 다양..

제목 : 유명 손해보험사 위장 피싱 메일로 'Remcos' 악성코드 유포 기사 요약 실제 손해보험사를 위장하여 피싱 메일이 보내지고 있다. 이 피싱 메일에는 html 파일이 첨부되어 있으며, 실행할 경우 password 가 적힌 페이지와 함께 하나의 압축파일이 다운된다고 한다. 압축파일을 압축 해제할 경우 pdf 아이콘으로 위장한 실행파일(exe)을 확인할 수 있다. 이 악성 파일은 Remcos RAT 1.7 Pro버전으로, 보안 프로그램을 우회하기 위해 .NET를 이용했으며, 내부 악성코드 모듈 내에는 버전 정보가 하드코딩 되어 있다. 피싱 메일 예방하기 - 이메일 수신 시 발신자의 이메일 주소 확인 - 파일 실행 전 확장자를 확인하는 습관 기르기 의문점 및 조사해야 할 개념 - Remcos 악성코드 ..

S2W : Post Mortem of KlaySwap Incident through BGP HijackingBGP Hijacking을 공부하기 위한 기본 개념- AS(Autonomous System)란?동일한 라우팅 정책으로 하나의 관리자에 의하여 운영되는 네트워크이다. 즉, 한 회사나 단체에서 관리하는 라우터 집단. 인터넷의 확산으로 네트워크의 크기가 커지고 라우팅 정보가 방대해지자, 전체 네트워크를 하나의 라우팅 프로토콜로 관리하는 것이 불가능해짐 -> 네트워크의 관리범위를 계층적으로 체계화하고 단위 별로 라우팅 정보를 효율적으로 관리하기 위하여 나온 것이 AS -> 라우터는 인터넷에 있는 모든 네트워크의 도달가능정보를 가질 필요 없이 자신의 AS 내에 있는 라우터에 대한 도달가능정보를 가짐.- 라우..

제목 : 클레이스왑 해킹으로 드러난 BGP Hijacking 공격기법, 도대체 뭐길래? 기사 요약 사고 배경 2022년 2월 3일 11:31:41경 Klayswap UI를 통해 암호화폐가 공격자의 특정 지갑으로 전송되는 이상 트랜잭션이 실행됨. 카카오 SDK(Software Development Kit)라는 파일을 사용하는 서비스(카카오 QR 체크인, 카카오맵, 다음 등)에서 접속이 되지 않거나 지연되는 문제 발생. 사고 원인 외부 네트워크망 공격에 BGP Hijacking 기법이 활용됨. 공격자는 BGP Hijaking을 통해 네트워크 흐름을 조작함으로써 사용자가 악성 SDK 파일을 통해 악성코드를 다운받도록 구성. Klaywaps 사용자가 아닌 경우에도 접속 장애가 일어난 이유 : 접속 시 HTTP ..

Log4j 제로데이 RCE 취약점제로데이 취약점이란?시스템의 결함으로 오직 해커만 알고 있는 경우를 뜻함.  제로데이인 이유?취약점이 발견되었을 경우 해당 시스템 관리자는 이를 고칠 시간이 0-day 이기 때문.RCE란?Remote Code Execution의 약자로 원격 코드 실행을 뜻함.즉, RCE 취약점일 경우 해커가 해당 서버에서 자신의 의지대로 코드 실행이 가능함.Log4j 취약점의 발견알리바바 클라우드 보안팀에서 2021년 12월 9일에 취약점을 발견.하지만 이전부터 Log4j 취약점은 해킹에 사용되고 있었음. Log4j 관련 해킹 공격 사례"마이크로소프트 연구원에 따르면 중국, 이란, 북한 및 터키에 관련된 행위자들이 현재 해당 취약점을 남용하고 있어서 전 세계 기반 시설은 계속 공격을 받는..