[Malware analysis] 엑셀 4.0 (XLM) 매크로를 이용한 악성코드
[Malware analysis] 엑셀 4.0 (XLM) 매크로를 이용한 악성코드 참조> https://www.virustotal.com/gui/file/ee0400adcec67d05e4b6825df53ff7e5fb5d86680a65264976940239c322d9fb/detection 자주 보았던 VBA 매크로 방식이 아닌 다른 방식으로 악성 파일을 다운로드 받는 악성코드를 확인할 수 있다.아래와 같은 메일 내용과 함께 파일을 첨부하는 방식으로 유포되고 있다. 악성 엑셀 파일을 실행하면 내용을 보기 위해 상단의 노란색 바 콘텐츠 사용을 클릭하라는 것을 확인할 수 있다.이전 작성한 여러 게시글에서 말하였듯이 콘텐츠 사용을 허용하게 되면 매크로 코드 동작에 대한 허용을 의미한다. 기존의 VBA 매크로와 다..
[Malware analysis] CVE-2017-0199, 원격서버를 통한 악성파일 다운로드
[Malware analysis] CVE-2017-0199, 원격서버를 통한 악성파일 다운로드 참조> https://www.virustotal.com/gui/file/a7e8c4d24e013f48bed29fb9a5f0d80c60be249862213e142c7feb47f07ac39e/detection 메일에 포함된 문서를 열면, 숨겨진 exploit 코드가 악성파일 다운로드가 가능한 원격서버에 연결되는 것을 확인할 수 있다.아래 그림와 같이 접속을 시도하는 것을 확인할 수 있으며, 팝업창은 보면 사용자 본인의 계정을 기입하도록 유도하는 것을 확인할 수 있다.하지만 자세히 보면 해당 원격서버로 접속을 하는 것을 확인할 수 있다. 아래 그림와 같이 get 메소드를 이용해 다운로드하는 것을 확인할 수 있다. 해..
[ETC] 티스토리 광고 연동 완료
[ETC] 티스토리 광고 연동 완료 기존 구글 에드센스만 광고를 추가하였는데, 최근 티스토리 업데이트를 통하여 티스토리 내 몇가지 광고 플랫폼이 추가된 것을 확인할 수 있다.아래 그림을 살펴보면 관리 메뉴에 수익이라는 탭이 생긴 것을 확인할 수 있다. 해당 수익 탭을 살펴보면 아래 그림와 같이 확인할 수 있다.상세 보기를 할 경우 수익, 그래프 제공, 광고 설정들을 할 수 있다는 정도만 알면 될 것 같다. 먼저 기존 구글 애드센스는 추가 후 광고 설정을 진행하니 기존과 조금?은 다르게 광고가 올라가는 것을 확인 할 수 있다. 다음으로는 카카오AdFit 광고인데..매일 매일은 올리지 않고 틈틈히 올렸는데 심사를 하니 보류가 되었다.사유는 콘텐츠 부족으로 인해 보류가 되었다고 확인할 수 있었다. 보류 된 이..
[Malware analysis] 첨부파일 열람 유도한 AGENTTESLA 악성코드
[Malware analysis] 첨부파일 열람 유도한 AGENTTESLA 악성코드 에이전트 테슬라 악성코드는 메일의 첨부파일을 통해 유포된다. 해당 파일을 열었을 경우 아래와 같은 주소에서 파일을 다운로드 받는 것을 확인할 수 있다. 또한, 아래와 같은 메일 내용을 가지고 첨부 파일에는 악성파일과 정상 파일을 함께 첨부하여 유포되고 있다.(공급 업체_재료.pdf)에이전트 테슬라는 합법적으로 판매되는 프로그램이지만, 공격자에 의해 악용으로 유포되고 있으며 인포스틸러인 악성코드 이다. 위와 같이 .doc 파일와 같은 방식으로 유포도 되지만, ,.cab 확장자를 통하여 첨부파일에 첨부되어 유포되기도 한다.해당 파일 압축 해제 시 아래와 같이 .exe 파일을 확인할 수 있다. 살펴보면 닷넷으로 만들어졌으며, ..
[CVE 취약점] vBulletin 원격 코드 실행 취약점 우회 취약점(CVE-2020-17496)
[CVE 취약점] vBulletin 원격 코드 실행 취약점 우회 취약점(CVE-2020-17496) 참조> https://www.tenable.com/blog/zero-day-remote-code-execution-vulnerability-in-vbulletin-disclosed> https://blog.exploitee.rs/2020/exploiting-vbulletin-a-tale-of-patch-fail/> https://blog.alyac.co.kr/3180?category=750247> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17496> https://www.exploit-db.com/exploits/48743 Poc curl -s h..
[CVE 취약점] F5사 BIG-IP 제품군의 원격코드실행 취약점(CVE-2020-5902)
[CVE 취약점] F5사 BIG-IP 제품군의 원격코드실행 취약점(CVE-2020-5902) 참조> https://github.com/yassineaboukir/CVE-2020-5902> https://www.youtube.com/watch?v=z8zyrVlKK-Q> https://support.f5.com/csp/article/K52145254> https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35498 Poc Proof of concepthttps:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd https:///tmui/login...
[CVE 취약점] Apache Tomcat AJP 원격코드 실행 취약점(CVE-2020-1938)
[CVE 취약점] Apache Tomcat AJP 원격코드 실행 취약점(CVE-2020-1938) 참조> https://github.com/Kit4y/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner/blob/master/CNVD-2020-10487-Tomcat-Ajp-lfi.py> https://github.com/nibiwodong/CNVD-2020-10487-Tomcat-ajp-POC/blob/master/poc.py> https://github.com/xindongzhuaizhuai/CVE-2020-1938/blob/master/CVE-2020-1938.py Poc 패킷 생성{'name': 'req_attribute', 'value': ['javax.servlet.include..
[CVE 취약점] Apache Tomcat 서비스 거부 취약점(CVE-2020-11996)
[CVE 취약점] Apache Tomcat 서비스 거부 취약점(CVE-2020-11996) 참조> http://mail-archives.us.apache.org/mod_mbox/www-announce/202006.mbox/%3Cfd56bc1d-1219-605b-99c7-946bf7bd8ad4%40apache.org%3E> http://tomcat.apache.org/security-8.html> http://tomcat.apache.org/security-9.html> http://tomcat.apache.org/security-10.html> https://sarc.io/index.php/tomcat/2051-tomcat-apache-tomcat-http-2-cve-2020-11996 개요Apache ..