[Malware analysis] 첨부파일 열람 유도한 AGENTTESLA 악성코드
[Malware analysis] 첨부파일 열람 유도한 AGENTTESLA 악성코드 에이전트 테슬라 악성코드는 메일의 첨부파일을 통해 유포된다. 해당 파일을 열었을 경우 아래와 같은 주소에서 파일을 다운로드 받는 것을 확인할 수 있다. 또한, 아래와 같은 메일 내용을 가지고 첨부 파일에는 악성파일과 정상 파일을 함께 첨부하여 유포되고 있다.(공급 업체_재료.pdf)에이전트 테슬라는 합법적으로 판매되는 프로그램이지만, 공격자에 의해 악용으로 유포되고 있으며 인포스틸러인 악성코드 이다. 위와 같이 .doc 파일와 같은 방식으로 유포도 되지만, ,.cab 확장자를 통하여 첨부파일에 첨부되어 유포되기도 한다.해당 파일 압축 해제 시 아래와 같이 .exe 파일을 확인할 수 있다. 살펴보면 닷넷으로 만들어졌으며, ..
[CVE 취약점] vBulletin 원격 코드 실행 취약점 우회 취약점(CVE-2020-17496)
[CVE 취약점] vBulletin 원격 코드 실행 취약점 우회 취약점(CVE-2020-17496) 참조> https://www.tenable.com/blog/zero-day-remote-code-execution-vulnerability-in-vbulletin-disclosed> https://blog.exploitee.rs/2020/exploiting-vbulletin-a-tale-of-patch-fail/> https://blog.alyac.co.kr/3180?category=750247> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17496> https://www.exploit-db.com/exploits/48743 Poc curl -s h..
[CVE 취약점] F5사 BIG-IP 제품군의 원격코드실행 취약점(CVE-2020-5902)
[CVE 취약점] F5사 BIG-IP 제품군의 원격코드실행 취약점(CVE-2020-5902) 참조> https://github.com/yassineaboukir/CVE-2020-5902> https://www.youtube.com/watch?v=z8zyrVlKK-Q> https://support.f5.com/csp/article/K52145254> https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35498 Poc Proof of concepthttps:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd https:///tmui/login...
[CVE 취약점] Apache Tomcat AJP 원격코드 실행 취약점(CVE-2020-1938)
[CVE 취약점] Apache Tomcat AJP 원격코드 실행 취약점(CVE-2020-1938) 참조> https://github.com/Kit4y/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner/blob/master/CNVD-2020-10487-Tomcat-Ajp-lfi.py> https://github.com/nibiwodong/CNVD-2020-10487-Tomcat-ajp-POC/blob/master/poc.py> https://github.com/xindongzhuaizhuai/CVE-2020-1938/blob/master/CVE-2020-1938.py Poc 패킷 생성{'name': 'req_attribute', 'value': ['javax.servlet.include..
[CVE 취약점] Apache Tomcat 서비스 거부 취약점(CVE-2020-11996)
[CVE 취약점] Apache Tomcat 서비스 거부 취약점(CVE-2020-11996) 참조> http://mail-archives.us.apache.org/mod_mbox/www-announce/202006.mbox/%3Cfd56bc1d-1219-605b-99c7-946bf7bd8ad4%40apache.org%3E> http://tomcat.apache.org/security-8.html> http://tomcat.apache.org/security-9.html> http://tomcat.apache.org/security-10.html> https://sarc.io/index.php/tomcat/2051-tomcat-apache-tomcat-http-2-cve-2020-11996 개요Apache ..
[CVE 취약점] Apache Tomecat RCE 취약점(CVE-2020-9484) 참조> https://github.com/frohoff/ysoserial> https://mp.weixin.qq.com/s/OGdHSwqydiDqe-BUkheTGg> https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35435> https://github.com/IdealDreamLast/CVE-2020-9484/ 개요Apache Tomcat에서 신규 취약점을 해결한 보안 업데이트 발표취약한 버전을 사용 중인 서버의 담당자는 제조사의 홈페이지를 참고하여 최신 버전으로 업데이트 권고 ※ Apache Tomcat : 오픈소스 기반 웹 어플리케이션 ..
[CVE 취약점] Django 제품 SQL Injection 취약점(CVE-2020-9402) 참조> https://xz.aliyun.com/t/7403> https://christa.top/details/53/> https://twitter.com/chybeta/status/1241907287217729538> https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35301 Poc http://localhost:8000/test/?q=20) = 1 OR (select utl_inaddr.get_host_name((SELECT version FROM v%24instance)) from dual) is null%20 OR (1%2..
[CVE 취약점] MS SMBv3 프로토콜 취약점(CVE-2020-0796) 참조> https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35295> https://blog.alyac.co.kr/2818 개요MS는 SMBv3(Service Message Block) 프로토콜에서 발생하는 취약점 주의 발표공격자는 해당 취약점을 악용하여 원격코드 실행 등의 피해를 발생시킬 수 있으므로, 임시 해결방안에 따라 조치 권고 ※ MS는 해당 취약점이 해결된 패치 파일 공개 SMBv3 프로토콜이 조작된 패킷을 처리할 때 버퍼오버플로우로 인해 발생하는 원격코드실행 취약점(CVE-2020-0796) 영향 받는 제품 버전Windows 10- 1903..