목록Study/Vulnerability (CVE) (6)
촉촉한초코칩
인증서 검증 우회를 통한 Legacy Driver Exploitation 공격 사례
개요 보안 업체 CheckPoint-Research(CPR) : Legacy Driver Exploitation 기법을 사용하는 보안 위협 발표 Legacy Driver Exploitation : Gh0stRAT 악성코드를 통해 감염된 시스템을 원격으로 제어하고 추가적인 피해 발생 공격자유포 경로 : 피싱 사이트와 메시징 앱 사용DLL 사이드로딩 기법을 사용해 추가 페이로드 로드 변조된 TrueSight.sys 드라이버 사용하여 Microsoft 드라이버 차단 시스템 우회 정상적인 보안 프로세스인 AntiVirus, EDR (Endpoint Detection and Response) 시스템 강제 종료 참고 : https://research.checkpoint.com/2025/large-scale-expl..
MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd) 악성코드 ModiLoader(DBatLoader) 유포
ModiLoader (DBatLoader) 해당 악성코드는 ModiLoade (DBatLoader)라고 불리며, 발주서(PO)로 유포되고 있다. 과거와 다른 점은 *.cmd(배치 파일) 확장자를 사용하지만 실제로는 CAB 압축 헤더 포맷을 악용해 악성코드를 생성 후 실행하는 Loader형 악성코드라는 것이다. 바이너리 구조 : CAB 헤더 ('MSCF') + Command line + PE (exe)확장자 : *.cmd더보기CAB 압축 헤더 포맷 Windows 환경에서 파일이나 데이터의 압축과 배포를 위해 사용하는 포맷 압축된 내용물에 대한 목차와 같은 역할을 한다. (해외에서는 'Threat Actor Turns a CAB File Into the Loader to Deployt ModiLoader'라..
Notion 설치파일로 위장한 MSIX 악성코드 유포
개요 유포지는 실제 Notion 홈페이지와 유사하게 구현되어 있다. 다운로드 버튼을 클릭하면 “Notion-x86.msix” 이름의 파일이 다운로드된다. 해당 파일은 Windows app Installer이며 유효한 서명을 가지고 있다.더보기유효한 서명해당 프로그램이 신뢰할 수 있는 출처에서 작성되고 변조되지 않았음을 보장하기 위한 디지털 서명을 포함하고 있다는 뜻실행 후 설치를 누르면 Notion이 설치됨과 동시에 악성코드에 감염된다. 설치 설치 시 프로그램 경로에 StartingScriptWrapper.ps1, refresh.ps1 파일이 생성된다. StartingScriptWrapper.ps1 : 인자로 주어진 파워쉘 스크립트 파일을 실행하는 기능의 MS 서명을 가진 정상 파일 → 설치 과정에서..
LummaC2 악성코드 - 게임 플랫폼 'Steam' 악용
LummaC2정보탈취형 악성코드Seo-Poisoning 기법을 사용한 유포 사이트, Youtube, LinkeIn 등지에서 크랙, 키젠, 게임핵 등의 불법 프로그램으로 위장한 악성코드최근에는 Notion, Slack, Capcut 등의 홈페이지를 위장하여 검색엔진의 광고에 노출되는 방식으로 유포되었다. 더보기Seo-Poisoning 기법공격자가 악성 웹사이트나 악성 콘텐츠를 검색 엔진의 검색 결과 상위에 노출되도록 조작하는 기법 사용자가 악성 링크를 클릭하게 유도하고, 악성 소프트웨어를 다운로드하거나 피싱 사이트로 이동하게 될 수 있다. 크랙소프트웨어의 보안 시스템이나 라이선스 인증을 우회해 유료 프로그램을 불법으로 사용할 수 있게 만드는 도구, 코드 키젠정품 소프트웨어의 라이선스 키를 생성해주는 프..
[CVE-2023-46604] Apache ActiveMQ 취약점
Apache ActiveMQ의 취약점 CVE-2023-46604오픈소스 메시징 및 통합 패턴 서버인 Apache ActiveMQ 서버(클라이언트 간 메시지 송수신)의 원격 코드 실행 취약점 → 패치되지 않은 Apache ActiveMQ 서버가 외부에 노출될 경우, 공격자는 원격에서 악의적인 명령어를 실행하여 시스템을 장악할 수 있다. 취약점 공격classpath에 있는 클래스를 인스턴스화하도록 OpenWire 프로토콜에서 직렬화된 클래스 유형을 조작하는 방식(OpenWire 프로토콜에서 직렬화된 클래스 유형을 조작하여 클래스를 인스턴스화시킨다.)→ 공격자가 조작된 패킷을 전송할 경우 취약한 서버에서는 패킷에 포함된 URL을 참조하여 클래스 XML 설정 파일을 로드한다.더보기Q. 인스턴스화A. 클래스를 사..
Command Injection 취약점
Command Injection시스템 해킹 관점의 명령 주입 취약점;, &&, ||, 여러 명령어를 실행할 수 있다. 사용자의 입력을 필터링하지 않을 때, 사용자가 의도하는 명령을 추가적으로 삽입하여 호스트 운영 체제(OS)에서 임의의 명령을 실행할 수 있다. 시스템에서 사용자의 입력이 system() 함수의 인자로 사용되거나 웹에서는 사용자 제공 데이터(서버에 전달하는 양식, 쿠키, HTTP 헤더 등)가 시스템 쉘에 전달될 때 입력을 검사하지 않으면 문제가 된다. system() 함수 원형 : int system(const char* command) → 인자인 command를 시스템에 명령어로 바로 전달한다. command_injection.c 파일을 실행하면 첫 번째 인자값에 해당하는 cat 명령어로..