starting point

정의Fortigate 제품에 SSH키 값을 변경하여 SSH키값을 통해 CLI 접근을 허용하는 취약점 SSH 키SSH 키를 생성하면 퍼블릭 키와 프라이빗 키가 생성된다. 퍼블릭 키를 원격 서버에 전달해두고 SSH 접근을 시도하면 따로 패스워드를 입력하지 않고 퍼블릭 키와 프라이빗 키를 매칭하여 SSH 접근이 가능하다 패킷 예시PUT /api/v2/cmdb/system/admin/(Username) HTTP/1.1 Host:IP User-Agent: Report Runner content-Length: 31 Content-Type: application/json Forwarded: for=[127.0.0.1]:8000;by=[127.0.0.1]:9000; Accept-Encoding: gzip Connect..

정의 웹쉘 취약점으로 웹(tcp/80, tcp/443)을 통해 웹서버의 쉘에 접근할 수 있는 취약점 웹쉘 쉘(Shell)이란 운영체제의 커널과 사용자 사이의 인터페이스로 서버에 설정을 변경할 때 사용됨. 웹쉘이란 일반적인 웹을 통해 쉘에 접근하는 공격 웹을 통해 접근하므로 통신 포트는 tcp/80, tcp/443인 것이 일반적이다 웹 통신 포트를 이용한다는 점으로 인해 정상 트래픽과 구분하기 어렵다는 특징이 있다.(스텔스) 패킷 예시 GET /phppath/php.cgi HTTP/1.1 Accept: */* Accept-Language: en-us Accept-Encoding: gzip, deflate User-Agent: () { :;};/user/bin/perl -e 'print "Content-ty..

동기 금전. 금융범죄 타겟 국가 브라질, 캐나다, 독일, 이탈리아, 일본, 네덜란드, 폴란드, 스페인, 영국, 미국 사용도구 Chthonic, Gozi ISFB, GozNym, Nymaim, Zeus OpenSSL, Zeus Panda, Smoke Loader, URLZone, ZLoader, Ursnif 주요 사용 공격 뱅킹 트로이목마(Ursnif) - Gozi, Dreambot, ISFB와 동일한 악성코드 Ursnif 1000 일본의 IT, 기술, 마케팅 산업 대상으로 배포. MS Excel 문서를 통해 페이로드 드롭. URLZone이라는 트로이목마를 다운로드하고 Ursnif 1000을 다시 다운로드 하는 방식 Ursnif 4779 이탈리아의 기술, 제조 및 IT 업종 대상으로 배포 매크로가 포함된 ..

정의 피해 서버의 포트포워딩 설정을 통해 공격자가 차단된 RDP 포트를 우회하여 원격접속하는 공격 포트 포워딩 특정 로컬 포트로 들어오는 트래픽을 원격 포트로 전달(서버에 80으로 들어오면 다른 서버의 443으로 전달) 리버스 포트 포워딩 특정 원격 포트로 들어오는 트래픽을 로컬 포트로 전달 RDP(Remote Desktop Protocol) 원격 시스템과 클라이언트 간의 원격 제어 및 화면 공유를 위한 프로토콜 패킷 예시 Cookie: mstshash=Domain 공격 목적 초기 타겟 시스템에 접속 성공 후 백도어 생성. 수평 이동(타깃 시스템에 연결된 다른 시스템으로 연결) RDP 터널링을 수행하기 위해서는 초기 침투가 성공한 상태여야 한다. 통신 방식 공격자 PC -> 공격자의 SSH 서버 -> 피..