Lhaaan

지금은 대학원에와서 공부를 하고 있지만, 관제업무를 했을 당시 실제로 log4j 취약점이 터져서 많이 당황했던 기억이 있다. 그때 로그 확인하고 SIEM에 룰 설정하고, 로그 분석을 통해서 공격이 먹힌 흔적이 있는지, IPS, WAF에 룰 설정 되어있는지 확인하고, 난리도 아니였다. 담당자 분들은 당황하신거 같고... 암튼 여러모로 경험이 되었던 기억이 있다. Log4Shell이란? 보통 로그를 기록한다는 말은 컴퓨터에서 일어나는 모든 이벤트들을 기록하는것을 의미한다. Log4j는 JAVA를 통해 로그를 남기는 프로그램을 의미하며 Apache에서 만든 오픈소스 라이브러리이다. 굉장히 많은 기업들이 사용하는 것으로 알 고 있으며, 매우 흔한 라이브러리이다. Log4Shell 취약점 이 취약점은 마인크래프트..

CHM(Compiled HTML Help)란? CHM 파일은 “Compiled HTML Help”의 약자로, Windows 운영 체제에서 사용되는 도움말 파일 형식 이 파일 형식은 HTML, CSS, Javascript 및 기타 웹 기술을 사용하여 텍스트, 이미지 및 링크 등을 통합하여 사용자에게 정보를 제공 주로 소프트웨어 응용 프로그램의 도움말 시스템에 사용되며, 사용자가 프로그램의 기능 및 사용법을 이해하는 데 도움을 줌 CHM 파일의 구조 CHM 파일은 하나의 압축된 아카이브 파일로 내부적으로는 여러 HTML 파일, 이미지, 스타일 시트 및 다른 웹 관련 자원들이 포함되어 있음 구글에 쳐보면 쉽게 다운로드 가능함Microsoft HTML Help Workshop과 같은 도구를 사용하여 CHM 파일..

오늘은 조금 생소한 HTA 파일에 대해 알아볼까 합니다. HTA 파일도 악성코드로서 자주 쓰이고 있는 추세이고, 알면 좋을것 같아 공유하기 위해 글을 써봅니다. HTA란? HTA (HTML Application)는 마이크로소프트가 개발한 웹 애플리케이션 프로그래밍 기술이며 HTA 확장자 파일은 Mshta.exe 윈도우 바이너리로 실행되며 HTML에 포함된 VBScript 및 JScript를 실행할 수 있기 때문에 MS로 서명된 유틸리티를 통해 임의 스크립트 코드 실행을 할 수 있어 공격하기엔 꽤나 편리한 수단이다. 실제로 hta 파일을 통한 공격이 많이 이루어지고 있는 추세이다. 악성코드로 활용 HTA의 경우 다양한 언어를 사용할 수 있고, 기존 웹 앱과는 다르게 로컬 파일 시스템이나 레지스트리에 직접 ..

악성코드로 사용되는 LNK 파일 LNK 파일 내부에 파워쉘 명령어를 주입해 악성행위를 수행하는 공격이 많이 급증하고 있다. 특히 폴더 설정에 확장자 보기를 해놓지 않으면 LNK 파일에 PDF 파일의 이미지를 입혀 실제 PDF 파일처럼 착각하게 만들 수 있어 사용자의 클릭을 유도하기 때문에 굉장히 위험하다. LNK 파일의 바로가기 대상에 파워쉘 명령어를 넣어 악성행위를 수행할 수 있으며, 공백을 길게 넣어 어떤 명령어가 있는지 안보이게끔 설정해서 공격을 수행하기도 한다. 백그라운드에서 추가적인 Shellcode를 내려받는 bat 파일을 생성 후 실행하기도 하며, 추가적인 악성 코드를 다운로드 받는 행위도 수행하는 것으로 확인된다. LNK 파일의 구조 LNK 파일 대상 여기서는 LNK 파일의 구조에 대해 깊..