태군 코드 : Security, travel & communication

악성매크로를 포함한 메일이 대량으로 유포되고 있어 주의가 필요할 것으로 보입니다. 발신자 : 다수의 발신자제목 : 인보이스첨부파일 : image001.jpg A255410.WIZ 발신자 : 다수의 발신자제목 : 인보이스첨부파일 : image001.jpg A330421.xls 메일을 보시면 이진테크라는 회사를 사칭해 대량으로 악성 메일이 유포되고 있습니다. 첨부파일에는 .xls, .WIZ 파일이 각각 포함되어 있습니다. wiz 파일을 이용한 공격은 워드 파일과 마찬가지로 매크로를 악용하는 공격 방식으로, .wiz 파일은 일반적으로 워드와 연결되어 있기 때문에 사용자가 더블 클릭을 할 경우 office의 '제한된 보기'를 통해 열리게 됩니다. 해당 첨부된 파일을 실행하면 [콘텐츠 사용] 버튼을 누르라는 내용..

최근 다양한 형태의 악성매크로 파일을 포함하여 악성메일이 유포되고 있어 주의가 필요할 것으로 보입니다. 발신자 : 다수의 발신자제목 : 송장_00190821 / 요청한 문서 / No subject (제목없음)첨부파일명 : 송장_00190821.doc / temp_[13자리 숫자]_[10자리숫자].xls / 2019-02-19_0841.zip 메일을 살펴보시면 시루정보의 정재민 차장을 사칭하는 명함이 포함되어 있고, 송장_00190821.doc 문서파일을 첨부하고 있습니다. 첨부파일을 실행 시키면 상단에 노란색 보안경고 창이 나타나며 [사용하기]를 누를경우 악성 매크로를 수행하게 이루어져 있습니다. 첨부파일의 속성을 보시면 실제 매크로가 포함되어 있는것을 알수 있으며, 최종 수정 일시는 19일 새벽에 추측..

공격자는 홈페이지를 탈취하여 웹페이지를 삽입하고, 자신이 업로드한 파일을 다운로드 받을수 있도록 설정을 해두었습니다. 발견된 사이트들의 특징을 보면 대부분 워드프레스를 사용하고 있는것으로 확인이 됩니다. 삽입된 웹페이지는 모두 비슷한 형태로 구성되어 있으며, 다운로드 링크 클릭시 악성코드 유포지로 설정된 URL로 접속하여 정상파일로 위장한 랜섬웨어를 다운로드 받도록 설정되어 있습니다. 웹페이지 내부에는 특정 스크립트를 삽입하여 한번 접속한 웹 페이지는 사용할 수 없도록 설정되어 있으며 재접속시 정상페이지가 나타나도록 설정이 되어 있습니다. 해당 페이지는 동일한 사이트를 다시 재접속한 화면 입니다. 페이지를 보시면 정상적인 페이지로 보이고 다운로드 링크는 사라진것을 확인할 수 있습니다. 현재 악성코드 유포..

유비쿼티 제품 DDoS 증폭 공격 악용 가능 취약점 주의 권고 □ 개요 o 유비쿼티 네트웍스(Ubiquiti Networks)社 제품에서 DDoS 증폭공격에 악용될 수 있는 취약점이 발견되어 제품 이용자들의 주의 당부 및 보안 설정 권고 □ 설명 o 유비쿼티 네트웍스社는 자사 제품 정보(제품명, 펌웨어 버전, IP주소, 맥주소 등)를 쉽게 확인하기 위한 서비스(UDP 포트번호 10001)에서 DDoS 증폭공격에 악용될 수 있는 취약점이 발견 □ 영향을 받는 제품 o 유비쿼티스 네트워크社 제품 □ 해결 방안 o 다음과 같이 제품에 접속하여 직접 설정을 변경 - ubnt@ubnt:~$ configure - ubnt@ubnt# set service ubnt-discover disable - ubnt@ubnt#..

최근 다양한 형태의 악성메일이 유포되고 있어 주의가 필요할 것으로 보입니다. 발신자 : helpdesk@incheonpolice.com 제목 : 온라인 명예훼손관련 출석통지서 첨부파일명 : image.png 출석통지서.rar 최근 발견된 출석통지서를 사칭한 메일을 보시면 위와 같이 경찰서를 사칭하고 있으며, 첨부파일은 rar 압축 형태로 이루어져 있습니다. 출석통지서.rar 압축 파일을 보시면 워드(doc) 문서로 위장하고 있지만, 실제 확장자는 실행파일(exe)인 것으로 확인이 됩니다. 해당파일은 현재 다수의 백신에서 탐지중이므로 백신을 항상 최신상태로 유지 하시어 2차 피해예방을 하시기 바랍니다. 현재도 악성메일은 다양한 형태로 유포 중이며 의심스러운 메일은 열람을 금지하시기를 추천 드립니다. htt..

최근 다양한 형태로 갠드크랩 랜섬웨어가 대량으로 유포되고 있어 주의가 필요할 것으로 보입니다. 발신자 : soar_17@naver.com 제목 : 열심히 하겠습니다 김송이에요.rar 첨부파일명 : 열심히 하겠습니다 김송이에요.rar 메일은 네이버 계정으로 보내졌으며, 첨부파일에는 확장자(.rar) 파일이 포함되어 있습니다. 첨부파일을 확인해 보면 워드문서를 가장한 실행파일이며, 파일 실행시 외부로부터 통신을 시도하여 통신 성공시 랜섬웨어에 감염이 되게 됩니다. 현재 해당파일은 다수의 백신에서 탐지중이며, 백신을 최신상태로 유지하시고 의심가는 파일은 실행시 주의가 필요할 것으로 보입니다. - 확인된 발송 이메일 주소kimsewoon@starhaksa.comyoonjiin@damoadesign.compark..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A1 - OS Command Injection OS 커맨드 인젝션은 취약한 변수로 시스템 명령어를 실행하여 서버 운영체제에 접근하는 공격 방식 입니다. OS Command Injection 실습페이지 화면 입니다. 화면을 보시면 [www.nsa.gov]에 대하여 DNS 주소를 출력하는 것을 알수있고, DNS를 조회하기 위하여 시스템 명령어인 nslookup 명령어를 사용합니다. 해당화면은 구글주소를 입력한 후 [Lookup] 버튼을 눌렀을때의 화면입니다. Low 단계에서는 아무런 검증을 거치지 않기 때문에 and,..

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. A1 - iFrame Injection iFrame은 HTML 문서 안에서 또 다른 HTML 문서를 출력하는 태그로 사용되며, 어느 위치든 상관없이 인젝션 공격을 할 수 있습니다. iFrame 인젝션은 독립적으로 만들 수 있어 HTML 인젝션 중에서도 공격에 자주 사용되며, 주로 악성 URL을 삽입한 후 사이즈를 0으로 설정하여 숨기는 방법을 사용합니다. iFrame Injection 실습페이지의 화면 입니다. 'iframei.php' 페이지를 보시면 GET 방식으로 데이터를 전송하기 때문에 URL에 변수를 노출합..

DHL 택배를 사칭한 악성메일이 유포되는 정황이 발견 되었습니다. 발신자 : admin@webdesigningcourse.in (변경가능) 제목 : DHL 배송 정확한 주소지 정보 및 도시 우편번호 친절하게 제출 (변경가능) 첨부파일명 : DHL_DOCUMENT_PDF.ace (변경가능) 메일 본문을 확인해보면 첨부파일을 실행시켜 정확한 배송 주소 정보를 기입하라는 내용으로 이루어져 있습니다. 압축파일 안에는 PDF.exe 실행 파일이 존재하고 있으며, 해당 파일 실행시 외부로부터 통신을 수행한후 악성파일을 받아와 수행하는 기능이 추가되어 있습니다. 최근 악성행위를 수행하는 메일이 지속적으로 유포되고 있어 주의가 필요할 것으로 보입니다.

최근 입사지원서를 사칭한 메일이 다시 유포되고 있는 정황이 포착 되었습니다. 발신자 : hotbara@naver.com (수시로 변경됨) 제목 : 이승렬_지원서 (수시로 변경됨) 첨부파일명 : 이승렬_지원서.alz (수시로 변경됨) 해당내용은 (2018.11.28) 올렸던 내용과 유사한 성향을 보이고 있습니다. http://securitycode.tistory.com/90?category=753570 메일본문을 확인해 보면 간단한 문구와 함께 지원서.alz 파일이 첨부되어 있는것을 확인할수 있습니다. 첨부파일 안에는 총 3개의 파일이 존재하고 있으며, jpeg 파일을 보시면 유난히 파일 크기가 큰것을 확인할수 있습니다. 지원서.doc.lnk 파일은 실행파일로 위장하고 있으며, 자세한 사항을 확인해 보면 ..