보안 동향 ㅣ 남아공, Adobe 적용된 자체 브라우저 공개
침해사고분석팀ㅣ2021.01.27
침해사고분석팀ㅣ2021.01.27
보안 동향 ㅣ 미공개 자료를 위해 보안 연구원들을 노리는 북한 해커들
침해사고분석팀ㅣ2021.01.27
침해사고분석팀ㅣ2021.01.27
침해사고분석팀ㅣ2021.01.26
취약점 정보Acunetix WVS 취약점 스캐너를 이용한 국내 서버 계정 탈취 발생 | ||||
작성일 | 2018-11-28 | 조회 | 1918 | |
---|---|---|---|---|
Translation into Japanese (日本語への翻訳) Translation into Chinese (翻译成中文)
목표는 명확하게 금전적 목표를 한 것으로 판단되며, 다수의 중국발 공격 IP가 발견되었습니다.
일반적으로 북한,중국 등의 해킹 그룹은 자체적으로 제작한 취약점 도구를 사용하거나, 공개된 PoC를 가공해 사용하는 반면, 해당 공격 그룹은 Acunetix WVS에서 제공하는 기능을 그대로 사용하고 있습니다.
이렇게 계정탈취에 성공한 서버는 정보 유출, 백도어 삽입 등에 이어, 공격자의 취약점 스캐너 봇으로 사용이 되어 지고 있습니다.
Acunetix WVS 취약점 스캐너를 이용한 취약점 공격 시나리오
Acunetix WVS 취약점 스캐너를 통해 아래 공격 시도
2. http://hit5LTorgN9hG.bxss.me/ hit5LTorgN9hG는 랜섬으로 생성 가능한 주소 "http://hit" + rndToken + '.bxss.me/'
[그림. 3] OpenID를 이용한 Acunetix WVS 취약점 스캐너 접속
4.사용자 서버는 XML 처리를 통해 http://bxss.me/redirToFile에 요청을 보낸다.
[그림. 4] Acunetix WVS 취약점 스캐너를 이용해 /etc/passwd 정보 탈취 시도
5.서버 정보 유출
[그림. 5] 계정을 탈취한 뒤 공격자가 대상 사이트 접속
위 공격 방식 이외에도 직접 etc/passwd 정보를 탈취하는 XML 취약점을 이용하거나, 온라인 스캐너를 이용한 취약점 공격을 시도합니다.
온라인 웹스캐너를 이용한 공격
[그림. 6] 온라인 웹스케너 UI
[그림. 8] XXE 취약점을 이용해 직접 file:///etc/passwd 정보 요청
► WINS Sniper 대응방안 [4589] Apache XXE SYSTEM File Method Information Disclosure
[4596] Apache XXE SYSTEM HTTP Method XSS [4597] Apache XXE SYSTEM HTTP Method XSS.A Sniper-UTM [805374738] Apache XXE SYSTEM File Method Information Disclosure
[805374745] Apache XXE SYSTEM HTTP Method XSS Sniper-APTX [3843] Apache XXE SYSTEM File Method Information Disclosure
[3850] Apache XXE SYSTEM HTTP Method XSS [3851] Apache XXE SYSTEM HTTP Method XSS.A
► IOC 공격자IP
► 참조 https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing |
||||
첨부파일 | 첨부파일이 없습니다. | |||
![]() ![]() ![]() |
||||
태그 | Acunetix WVS XXE |