Article
‘대한임상건강증진학회 코로나19 백신 알림’ 사칭한 北 연계 해킹 주의보 - 아이티데일리
[아이티데일리] 보안 전문 기업 이스트시큐리티(대표 정진일)는 대한임상건강증진학회의 코로나19 백신 알림으로 위장한 북한 연계 해킹 공격이 발견돼 각별한 주의가 요구된다고 1일 밝혔다.이
www.itdaily.kr
‘대한임상건강증진학회 코로나19 백신 알림’ 사칭한 北 연계 해킹 주의보
It Daily, 정종길, 2022.04.01 11:10
Resurch
▶️ 웹셸(Webshell)
- 웹 사이트를 통해 쉘을 여는 공격
- 악성프로그램(서버 사이드 스크립트로 제작ASP, PHP, JSP)을 웹 사이트에 업로드 하는 것이 시작
- 대부분 SQL Injection, 또는 upload file에 대한 관리 소흘로 인해 주로 발생
- 사이트 사용자들과 동일한 웹 서비스 포트(http, 80)으로 이루어지기 때문에 탐지가 어려워 문제 발생 전 인지하기 어려움
- WAF에 의해 해결되지만 최근 이의 os, system 명령어 필터링 기능을 피해가기 위해 다양한 변종 명령어를 사용하기도 함
- 예방법: 시큐어 코딩, 취약점 패치, 키워드/명령어 필터링, 업로드 파일의 확장자 및 실행권한 제어
RISS 통합검색 - 학위논문 상세보기
* 해당 논문은 PC에서 [무료]로 원문을 보실 수 있습니다. (가상화 기술을 통한) 변조된 Webshell 탐지를 위한 동적/행위 분석 개선 방안 = (Using Virtualization Technology) An improvement of Dynamic/Behavior analysis f
m.riss.kr
▶️ WAF(Web Application Firewall)
- 웹 애플리케이션 보안에 특화되어 개발된 솔루션
- SQL Injection, XSS 등과 같은 웹 공격을 탐지하고 차단
- 공격 대응 이외의 정보 유출 방지 솔루션, 부정 로그인 방지 솔루션, 웹사이트 변조 방지 솔루션 등으로 활용 가능
- 웹 및 애플리케이션 서버와 가까운 LAN(Local Area Network) 내에 설치
- 장점: 빠른 속도와 성능, 물리적으로 서버와 가까이 위치하여 데이터 패킷을 빠르게 추적하고 필터링 할 수 있음
- 소프트웨어형(VM 위에 설치) 클라우드형(SaaS 형태로 제공)
Summary
- 대한임상건강증진학회의 코로나19 백신 알림으로 위장한 북한 연계 해킹 공격 발견
- 이례적으로 피싱 서버에 실제 대한임상건강증진학회 사이트 그대로 사용
- 명령 제어 서버(C2) 서버에 존재하는 웹셸(Webshell) 유형과 계정 탈취 위장 수법 사용
- 악성 피싱 링크를 클릭하도록 유도하여 개인정보 유출
