공부용

[Theori]CoSoSys Endpoint Protector에서 발견한 0-day 원격 코드 실행 취약점

APT* 모의침투 중, CoSoSys의 EPP 분석으로 4건의 RCE* 취약점 발견. 해당 취약점으로 EPP 서버와 클라이언트 장악으로 민감 정보 탈취 가능. CoSoSys EPP(Endpoint Protector): 조직에서 다루는 매체가 외부로 유출되는 것 방지 및 유출 경로 추적 위한 DLP* 솔루션의 일종.EPP 사용 시, 서버와 연결된 클라이언트 검열 가능. 정책 솔루션 관리자가 직접 생성해 클라이언트에 배포 가능. 관리자는 민갑 정보 중 어떤 자산의 이동을 추적할 건지 정의 가능. 발견한 취약점 CVE* 번호CVE-2024-36072(CVSSv4 10) : 서버 애플리케이션 로그 관련 구성 요소에 존재하는 원격 코드 실행 취약점CVE-2024-36073(CVSSv4 8.5) : 에이전트의 S..

1. 파일 유형 식별 .exe 확장자를 가짐 -> 윈도우 실행 파일로 추정. 보다 정확한 유형을 파악하기 위해 파일 시그니처를 확인했다. 파일의 첫 바이트가 헥사 문자 4D 5A라는 시그니처를 가지므로, 윈도우 실행 파일이 맞았다. 리눅스 시스템의 file 유틸리티를 이용해서도 파일을 식별해 봤다.PE32 executable : 32비트 윈도우 실행파일-> 악성코드 바이너리는 32비트 실행 파일이란 사실을 알 수 있다. ChatGPT 이용으로 얻은 추가 정보더보기GUI : 윈도우 GUI 프로그램.Net assembly : .NET으로 작성된 프로그램(.NET malware일 가능성 높음)Intel 80386 : 32비트 x86 아키텍처3 sections : 섹션 구조가 정상(보통 .text, .data..

이 글은 아래의 책을 읽고 공부 목적으로 작성됨.몬나파 K A, 「악성코드 분석 시작하기」 컴퓨터 기초 컴퓨터 : 정보를 처리하는 머신.컴퓨터의 모든 정보 : 비트로 표현.비트(bit) : 0 또는 1을 갖는 독립 단위. 비트로 숫자, 문자, 기타 정보를 나타낼 수 있음. 바이트(byte) : 8비트 묶음. 단일 바이트는 16진수 2개로 나타낸다. 니블(nibble) : 4비트 묶음. 16진수 1개로 나타낸다.워드(word) : 2바이트 묶음.더블워드(dword) : 4바이트 묶음..data쿼드 워드(qword) : 8바이트 묶음.바이트 순서의 의미는 사용 방법에 따라 다르다. 메인 메모리(RAM) : 컴퓨터에서 코드와 데이터를 저장.메인 메모리는 바이트의 배열이며, 각 바이트는 주소(address)라..

생성형 AI가 일상생활에 녹아듦. -> IT 환경의 변화 -> 보안 환경 변화. 국내 보안환경의 주안점기술 : AI보안, XDR정책 : Zero Trust, N2SF(국가 망 보안체계, National Network Security Framework)시장 : 보안업체간 협업 XDR(eXtended Detection and Response) : 확장 탐지 및 대응. 데이터를 자동으로 수집하고 상호 연결하는 통합 보안 사고 감지 및 대응 플랫폼. XDR 구성센서 레이어 : 다양한 정보를 수집할 수 있는 레이어정책과 데이터 레이어대시보드 레이어 : 이를 표출할 수 있는 레이어 XDR 초기, EDR이나 NDR처럼 직접 엔드포인트나 네트워크에 대한 탐지를 할 수 있는 시스템에서 시작. -> NDR 개념 확장. ..