반응형 security16 WMI 원격 실행 보안 WMI는 윈도우 관리에 편리한 프로토콜이지만 이를 이용한 해킹도 많이 일어나는 만큼 각별한 주의가 필요하다. 만약 WMI를 이용하지 않는다면 WMI의 원격 명령 실행을 할 수없도록 보안하는것이 좋다. 아래는 원격지에서 WMI를 통해 쉘코드로 명령프롬프트를 생성하여 명령을 실행하는 악성코드의 일부분이다. ”On Error Resume Next Set outstreem=Wscript.stdout If (LCase(Right(Wscript.fullname,11))=”Wscript.exe”) Then Wscript.Quit End If If Wscript.arguments.Count 2020. 12. 2. 침해 분석 - 가장 중요한 포인트 침해 분석을 진행할 때 가장 중요한 포인트는 무엇일까? 바로 해당 머신이 침해인가를 확인하는 것. 이를 위해 우리가 살펴봐야 하는 포인트는 3가지 이다.(침해 분석에 Hardware 도 포함 되어야 하지만 대부분 Hardware에 대한 침해은 어렵고, 많지 않기 때문에 여기에서는 예외한다.) 1. Malware Malware가 실행되었는지를 확인해야 한다. OS를 변경하거나 File을 생성혹 변경하고 네트워크 활동을 할 수 있다. 따라서 Malware를 확인 할 때, Malware는 Kernel 혹은 User 모드로 실행되어 Process 자체만으로 확인이 어려울 수 있고, Dropper 와 같이 변형이 일어날 수 있기 때문에 Process와 함께 File과 Network 활동을 같이 확인해야 한다. M.. 2020. 11. 19. Visual Studio - AddressSanitizer C++과 같이 메모리 포인터를 직접 관리해야하는 경우 메모리 스택을 오버플로우를 발생시켜 의도하지 않은 명령응 실행해 우리가 예제에서 많이본 메모장 계산기를 실행하여 보여주는 code Execution 공격이 가능하다. 네트워크 기능을 결합하몀 Remote code execution인데 이를 개발시점에 보완하는게 좋다. 최근 Visual studio에 메모리 주소와 관련된 취약점을 확인해주는 AddressSanitizer가 추가되었다. 아래와 깉은 보안 위협에 도움을 줄 스 있으므로 C++개발한다면 우선 고려해보는게 좋겠다. stack-use-after-scope stack-buffer-overflow stack-buffer-underflow heap-buffer-overflow (no underflow.. 2020. 11. 17. WebKnight - How to fix About Famous errors http://www.aqtronix.com/?PageID=99 Webknight Famous error 1 not allowed in URL 2013-07-08 ; 08:04:21 ; W3SVC2 ; OnPreprocHeaders ; ::1 ; ; xxxxx; GET ; /xxxxx/ ; BLOCKED: ‘/xxxxx/‘ not allowed in URL ; HTTP/1.1 ; Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0) ; http://localhost/ This error is related to Denied Url Sequences. Disable or modify Use Denied Url Sequences und.. 2020. 10. 29. 이전 1 2 3 다음 반응형
