수상한 .war 파일 발견! 침해사고대응 LetsDefend.io #1
SOC 주니어 분석가가 수상한 .war 파일이 발견됐다고 티켓을 올렸습니다. 분석에 넘어가기 전에 위에 있는 사진을 보고 분석에 도움이 될만한 정보가 있는지 봅시다. 1) 공격당한 서버는 tomcat이다. tomcat에 로그인하여 악성 war 파일을 올릴 수 있다. 파일로 원격 코드 실행 가능하다. 2) tomcat 유저 비밀번호 약해서 로그인이 가능했나 보다. 3) tomcat 로그파일부터 분석하자. 공격자가 다양한 명령어를 실행시켰던 것을 확인할 수 있습니다. 아울러 지속성을 확보하기 위해 새로운 유저를 (attacker) Remote Desktop User에 추가했습니다. process들을 보니 mimikatz가 보입니다. 공격자는 다른 유저들의 hash들을 탈취하고자 했을 것입니다. 먼저 tomc..
Blue Team
2022. 7. 23. 20:30
