0xMH

L1 분석가의 말에 따르면 "LD-Web" 서버에 수상한 코드 실행이 발견됐답니다. 로그인을 brute force 시도를 하다가 공격자가 성공적으로 로그인했나 봅니다. 공격자는 성공적으로 로그인한 다음에 시스템에 대한 정보를 얻고, 유저에게 어떤 권한이 있는지 어떤 윈도 그룹의 멤버인지를 확인했던 것 같습니다. 지속성을 확보하기 위하여 reverse_shell.exe라는 파일을 scheduled tasks에 추가했고 그 task는 매일 11시에 실행되는 것을 확인할 수 있습니다. 악성파일은 bitsadmin이라는 명령어로 다운로드됐습니다. 실행 중인 프로세스를 보니 위의 사실을 확인할 수 있습니다. 아울러 공격자가 통제하는 서버에서 reverse_shell.exe가 다운로드된 것도 확인할 수 있습니다. ..

Blue Team 2022. 7. 29. 19:32

SOC 주니어 분석가가 수상한 .war 파일이 발견됐다고 티켓을 올렸습니다. 분석에 넘어가기 전에 위에 있는 사진을 보고 분석에 도움이 될만한 정보가 있는지 봅시다. 1) 공격당한 서버는 tomcat이다. tomcat에 로그인하여 악성 war 파일을 올릴 수 있다. 파일로 원격 코드 실행 가능하다. 2) tomcat 유저 비밀번호 약해서 로그인이 가능했나 보다. 3) tomcat 로그파일부터 분석하자. 공격자가 다양한 명령어를 실행시켰던 것을 확인할 수 있습니다. 아울러 지속성을 확보하기 위해 새로운 유저를 (attacker) Remote Desktop User에 추가했습니다. process들을 보니 mimikatz가 보입니다. 공격자는 다른 유저들의 hash들을 탈취하고자 했을 것입니다. 먼저 tomc..

Blue Team 2022. 7. 23. 20:30