메인 콘텐츠로 건너뛰기
블로그 안전 리노드 시큐리티 다이제스트 11월 28일 - 2021년 12월 5일

Linode Security Digest – 2021년 11월 28일~12월 5일

리노드 시큐리티 다이제스트

이번 주, 우리는 워드 프레스 플러그인의 취약점에 대해 이야기 합니다., 새로운 리눅스 악성 코드, 그리고 Osquery 라는 오픈 소스 도구. 바로 뛰어들자!

내 WP SQL 주입 취약점 숨기기(CVE-2021-36916)

플러그인의 웹 페이지에따르면, 내 WP 숨기기 공격자에서 귀하의 웹사이트를 숨기는 워드 프레스 플러그인, 스패머, 그리고 테마 탐지기. 이 글을 쓰는 시점에서 26,000명 이상의 활성 사용자가 있습니다. 패치 스택 보고서에따르면, 6.2.3 전에이 플러그인의 버전은 인증되지 않은 SQL 주입 공격에 취약하다. 패치 스택이 취약점을 완화하기 위해 버전 6.2.4에이 플러그인을 업데이트하는 것이 좋습니다.

크론랏 리눅스 악성 코드

Sansec에 의해 발견, CronRAT전자 상거래 서버를 대상으로 하는 리눅스 악성 코드. 많은 RAT(원격 액세스 트로이 목마)와 마찬가지로 C2(명령 및 제어) 서버를 사용하여 영향을 받는 시스템에 대한 공격자 원격 액세스를 제공하고 RAT 운영자가 모든 코드를 실행할 수 있습니다. 

기사에 따르면,그것의 주요 위업은 존재하지 않는 날에 리눅스의 달력 하위 시스템에 숨어있다 (또한 '크론'으로 알려진). 또한 사용자 지정 이진 프로토콜을 사용하여 작업자의 서버와 통신하여 방화벽 및 침입 감지 시스템과 같은 일반적인 탐지 메커니즘에 의해 탐지되지 않도록 합니다. Sansec이 작성한 문서를 확인하여 이 맬웨어에 대한 IoC에 대한 정보를 수집할 수 있습니다.

오쿼리 및 플리트DM

원래 페이스 북에 의해 개발 된 Osquery는 오픈 소스 프로젝트이며 운영 체제를 고성능 관계형 데이터베이스로 노출시합니다. 이를 통해 사용자는 SQLite 쿼리를 사용하여 설치된 장치에 대한 광범위한 정보를 쿼리할 수 있습니다. 이 정보는 프로세스를 실행, 로드 커널 모듈, 개방형 네트워크 연결, 브라우저 플러그인, 하드웨어 이벤트, 파일 해시 등을 실행할 수 있습니다. 다른 오픈 소스 도구와 함께 Osquery를 적극적으로 사용하여 인프라를 모니터링합니다. 

또 다른 무료 및 오픈 소스 도구인 FleetDM을사용하면 Osquery 에이전트를 여러 장치에 배포하고 쉽게 관리할 수 있습니다. FleetDM에서 제공하는 웹 인터페이스를 사용하여 쿼리를 예약하고 쿼리 팩을 작성하고 위협 사냥을 수행할 수 있습니다. 미리 작성된 쿼리 팩을 제공하는 이 리포지토리를 확인하여 자체 플릿을 배포하면 지면을 누를 수 있습니다.

작업 중 Osquery

Osquery의 유용성을 입증하기 위해 CronRAT의 IoC 중 하나를 살펴보겠습니다. 기사에 따르면,한 지표는이 RAT는 존재하지 않는 날에 cronjob로 자신을 숨깁니다, 즉 2 월 31 일. 다음 쿼리를 사용하여 이 특정 날짜에 실행되도록 작성된 cronjobs를 찾을 수 있습니다.

SELECT * FROM crontab WHERE month = 2 AND day_of_month = 31 ;

이 쿼리는 Osquery가 관리하는 crontab 테이블을 사용하여 대상 장치에서 정보를 수집합니다. 스키마를 확인하여 다른 운영 체제에서 쿼리할 수 있는 테이블의 자세한 보기를 확인할 수 있습니다.

커뮤니티의 지식을 공유하면서 오픈 소스 도구에 기여하면 우리 모두가 시스템을 보호하는 데 도움이 됩니다. 우리는 다가오는 보안 다이제스트에서 인프라를 확보하는 데 사용하는 도구에 대해 더 많이 공유 할 것입니다. 그 동안, 우리는 당신의 마음에 드는 오픈 소스 보안 도구에 대해 듣고 싶어요. 아래에서 의견을 제시하고 저희에게서 더 많은 업데이트를 계속 지켜봐 주시기 바랍니다.


코멘트

댓글 남기기

이메일 주소는 게시되지 않습니다.