Case 2: DBD

카테고리

침해사고 대응

상태

진행 중

게시일

2024/08/01

태그

DBD, Drive By Download

웹서버의 정보를 기록하세요. (예시. Apache2, IIS, Tomcat, 버전 등)

•

Apache2

Shell
복사

운영체제 버전을 입력하세요.

•

Ubuntu 16.04

cat /proc/version
Shell
복사

cat /etc/*release
Shell
복사

공격이 발생한 날짜를 입력하세요.

•

2019/07/18

cat /var/log/apache2/wordpress.local_access.log.1
Shell
복사

아파치 로그에서 해당 날짜에 sqlmap 키워드 확인

웹로그 위치를 입력하세요.

웹로그에서 정보수집(whatweb)을 실행한 IP를 입력하세요

•

192.168.50.46

웹로그에서 정보수집(whatweb)을 실행한 최초 시간을 입력하세요.

•

2019/07/18 14:14:39

웹로그에서 워드프레스 취약점 스캐너(wpscan)를 실행한 IP를 입력하세요.

•

192.168.50.46

웹로그에서 워드프레스 취약점 스캐너(wpscan)를 실행한 최초 시간을 입력하세요.

•

2019/07/18 14:15:27

cat wordpress.local_access.log.1 | grep wpscan
Shell
복사

웹로그에서 SQL Injection 공격 도구(sqlmap)로 공격했던 PHP 파일의 이름을 입력하세요.

•

/wp-content/plugins/like-dislike-counter-for-posts-pages-and-comments/ajax_counter.php

cat wordpress.local_access.log.1 | grep sqlmap
Shell
복사

웹로그에서 SQL Injection 공격 도구(sqlmap)를 실행한 IP 두 개를 입력하세요.

•

192.168.50.30

•

192.168.50.46

웹로그에서 SQL Injection 공격 도구(sqlmap)를 실행한 최초 시간을 입력하세요.

•

2019/07/18 14:24:00

웹로그에서 웹 디렉터리/파일 스캔 도구(dirbuster)를 실행한 IP를 입력하세요.

•

192.168.50.46

웹로그에서 SQL Injection 공격하였던 IP 중 최초로 로그인 했던 IP를 입력하세요.

•

192.168.50.30

•

192.168.50.30 → 2019/07/18 14:43:54

•

192.168.50.46 → 2019/07/18 14:47:08

10.

웹로그에서 SQL Injection 공격하였던 IP 중 최초로 로그인 했던 시간을 입력하세요.

•

14:43:54

11.

웹로그에서 공격자가 웹쉘 파일을 최초 업로드 한 시간을 입력하세요.

•

2019/07/18 14:27:22

12.

웹로그에서 업로드 한 웹쉘 파일 이름을 입력하세요.

•

xp_cmdshell

7310 AND 1=1 UNION ALL SELECT 1,NULL,'<script>alert("XSS")</script>',table_name FROM information_schema.tables WHERE 2>1--/**/; EXEC xp_cmdshell('cat ../../../etc/passwd')#
Shell
복사

웹 로그에서 웹 쉘 파일에 최초로 접근한 시간을 입력하세요.

웹 로그에서 웹 쉘 파일에 최초로 접근한 IP를 입력하세요.

악성 스크립트가 삽입된 자바스크립트 파일 이름을 입력하세요.

웹 로그에서 악성 스크립트가 삽입되어 파일이 변경된 시간을 입력하세요.

find . -newermt "2019-07-18" -type f
Shell
복사

웹 쉘에 접근한 IP 검색

grep "gallery/3.php" wordpress.local_access.log.1 | awk'{ print $1 }' | sort | uniq
Shell
복사

공격자의 행동 따로 저장

grep "192.168.50.30" wordpress.local_access.log.1 > 30.log
Shell
복사

JS 파일 뭐가 바꼈는지 확인

stat ./wp-includes/js/jquery/
Shell
복사

첫번째 줄

grep -i "sqlmap" wordpress.local_access.log.1 | head 1
grep -i "dirbuster" wordpress.local_access.log.1 | head 1
Shell
복사

명령어 정리 필요함 (로그인 성공 시간)

cat /var/log/apache2/wordpress.local_access.log.1 | grep POST | grep 192.168.50.30 | grep login
Shell
복사

14:45:10 - 웹 쉘 생성 (3.php)

14:45:11 - 웹 쉘 접근

[사고 경위]

공격자는 피해 서버를 대상으로 정보수집을 수행했고, SQL Injection 공격에 성공했음

그 후 Dir Buster를 이용해 디렉터리 구조를 스캔한 경황을 포착함

실제로 그 후에 관리자 페이지에 접근하여 웹 쉘을 업로드하고 원격 명령을 통해 jquery 중 주요 js 파일을 수정 (악성 페이지 리다이렉션) 한 것으로 추정