backdoor6 LD_PRELOAD 악용 기반 네트워크 장비 백도어 탐지 및 대응 방안 LD_PRELOAD를 악용하는 백도어는 네트워크 장비나 리눅스 기반 시스템에서 시스템 프로세스를 후킹해 공격자가 제어권을 장악할 수 있도록 설계된 악성코드 유형입니다. 해당 유형의 보안 위험 요소, 탐지 및 모니터링 방법, 그리고 대응 방안 예시를 통해 설명합니다.LD_PRELOAD를 이용한 백도어의 보안 위험 요소1. LD_PRELOAD 개념과 악용 방식LD_PRELOAD는 리눅스 환경에서 특정 공유 라이브러리를 로드할 수 있도록 허용하는 환경 변수입니다. 공격자는 이를 이용해 정상 프로세스(/bin/sshd 등)를 후킹하여 다음과 같은 작업을 수행할 수 있습니다:특정 네트워크 트래픽(ICMP)을 모니터링해 C2(명령 제어) 서버와 연결.SSH 연결을 후킹하여 악성 쉘이나 패킷 캡처를 수행.원격 SOC.. 2025. 1. 25. XZ Utils 잠재적인 SSH 백도어 악성코드 탐지 전략 및 활동 로그 Sandfly Security는 전통적인 파일 스캔 방식이 아닌, 고도화된 맬웨어의 전술, 기술, 절차(TTPs)에 초점을 맞춘 접근 방식을 통해 XZ SSH 백도어와 같은 위협을 탐지합니다. 이는 맬웨어가 사용하는 회피 기술을 무력화시키기 위해 설계된 전략입니다. Sandfly의 방식은 특정 맬웨어의 직접적인 식별이 아니라, 맬웨어가 시스템에 미치는 효과와 그로 인한 비정상적인 행동을 식별함으로써 작동합니다.백도어 탐지 방법프로세스 환경 분석: Sandfly는 SSH 데몬에서 직접 시작된 프로세스를 탐지하기 위한 서명을 개발했습니다. 이러한 프로세스는 SSH 데몬 자체에서 상속받은 특정 환경 변수를 가지고 있으며, 이는 일반적인 사용자 또는 시스템 프로세스에서 기대되지 않는 특성입니다. 예를 들어, S.. 2024. 5. 18. 최근 악성코드 유형, 트로이목마가 대세! 총 62종 악성코드 중 트로이목마가 50건(80%) 차지 [보안뉴스 김경애] 최근 수집된 악성코드 샘플의 분석 결과 총 62종의 악성코드 중 트로이목마 계열이 80% 이상을 차지하고 있는 것으로 나타났다. 이로 인해 최근 발생한 3.20 전산망 사이버테러와의 연관성도 주목되고 있다. 빛스캔은 지난 수요일 발생한 방송국 및 금융권 해킹 사고와 더불어 발생 가능한 추가적인 해킹사고의 발생 가능성을 줄이기 위해 국내외 보안 기업 및 유관기관에 3.11~3.17일 기간 동안 수집하여 보유하고 있던 악성코드 수 백 여종을 제공한 바 있다. 현재 빛스캔에서는 180여만 개의 웹 서비스에서의 악성코드 감염현황을 관찰하고 있으며, 웹 서비스를 통한 자동감염(Drive by Download)에 대해 악성링크와 악성코드를.. 2013. 3. 25. Analysis on mma.php Backdoor Shell All right guys, today let’s have a look on a very common backdoor shell today that allows an attacker to upload arbitrary files on the web server. The name of this shell is mma.php and is commonly named or uploaded in the websites I’ve been inspecting for possible backdoor uploads by using the power of Google dorks.My first encounter with this backdoor shell was like two years ago and I was stil.. 2012. 4. 2. POC of Vsftpd backdoor discovered vsftpd version of 2.3.4 downloadable source code was compromised and a backdoor added to the code. Evans, the author of vsftpd . This module exploits a malicious backdoor that was added to the VSFTPD download archive. This backdoor was present in the vsftpd-2.3.4.tar.gz archive sometime before July 3rd 2011. The bad tarball included a backdoor in the code which would respond to a user logging in.. 2011. 7. 6. 이전 1 2 다음 728x90
