워터링홀 공격 시나리오(cve-2016-0189)

 

워터링홀이란?

 : 사자가 물 웅덩이에서 먹이를 기다리는 것과 같이 공격 대상이 자주 방문하는 사이트를 해킹한 뒤 희생자가 접속하면  공격하는 기법이다.

 

워터링 홀 공격 요소

 - 웹에서 동작하는 다양한 엔진들의 취약점을 이용

XSS 취약점(게시판, 댓글 작성, 악성 페이지로 리다이렉트..)

인터넷 브라우저 취약점(스크립트 엔진의 취약점)

 

Server Side Template Injection(SSTI)

공격자가 서버 측의 기본 템플릿 구문을 이용하여 악성 페이로드를 삽입한 후 서버 측에 실행되면서 생기는 취약점

cve-2016-0189 : VBScript엔진이 소스코드를 처리하는 과정에 메모리를 손상시켜 임의의 코드를 실행시키는 취약점

미션소개

사용자 단말에서 악성행위가 발생한다는 보고를 받음

침해사고를 파악하고 정보보호제품을 활용하여 적절한 조치를 취하기

 

 

• C2 통신에 사용되고 있는 악성 프로세스 이름은?

[user]

cmd -> netstat 확인

외부로 통신 중인 것 확인

 

tasklist /FI *PID eq 포트번호 입력

Svchost.exe인 것 확인

 

• C2 통신 주인 악성코드를 찾아서 제거하기

작업관리자에서 svchost 위치 확인

숨김폴더 찾기로 삭제

기록에서 exploit.html 발견(wget~~명령어로 악성코드를 다운받음)

• 백업 파일을 이용하여 변조된 웹 서버를 복구

[웹서버]

cd /home/web/Flask/templates에서 index파일을 보면 변조된 웹을 확인

tar로 묶인 백업 파일을 풀기

• WAF를 활용하여 차단

[Adminconsole]

도메인별 정책 > default > 사용자 정의 탐지 > 룰 추가

SSTI 탐지 룰 패턴 입력[__class__.__mro__]

 

 

참고

https://scienceon.kisti.re.kr/srch/selectPORSrchTrend.do?cn=SCTM00116351

https://www.igloo.co.kr/security-information/%EC%9B%8C%ED%84%B0%EB%A7%81-%ED%99%80watering-hole-%EA%B3%B5%EA%B2%A9%EC%9D%98-%EC%9C%84%ED%97%98%EC%84%B1/

https://www.igloo.co.kr/security-information/%EC%8A%A4%ED%81%AC%EB%A6%BD%ED%8C%85-%EC%97%94%EC%A7%84-%EB%A9%94%EB%AA%A8%EB%A6%AC-%EC%86%90%EC%83%81-%EC%B7%A8%EC%95%BD%EC%A0%90cve-2016-0189-%EB%B6%84%EC%84%9D/