주 단위 웹 공격 추이
주 단위 웹 공격 추이를 통해 웹 공격이 어느 시기에 많이 발생했는지 확인할 수 있습니다. 이를 바탕으로 공격이 많은 시기에 미리 웹 공격으로부터 예방 및 대응책을 마련할 수 있습니다.
아래 그래프는 2024년 8월을 기준으로 AIWAF에서 탐지된 웹 공격들을 보여주고 있습니다.
2024년 8월에는 일 평균 약 24만 건 이상의 공격이 탐지되었으며, 특히 24일에 가장 많은 공격이 발생한 것을 확인 할 수 있습니다.
24일에 발생한 취약점중 가장 많은 공격 시도된 SQL Injection의 경우 저희 AIWAF내 가장 많은 탐지 조건을 가지고 있습니다. 하지만 SQL Injection 공격의 경우 새로운 공격 유형 및 우회 방법이 많기 때문에 항시 모니터링을 진행 하고 있습니다.
공격 유형별 웹 공격 동향
탐지 로그 기반으로 공격 유형별 웹 공격 동향을 통해 한 달 동안 어떤 공격이 많았는지 확인할 수 있습니다. 이를 바탕으로 기본적인 웹 공격 대응 가이드라인을 수립함으로써 해당 공격 유형에 대한 예방 및 대응책을 마련 할 수 있습니다.
아래 그래프는 2024년 8월을 기준으로 AIWAF에서 탐지된 웹 공격들을 보여주고 있습니다.
Web Attack Trends by Rule
SQL Injection(48.7%) 공격 유형이 가장 많았으며, Default Page(18.49%), Application Weakness(14.45%), Directory Traversal(8.22%) 순으로 탐지 되었습니다.
SQL Injection은 OWASP 에서 1위에 랭크되어 있는 만큼 가장 다양하며 위험한 공격입니다. 사용자 요청에 따라 동적으로 데이터를 생성하는 SQL 구문에 악의적인 SQL 문을 강제로 삽입하는 공격으로 취약한 어플리케이션의 경우 비정상으로 인증을 받거나 SQL 결과값을 리턴받을 수 있습니다. 다음과 같은 구문이 쿼리값에서 발생하였다면 공격을 의심해보시기 바랍니다.
Default Page는 정상적이지 않은 경로로 파일접근을 시도하거나 인가된 파일을 우회해서 해당 파일에 직접적으로 접근하는 경우가 이에 해당합니다. 일반적으로 웹서비스에서 사용되는 파일들이 아니기 때문에 부정한 의도로 인한 접근시도를 의심해보시기 바랍니다.
최근 3개월 웹 공격 추이 그래프 요약
5월
6월
7월
공격자 IP Top 30
취약점 분석 보고서
[MS Office zero-day vulnerability Follina]
1. 개요
해당 취약점은 Microsoft Windows에서 MS Office 문서 처리 기능과 관련된 보안 결함입니다. 이 취약점은 특히 Word 문서를 통해 악성 코드를 실행할 수 있게 하며, 공격자는 피해자의 개입 없이 원격 코드를 실행할 수 있습니다. CVE-2022-30190는 Windows의 Microsoft Support Diagnostic Tool(MSDT)에서 발생하며, 이 취약점을 악용해 공격자는 원격 코드 실행(RCE)을 할 수 있습니다.
2. 공격 유형
해당 취약점이 확인된 Word문서에서는 기존에 알려진 방식인 External 태그에 작성된 URL 연결을 통해 취약점을 발생시키는 HTML파일이 다운로드 및 실행되면서 발생하였습니다.
위의 코드가 작성된 word 문서를 공격 대상에게 메일 및 추가 동작으로 전달한 후 해당 문서를 열거나 미리 보기로 볼 때, MSDT가 원격 서버에서 악성 스크립트를 다운로드하고 실행합니다. 이로 인해 공격자는 피해자의 컴퓨터에서 임의의 명령을 실행 할 수 있는 공격 입니다.
3. 대응 방안
Follina 취약점에 대한 보편 적인 대응 방법은 다음과 같습니다.
- 보안 패치 적용: Microsoft에서 제공하는 보안 업데이트를 즉시 설치합니다.
- MSDT 비활성화: 레지스트리 편집기를 사용하여 ms-msdt 프로토콜을 비활성화 합니다.
- 문서 파일 주의: 출처가 불분명한 문서는 열지 말고, 특히 Word 문서의 미리 보기 기능을 사용하지 않도록 주의합니다.
저희 AIWAF 제품에서는 ms-msdt 과 같은 프로토콜을 탐지하는 316: Command Injection (ms-msdt) 패턴에서 정상 탐지 되고 있습니다.
4. 결론
CVE-2022-30190는 MS Office 사용자들에게 큰 위협이 될 수 있는 취약점입니다. 이 취약점을 방치할 경우 공격자는 원격에서 악성 코드를 실행하여 피해자의 시스템을 장악할 수 있습니다. 따라서 최신 보안 업데이트를 적용하고, MSDT 프로토콜을 비활성화하는 등 보안 조치를 철저히 해야 합니다.
5. 참고 자료
- https://www.vicarius.io/vsociety/posts/microsoft-support-diagnostic-tool-remote-code-execution-vulnerability-cve-2022-30190
- https://asec.ahnlab.com/ko/34919/
- https://blog.naver.com/best_somansa/222839504756
최신 취약점 CVE 현황
1. 고위험 취약점 현황 (2024.08)
2. 고위험 취약점 설명