이벤트 로그 뒤적이다 이상한 이벤트 발견. CVE 악용 시도?
검색해보니 과거 CVE-2020-0601 취약점 실행 시도를 이벤트 로그에 기록하는 로직을 추가했다가 오탐이 많아서 슬며시 빼버린 모양. 그런데 대충 작업해서 이벤트 뷰어가 아닌 다른 경로로 접근하면 레거시가 드러나는 게 아닌가 싶다.
PS C:\Users\Administrator> Get-EventLog system -InstanceId 1
Index Time EntryType Source InstanceID Message ----- ---- --------- ------ ---------- ------- 140366 11 05 10:52 Information Microsoft-Windows... 1 시스템이 저전원 상태에서 복귀되었습니다.... 140353 11 05 10:52 Information Microsoft-Windows... 1 CVE의 가능한 검색: 2022-11-05T01:52:05.50000... 140172 11 04 19:54 Information Microsoft-Windows... 1 CVE의 가능한 검색: 2022-11-04T10:54:05.33475... 140170 11 04 19:54 Information Microsoft-Windows... 1 CVE의 가능한 검색: 2022-11-04T10:54:05.33392... 140167 11 04 19:54 Information Microsoft-Windows... 1 CVE의 가능한 검색: 2022-11-04T10:54:05.33311... 140119 11 04 11:13 Information Microsoft-Windows... 1 시스템이 저전원 상태에서 복귀되었습니다.... 140104 11 04 11:13 Information Microsoft-Windows... 1 CVE의 가능한 검색: 2022-11-04T02:13:09.50000... 140081 11 03 19:17 Information Microsoft-Windows... 1 CVE의 가능한 검색: 2022-11-03T10:17:05.43380... 140057 11 03 12:12 Information Microsoft-Windows... 1 시스템이 저전원 상태에서 복귀되었습니다.... 140042 11 03 12:12 Information Microsoft-Windows... 1 CVE의 가능한 검색: 2022-11-03T03:12:22.50000... 140021 11 02 19:15 Information Microsoft-Windows... 1 CVE의 가능한 검색: 2022-11-02T10:15:01.18795... 139945 11 02 11:48 Information Microsoft-Windows... 1 시스템이 저전원 상태에서 복귀되었습니다.... 139932 11 02 11:48 Information Microsoft-Windows... 1 CVE의 가능한 검색: 2022-11-02T02:48:11.50000... 139857 11 02 05:43 Information Microsoft-Windows... 1 파일 시스템 필터 'CldFlt'(버전 10.0, 2044-03... 139845 11 02 05:43 Information Microsoft-Windows... 1 Secure Trustlet \??\C:\WINDOWS\system32\lsai... 139773 11 02 05:43 Information Microsoft-Windows... 1 Hypervisor successfully started.해당 메시지가 실제 해당 CVE 탐지를 의미하지는 않는다는 얘기. 어차피 다 패치된 취약점이니 신경 끄기로 함.
댓글 없음:
댓글 쓰기