2023년 1월 15일 일요일

Windows event의 CVE 탐지?

이벤트 로그 뒤적이다 이상한 이벤트 발견. CVE 악용 시도?


윈도우 이벤트가 이런 것도 알려줘? 원본을 확인해봤다. 그런데 관련 메시지가 1도 없음. 같은 이벤트를 가지고 왜 LogParser와 이벤트 뷰어의 해석이 다르지?


검색해보니 과거 CVE-2020-0601 취약점 실행 시도를 이벤트 로그에 기록하는 로직을 추가했다가 오탐이 많아서 슬며시 빼버린 모양. 그런데 대충 작업해서 이벤트 뷰어가 아닌 다른 경로로 접근하면 레거시가 드러나는 게 아닌가 싶다. 
PS C:\Users\Administrator> Get-EventLog system -InstanceId 1

   Index Time          EntryType   Source                 InstanceID Message
   ----- ----          ---------   ------                 ---------- -------
  140366 11 05 10:52   Information Microsoft-Windows...            1 시스템이 저전원 상태에서 복귀되었습니다....
  140353 11 05 10:52   Information Microsoft-Windows...            1 CVE의 가능한 검색: 2022-11-05T01:52:05.50000...
  140172 11 04 19:54   Information Microsoft-Windows...            1 CVE의 가능한 검색: 2022-11-04T10:54:05.33475...
  140170 11 04 19:54   Information Microsoft-Windows...            1 CVE의 가능한 검색: 2022-11-04T10:54:05.33392...
  140167 11 04 19:54   Information Microsoft-Windows...            1 CVE의 가능한 검색: 2022-11-04T10:54:05.33311...
  140119 11 04 11:13   Information Microsoft-Windows...            1 시스템이 저전원 상태에서 복귀되었습니다....
  140104 11 04 11:13   Information Microsoft-Windows...            1 CVE의 가능한 검색: 2022-11-04T02:13:09.50000...
  140081 11 03 19:17   Information Microsoft-Windows...            1 CVE의 가능한 검색: 2022-11-03T10:17:05.43380...
  140057 11 03 12:12   Information Microsoft-Windows...            1 시스템이 저전원 상태에서 복귀되었습니다....
  140042 11 03 12:12   Information Microsoft-Windows...            1 CVE의 가능한 검색: 2022-11-03T03:12:22.50000...
  140021 11 02 19:15   Information Microsoft-Windows...            1 CVE의 가능한 검색: 2022-11-02T10:15:01.18795...
  139945 11 02 11:48   Information Microsoft-Windows...            1 시스템이 저전원 상태에서 복귀되었습니다....
  139932 11 02 11:48   Information Microsoft-Windows...            1 CVE의 가능한 검색: 2022-11-02T02:48:11.50000...
  139857 11 02 05:43   Information Microsoft-Windows...            1 파일 시스템 필터 'CldFlt'(버전 10.0, 2044-03...
  139845 11 02 05:43   Information Microsoft-Windows...            1 Secure Trustlet \??\C:\WINDOWS\system32\lsai...
  139773 11 02 05:43   Information Microsoft-Windows...            1 Hypervisor successfully started.

해당 메시지가 실제 해당 CVE 탐지를 의미하지는 않는다는 얘기. 어차피 다 패치된 취약점이니 신경 끄기로 함. 

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스