전체 글
-
DGA(Domain Generation Algorithm)DFIR 2020. 1. 3. 17:52
DGA 기법: C2서버의 도메인을 무작위로 생성하는 기법이다. 피해 PC(봇넷)에 설치된 악성코드가 C2의 명령을 받기위해 C2서버로 접속을 해야한다. 이때 악성코드 내부(소스코드)에 C2서버의 Domain, IP 정보가 하드코딩되어야 접속을 할 수 있다. 악성코드 분석가는 이러한 점을 이용하여 악성코드를 분석하여 하드코딩 된 Domain, IP 정보를 얻어 탐지 또는 차단을 할 수 있다. ( 접속방지 기법 ) 이로인해 C2 서버와 통신을 하지못해 명령을 못받으면 악성행위 수행이 어렵기 때문에 DGA기법을 통해 Domain을 무작위로 생성하여 이러한 방어를 우회한다. DGA에서 매일 수 많은 Domain을 무작위로 생성하는데 이러한 기법을 "DNS based domain fluxing" 이라 한다. DG..
-
WannaCry Ransomware카테고리 없음 2020. 1. 3. 10:07
워너크라이 -> 웜 형태와 같이 자기자신을 복재하여 네트워크로 전파하는 특징이 존재함 임의의 IP를 생성한 후에 해당 IP를 대상으로 SMB 포트(445)에 대한 스캔을 하여 취약점이 존재할 경우 자기 자신을 복사 후 실행시키는 과정을 반복하는 방식으로 감염을 확산시킨다. OS 취약점을 이용한 랜섬웨어이기 때문에 전파가 빠르게 진행되었음. 워너크라이 전파를 무력화하는 킬 스위치를 찾았으나 이 후 킬 스위치가 없는 워너크라이 2.0 버전이 나와 속수무책이었음. 국내에서는 과학기술정보통신부, 한국인터넷진흥원, 통신사, 백신업체와 함께 침해사고 비상대응체계를 구성함 국내외 랜섬웨어 악성코드 246개 확보 및 분석 위 분석결과를 바탕으로 국내 백신(하우리, 이스트시큐리티, 안랩, 잉카인터넷) S/W에 워너크라이..
-
[용어]인바운드 트래픽, 아웃바운드 트래픽Network 2019. 12. 2. 16:34
인바운드 트래픽 ( Inbound Traffic ) - 클라이언트에서 서버로 들어오는 트래픽이다. -> 클라이언트 측에서 서버로 파일을 업로드하는 경우 발생하게된다. -> 이 외에도 서버로 정보를 요청할 경우 데이터를 저장하는 행위등이 포함된다. 아웃바운드 트래픽 ( Outbound Traffic ) - 서버에서 클라이언트로 나가는 트래픽이다. -> 클라이언트 측에서 서버에 있는 파일을 다운로드하는 경우 발생하게된다. -> 이 외에도 인바운드로 어떤 정보를 요청받았을 때 아웃바운드로 정보를 클라이언트를 보내주는 행위가 포함된다.
-
PortNetwork 2019. 12. 2. 06:00
Port란? 위와 같다. 아 ㅈㅅ Port - 목적지 PC내 인터넷 통신하는 프로세스를 식별하기위한 수단 -> 쉽게 예를들어보면 집 주소라는 ip가 있는 데 이제 집에 찾아왔으니 어떤 문을 통해 들어갈것인지, 문이 포트라고 생각하면 된다. ( 호실로 비유할수도 있다. ) 각 방마다 서비스가 다르다. 학교로 치면 1번 방 -> 1학년 교실(프로세스) 2번 방 -> 2학년 교실(프로세스) 3번 방 -> 3학년 교실(프로세스) 4번 방 -> 교무실(프로세스) 5번 방 -> 행정실(프로세스) 0번 ~ 1023번 : 잘 알려진 포트 ( well-known port ) - IANA에서 특정 어플리케이션에 부여한 포트 1024번 ~ 49151번 : 등록된 포트 ( registered port ) - 사용자가 등록하여..
-
Layer7Network 2019. 12. 2. 05:23
L7 Apllication ( 응용 계층 ) - 사용자에게 익숙한 인터페이스 ( Chrome ... ) 응용프로그램이라고 보면될듯? - Protocol: HTTP, DHCP, DNS, FTP, Telnet ... L6 Presentation ( 표현 계층 ) - 비트 단위 데이터( 기계어 )를 사용자가 해석할 수 있는 정보로 변환해주는 작업을 수행한다. - Protocol: MPEG, JPEG ... L5 Session ( 세션 계층 ) - 두 호스트간에 연결이 끊어지지않고, 지속되도록 돕는 역할, 그 외 유지, 종료 등 기능이 존재한다. - Protocol: SSH, TLS ... L4 TransPort ( 전송 계층 ) - 패킷들의 전송이 유효한지 확인하고, 전송에 실패한 패킷들을 재전송하는 역할을 ..
-
[webhacking.kr] prob 43webhacking/webhacking.kr 2019. 11. 20. 01:20
정말 열심히 작성했는데, 브라우저가 순간적으로 뻑난 덕분에 글로만 작성하게됐다. 해당 문제는 파일업로드 취약점을 이용해 해결하는 문제이다. 평범하게 "attack.php" 파일을 업로드한 결과, ".php .asp .jsp" 등 확장자를 필터링하는 것을 알 수 있었다. 이를 우회하기 위해 "attack.php.jsp" 파일을 업로드 시도하였고, 중간에 프록시 도구를 이용하여 "attack.php" 로 수정하여 요청을 정상적으로 보낸 결과 파일이 업로드됨을 확인할 수 있었다. 업로드 된 파일을 확인해보면 해당 소스코드가 실행되어 플래그를 획득할 수 있었다. --- SourceCode -------------------------- ------------------------------------------..
-
Hooking - 기본개념Reversing/Hooking 2019. 10. 25. 14:57
Hooking - 정보를 가로채고, 실행 흐름을 변경하고, 원래와는 다른 기능을 제공하게 하는 기술이다. 후킹의 전체적인 프로세스 - 디스어셈블러/디버거를 이용하여 프로그램의 구조와 동작원리 파악 - 버그 수정 또는 기능 개선에 필요한 Hook 코드를 개발 - 실행 파일과 프로세스 메모리를 자유롭게 조작하여 Hook 코드 설치 후킹기술이 필요한 경우(case) - 프로그램 소스코드가 없는 경우 - 소스코드 수정이 여의치 않은 상황 ... 후킹 종류 - IAT Hooking - EAT Hooking - Inline Hooking - Message Hooking - API Hooking ..... 많다고 한다..
-
API - SendMessageLanguage & DB/API 2019. 10. 25. 14:27
SendMessage - 특정 윈도우 핸들에 메시지를 전달 LRESULT SendMessage(HWND hWnd, UINT Msg, WPARAM wParam, LPARAM lParam) 첫번째 인자: 대상 윈도우 핸들 두번째 인자: 전달 메시지 세번째 인자: 메시지 부가정보 - 디폴트 값: 0 네번째 인자: 메시지 부가정보 - 디폴트 값: 0 반환 값: 전달 메시지에 따른 처리결과 * SendMessage API 함수는 윈도우 프로시저로 메시지를 보내 처리한다. 메시지를 보내면 해당 메시지가 처리되기 전까지 반환되지 않는다. 윈도우 프로시저가 값을 반환하면 그제서야 SendMessage도 반환하여 마칠 수 있다. * 데드락 상태: 메시지가 처리되지 않아 다음 루틴을 실행하지 못하고 윈도우 프로시저가 실행..