Dior2ky의 it's IT

스택 오버플로우 이번 글은 스택 오버플로우에 대한 설명은 아니고 간단한 스택 오버플로우 실습을 해보려고 한다. 이 실습을 위해 windows xp를 vmware에 설치하였다. 먼저 간단한 프로그램을 실습하도록 한다. Basic_BoF.exe 프로그램을 만들었다. 일반적으로 프로그램에서 사용되는 변수공간 아래 EBP 공간 4바이트 ret 4바이트가 존재한다. 이 프로그램은 사용자의 입력을 받는데 buffer의 크기가 char[100]이다. 100바이트를 입력받고 8개의 입력값이 더 들어오면 ebp에 4개 ret 값이 마지막 4개로 덮어쓰여지게 된다. A 100개와 B 4개 C 4개를 입력한 결과이다. 오류창의 Offset을 보면 리턴 값으로 43434343 즉, CCCC가 입력된 것을 알 수있다. 다음엔 ..

취약점 점검 도구 Nessus Nessus를 활용하여 취약점을 점검하고 대응 방안도 찾아보도록 한다. 실습 진행은 Nessus를 사용하고 metasploitable v2의 취약점을 점검하도록 한다. 가장 먼저 칼리 리눅스와 metasploitable v2를 vmware에 설치해준다. 설치 과정은 생략한다. metasploitable의 id pw는 msfadmin/ msfadmin이다. 칼리리눅스가 32비트인지 64비트인지를 확인해준다. uname -r 다음 명령어를 사용하면 확인할 수 있다. https://www.tenable.com/products/nessus 다운로드를 위해 register를 하고 인증코드를 이메일로 받은 후 다운로드를 진행한다. 이전에 확인한 칼리 리눅스의 비트수에 맞추어 다운로드를..

웹 애플리케이션 취약점 CVE-2017-5638 CVE-2017-5638 은 jakarta Multipart parser를 기반으로 한 파일 업로드를 할 때 HTTP Request 헤더의 Content-Type을 변조하여 원격 코드 실행이 가능한 취약점이다. 해당 취약점은 Apache Struts 2.3.5~2.3.31, 2.5~ 2.5.10 버전에서 일어난다. 실습을 진행하기 위해 환경을 구성하도록 한다. 칼리리눅스를 vmware에 설치해주고 실행해준다. 이전 칼리 리눅스는 root, toor로 로그인을 했지만 2020년부터의 칼리리눅스는 ID: kali PW: kali 를 이용해 로그인한다. 다음은 도커를 설치해준다. apt update를 먼저 해준다. sudo apt update 다음은 도커를 설치..

ios 모바일 포렌식 모바일 기기의 주요 데이터는 다음과 같다. -휴대폰 기록 전화번호부, 문자메시지(SMS, MMS), 송수신 통화기록 -응용 프로그램 기록 문서작업(작성, 열람, 전송), 웹브라우저(주요 접속 사이트, 접속 기록, 검색 기록), 이메일(송, 수신 상대, 메일 내용, 전송시간) 자동 로그인 정보, 대화 내역, 사진/동영상(촬영 시각, 장소, GPS) 이러한 데이터를 수집하는 방법을 알아본다. 아이폰에서의 데이터 수집 방법은 크게 2가지이다. 탈옥이라 불리는 Jailbreaking 방법과 iTunes 백업 기능을 이용한 방법이다. Jailbreaking 방법은 IOS 4.0 이후로 파일 데이터가 암호화 되어 데이터 복원이 불가하다. 이 방법은 논리적 접근을 통해 파일 취득만 가능하다. i..

기초 정적 분석 안티 바이러스 프로그램 기초 정적 분석을 시작하면서 가장 좋은 시작 단계는 안티 바이러스 프로그램을 통해 살펴보는 것이다. 이러한 안티 바이러스 프로그램들은 여러 기법들을 사용하는데 파일 시그니처, 행위와 패턴 매칭 분석을 주로 사용하는 시그니처 기법과 경험적 기법이라 불리는 Heuristic 기법이 있다. 시그니처 기법은 악성코드 제작자가 코드를 변조하여 프로그램 시그니처가 바뀌면 바이러스 스캐너를 우회할 수 있다는 단점이 있고 경험적 기법은 알려지지 않은 악성코드를 성공적으로 식별하지만 새롭고 독특한 악성코드는 이 기법을 우회 할 수 있다. 분석을 시작하면 이러한 여러 안티 바이러스 프로그램들에 악성 코드를 실행시켜 결과를 확인하는 것이다. 대표적인 웹 사이트는 바이러스토탈 (http..

악성코드 유형 악성코드는 다양한 종류가 있다. 이 종류를 구분하는데는 악성코드가 시도하는 행위를 통해 분류하게 된다. 그럼 종류를 나열해보도록 한다. 백도어(backdoor) : 백도어는 직역하면 뒷문 이라고 할 수 있는데 공격자가 컴퓨터에 언제든 접속 할 수 있도록 만들어진 악성코드라고 할 수 있다. 일반적으로 컴퓨터에 패스워드와 같은 인증을 통해 접근하게 되는데 이러한 백도어를 이용하게 되면 인증 없이 접속해 로컬 시스템에서 명령어를 실행할 수 있게 된다. 봇넷(botnet) : 백도어와 마찬가지로 시스템에 접속할 수 있다는 것이 같지만 공격자는 봇넷에 감염된 시스템을 제어할 수 있는 명령 제어 서버를 둔다. 이 명령 제어 서버는 봇넷에 감염된 하나의 시스템을 제어하는 것이 아니라 동시에 여러대의 감..

악성코드 분석 기법 악성코드를 분석하는 경우 일반적으로 악성코드는 사람이 읽기 어려운 형태로 존재하고 있다. 이 악성코드를 파악하기 위해서 다양한 도구와 기법을 활용하여 적은 양의 정보를 부분적으로 알아내게 된다. 이렇게 적은 양의 정보를 조금씩 조금씩 알아내어 전체적인 그림을 그리게 되는데 이를 위해 다양한 도구들이 필요하게 된다. 악성코드 분석에는 두가지 기초적인 접근방식이 있다. 정적분석과 동적분석으로 나누어진다. 정적분석은 악성코드를 실행하지 않고 분석하는 방법이며 동적분석은 악성코드를 실행하면서 분석하는 것을 말한다. 나아가 두 기법을 각각 기초 또는 고급으로 분류하여 총 4가지로 분석 기법을 나눌 수 있다. 기초 정적 분석 기초 정적 분석은 악성코드의 실제 명령어를 확인하지 않고 실행파일을 조..

코로나19 사태로 정부와 각 지자체에서는 긴급 재난 지원금을 지급한다는 소식으로 이슈가 되는 가운데 이를 악용한 스미싱이 발생하고 있다. 긴급 재난 지원금 관련 메세지로 위장하여 링크와 함께 메세지를 보내고 해당 링크를 누르면 악성 앱이 다운로드 되어 감염이 되는 형식이다. 미국에서는 트럼프 대통령과 펜스 부통령이 예방 가이드라인, 대통령의 당부 같은 내용으로 메일을 보내오고 첨부된 링크를 누르게 되면 멀웨어에 감염되게 된다. 놀랍게도 웹 페이지를 만들어 백악과 웹 페이지와 거의 비슷하게 만들어놓았다. 이 두 사례 모두 현재 전세계에 영향을 주고있는 코로나19 사태를 기반으로 한 사이버 공격이다. 사람들의 심리적 약점을 이용한 것으로 대량의 사람들에게 보내 멀웨어를 감염시키는 형태이다. 이러한 피싱 메일..

웹 포렌식 (Web forensic) 각 브라우저 별로 로그파일 경로를 살펴본다. Internet Explorer(IE5, windows 7 기준) Index.dat 이라는 로그 파일 구조를 가지고 있고 앞서 말한 로그 정보들을 담고 있다. Index.dat 로그 파일은 Header, Hash Tables, Activity Record Type으로 구성되어 있다. 로그 정보별로 수집 방법을 살펴본다. Cache : 다운로드 된 Cache 데이터는 Temporary Internet 파일 형태로 저장된다. Content.IE5 폴더 아래 index.dat과 폴더들이 존재하고 폴더들에는 Temporary Internet 파일들이 존재한다. Index.dat 파일은 Temporary Internet 파일들의 인..

웹 포렌식 (Web Forensics) 개요 보안 로그 시스템에 대해서 쓴 글을 보면 웹 로그에 대해서 잠깐 나온다. 웹 포렌식은 웹 로그를 통해 분석하는 과정을 다룬다. 이전에는 간단하게 설명했다면 이번엔 좀 더 자세하게 다뤄보려 한다. 먼저 웹 브라우저에 대해서 살펴본다. 웹 브라우저는 웹 서버에서 쌍방향 통신하는 HTML문서나 파일과 연동하고 출력하는 응용 소프트웨어를 말한다. 예전에 많이 쓰던 Internet Explorer부터 시작해서 가장 큰 점유율을 가지고 있는 Chrome, Mac 에서 사용하는 Safari 등이 있다. 대표적으로 Internet Explorer, Chrome, Fire Fox, Safari, Opera 다섯개의 브라우저를 살펴보도록 한다. Web Browser Forens..