Dior2ky의 it's IT

디지털 포렌식 먼저 포렌식(Forensic)이란 '법의학'을 말한다. 법과 관련된 의학을 연구하는 분야로 범죄수사 및 민/형사 소송 등 법정에 사용되는 증거의 수집/보존/분석을 위한 응용과학분야이다. 디지털 포렌식(Digital Forensic)이란 포렌식 중 증거의 종류가 전자적 증거물인 경우라고 보면 된다. 정보화 사회의 고도화에 따라 사이버 범죄가 증가하게 되었고 이를 대처하기 위해 과학수사와 수사과학 분야에서 새로운 형태의 범죄과학이 필요하게 되었다. 현재 생성되는 자료의 95%이상이 전자 형태로 존재하며 그 숫자는 매년 2배씩 증가하고 있다. 이러한 전자적 증거는 사이버 범죄자 추적 및 조사에 핵심요소가 되고 있다. 범죄 현장에서 확보한 개인 컴퓨터, 서버 등의 시스템이나 전자 장비에서 수집할 ..

Suricata 오랫동안 snort가 오픈소스 기반에 독보적으로 사용되어 온 가운데 광케이블을 통한 초고속 인터넷 환경과 스마트폰의 보급으로 이용량이 급증하게 된다. 따라서 대량의 트래픽이 발생하게 되고 snort는 단일 스레드만 지원하여 이를 처리하는데 어려움이 생긴다. 이를 처리하기 위해서 멀티 스레드를 지원하는 suricata가 생겨나게 된다. suricata는 비영리재단 OISF(Open Information Security Foundation)에서 개발하였다. snort는 돼지 이미지가 나온다면 suricata는 미어캣이 가장 먼저 보인다. suricata가 미어캣을 말하는 단어라고 한다. suricata의 특징을 살펴보면 멀티 코어, 멀티 스레드를 완벽 지원한다. snort의 장점을 모두 수용..

많은 사람들이 사용하고 있는 마이크로소프트 사의 파워포인트에서 공격 기법이 발견되었다. 이 공격은 링크 클릭 조차 하지 않아도 멀웨어가 설치된다. 팝업창이 뜨고 확인을 눌러야 진행되기 때문에 마이크로소프트에서는 큰 위험이라 하지 않지만 팝업창 문구를 변경하게 되면 일반 사용자들은 일반 링크보다 팝업창 확인을 더 별 의심없이 누를 것으로 생각된다. 파워포인트에 '마우스오버' 액션에 기능을 추가하는 것을 통한 공격 기법이다. 익스플로잇 방법 https://github.com/ethanhunnt/Hover_with_Power/blob/master/README.md 보안뉴스 https://www.boannews.com/media/view.asp?idx=87509&page=1&mkind=1&kind= 파워포인트를..

보안 로그 시스템 보안 관제 서비스 보안을 공부한 사람들은 보안 관제가 무엇인지 알지만 그렇지 않은 사람들은 그저 CCTV 영상을 보는 사람들이라 생각할지도 모르겠다. 보안관제 서비스는 CCTV 관제의 물리적 보안이 아닌 네트워크 상에서 네트워크와 시스템 사이에서 오가는 데이터를 수집하고 분석하여 그 결과를 통해 보호 대상의 정보자산과 보안성을 향상시키는 활동이다. 보안관제는 컴퓨터 기술이 나날이 발전하고 있는 가운데 컴퓨터 범죄의 증가로 정보보안의 필요성이 증가하고 있기 때문에 꼭 필요한 서비스라고 할 수 있다. 100% 보안은 없기 때문에, 언제 어디서 새로운 보안 위협이 나타날지 모르기에 보안 관제가 필요하다. 보안 관제는 24시간 365일 모니터링을 통해 침해 예방과 함께 공격을 탐지하여 빠른 대..

Lena Reversing tutorial 25_1 이번 단계는 24단계와 비슷하다 두번에 나누어 진행하는데 한번은 언패킹을 진행하고 한번은 로더를 이용해준다. 먼저 언패킹 먼저 진행하도록 한다. 이번 프로그램은 Spyware Doctor 프로그램이다. 이번 프로그램도 역시 Armadillo 프로텍터가 적용되어 있다. Ollydbg로 열어준다. 역시 OutputDebugStringA 함수를 통해 안티 디버깅 기법을 적용하고 있다. 24단계와 마찬가지로 진행해준다. Command bar에 bp OutputDebugStringA 를 해주어 bp를 걸어준다. PUSH 234로 되어있는 부분을 RETN 4로 바꾸어 주면 제대로 실행이 된다. 이제 OEP를 찾아주어야 한다. Exception을 이용한 방법을 이전..

Lena Reversing tutorial 24_2 이번에는 같은 프로그램을 loader를 통해 패치하는 과정을 진행하도록 한다. 24_1 에서 봤듯이 이번 프로그램은 Armadillo 프로텍터를 사용하고 있다. OutputDebugStringA 함수를 통해 디버거를 탐지하고 종료시킨다. 그럼 프로그램을 살펴본다. Ollydbg로 열어 실행해준다. OutputDebugStringA 는 이전 24_1을 참고해 우회해준다. 프로그램 실행 화면이다. 좌측 버튼중에 가장 아래 Regist 하는 버튼이 있다. 아무값이나 넣고 regist 해본다. 다음과 같이 올바르지 않다고 나온다. 이제 이 부분을 crack 해보도록 한다. 그대로 두고 Ollydbg로 넘어간다. Call stack을 이용해주도록 한다. 상단의 ..

안드로이드 악성 APK 분석 우연한 기회로 악성 안드로이드 APK 파일을 구할 수 있었다. 해당 파일 분석을 진행하였다. 우선 APK 파일을 Virustotal 에 올려주었다. 몇개의 회사에서 해당 파일을 악성 파일로 판단하였다. AhnLab-V3도 보인다. 대부분 트로이목마로 판단하고 있고 정보를 훔쳐가는 프로그램, SmsThief 등으로 판단하고 있다. 파일의 해시값 정보는 다음과 같다. 자세한 정보를 살펴보면 다음과 같은 Permission을 획득하려는 코드가 있다. 살펴보면 네트워크 관련과 함께 SMS와 관련된 Permission이 많이 보인다. 그럼 디컴파일 하여 코드를 살펴보도록 한다. apk파일을 .zip으로 바꾸고 압축을 풀어준다. dex2jar 를 통해 dex 파일을 jar 파일로 변환해..

Lena Reversing tutorial 24_1 이번 단계에서 볼 프로그램은 RegMech 프로그램이다. 같은 프로그램을 두 번에 나누어서 그냥 언패킹을 하는 방법과 loader를 이용해서 패치하는 과정을 진행한다. 해당 글에서는 먼저 언패킹을 진행해보도록 한다. 먼저 프로그램을 Exeinfo PE 프로그램에 올려주었다. Armadillo 프로텍터가 적용되었다는 것을 확인 할 수 있다. Ollydbg로 열어서 확인해준다. Ollydbg로 열어서 진행하면 어느순간 꺼져버린다. Armadillo 프로텍터의 특징이다. 디버거를 탐지해서 실행중이던 프로그램을 꺼버린다. 그냥 프로그램을 열어서 프로그램을 확인해주려고 했으나.. 멈춰서 실행이 안된다. 현재 32bit 환경인데 64bit 환경으로 진행하니 프로그..

Lena Reversing tutorial 23 이번 단계에서는 'stolen byte' 라는 것에 대해 배우게 된다. stolen byte는 프로그램의 코드 중에서 패커가 위치를 이동시킨 코드를 말한다. 할당된 메모리 공간으로 이동되어 실행되고 때문에 이를 복구하지 못하고 덤프하게 되면 정상적으로 작동하지 못한다. 일종의 안티 디버깅 기법 중 하나라 할 수 있다. 주어진 프로그램을 분석하도록 한다. 이번 단계도 역시 프로그램 하나만 존재한다. 압축을 풀어 나온 NfoViewer 프로그램을 Ollydbg로 열어준다. 바로 분기해서 PUSHFD, PUSHAD로 가고 있다. ESP를 이용해 OEP를 찾아준다. PUSHFD를 지나자 ESP 값이 변경되었다. hw bp를 걸어주고 실행한다. break가 걸린다...

Lena Reversing tutorial 22 이번 단계에서는 API Redirect 라는 기능에 대해서 배우는 것이 목적이다. 20, 21 단계에서 많은 수의 프로그램을 진행했는데 이번엔 다행히 프로그램이 하나다. ㅎ Ollydbg로 프로그램을 열어준다. 패킹되었을 때 자주 보였던 PUSHAD 가 가장 먼저 보인다. ESP 를 이용해서 OEP를 구해준다. PUSHAD를 지나자 ESP 값이 변한다. 12FFA4에 hw bp를 걸어준다. F9를 눌러 진행해준다. break가 걸린다. POP을 두번한 후 CALL을 하고 있다. F8을 진행해서 CALL 하는 EAX 값을 확인하면 4331B8이다. 이 값을 OEP로 추정할 수 있다. Import REC를 통해 dump해준다. Import REC를 열고 프로그..