Dior2ky의 it's IT

코로나19 사태로 정부와 각 지자체에서는 긴급 재난 지원금을 지급한다는 소식으로 이슈가 되는 가운데 이를 악용한 스미싱이 발생하고 있다. 긴급 재난 지원금 관련 메세지로 위장하여 링크와 함께 메세지를 보내고 해당 링크를 누르면 악성 앱이 다운로드 되어 감염이 되는 형식이다. 미국에서는 트럼프 대통령과 펜스 부통령이 예방 가이드라인, 대통령의 당부 같은 내용으로 메일을 보내오고 첨부된 링크를 누르게 되면 멀웨어에 감염되게 된다. 놀랍게도 웹 페이지를 만들어 백악과 웹 페이지와 거의 비슷하게 만들어놓았다. 이 두 사례 모두 현재 전세계에 영향을 주고있는 코로나19 사태를 기반으로 한 사이버 공격이다. 사람들의 심리적 약점을 이용한 것으로 대량의 사람들에게 보내 멀웨어를 감염시키는 형태이다. 이러한 피싱 메일..

웹 포렌식 (Web forensic) 각 브라우저 별로 로그파일 경로를 살펴본다. Internet Explorer(IE5, windows 7 기준) Index.dat 이라는 로그 파일 구조를 가지고 있고 앞서 말한 로그 정보들을 담고 있다. Index.dat 로그 파일은 Header, Hash Tables, Activity Record Type으로 구성되어 있다. 로그 정보별로 수집 방법을 살펴본다. Cache : 다운로드 된 Cache 데이터는 Temporary Internet 파일 형태로 저장된다. Content.IE5 폴더 아래 index.dat과 폴더들이 존재하고 폴더들에는 Temporary Internet 파일들이 존재한다. Index.dat 파일은 Temporary Internet 파일들의 인..

웹 포렌식 (Web Forensics) 개요 보안 로그 시스템에 대해서 쓴 글을 보면 웹 로그에 대해서 잠깐 나온다. 웹 포렌식은 웹 로그를 통해 분석하는 과정을 다룬다. 이전에는 간단하게 설명했다면 이번엔 좀 더 자세하게 다뤄보려 한다. 먼저 웹 브라우저에 대해서 살펴본다. 웹 브라우저는 웹 서버에서 쌍방향 통신하는 HTML문서나 파일과 연동하고 출력하는 응용 소프트웨어를 말한다. 예전에 많이 쓰던 Internet Explorer부터 시작해서 가장 큰 점유율을 가지고 있는 Chrome, Mac 에서 사용하는 Safari 등이 있다. 대표적으로 Internet Explorer, Chrome, Fire Fox, Safari, Opera 다섯개의 브라우저를 살펴보도록 한다. Web Browser Forens..

디지털 포렌식 먼저 포렌식(Forensic)이란 '법의학'을 말한다. 법과 관련된 의학을 연구하는 분야로 범죄수사 및 민/형사 소송 등 법정에 사용되는 증거의 수집/보존/분석을 위한 응용과학분야이다. 디지털 포렌식(Digital Forensic)이란 포렌식 중 증거의 종류가 전자적 증거물인 경우라고 보면 된다. 정보화 사회의 고도화에 따라 사이버 범죄가 증가하게 되었고 이를 대처하기 위해 과학수사와 수사과학 분야에서 새로운 형태의 범죄과학이 필요하게 되었다. 현재 생성되는 자료의 95%이상이 전자 형태로 존재하며 그 숫자는 매년 2배씩 증가하고 있다. 이러한 전자적 증거는 사이버 범죄자 추적 및 조사에 핵심요소가 되고 있다. 범죄 현장에서 확보한 개인 컴퓨터, 서버 등의 시스템이나 전자 장비에서 수집할 ..

Suricata 오랫동안 snort가 오픈소스 기반에 독보적으로 사용되어 온 가운데 광케이블을 통한 초고속 인터넷 환경과 스마트폰의 보급으로 이용량이 급증하게 된다. 따라서 대량의 트래픽이 발생하게 되고 snort는 단일 스레드만 지원하여 이를 처리하는데 어려움이 생긴다. 이를 처리하기 위해서 멀티 스레드를 지원하는 suricata가 생겨나게 된다. suricata는 비영리재단 OISF(Open Information Security Foundation)에서 개발하였다. snort는 돼지 이미지가 나온다면 suricata는 미어캣이 가장 먼저 보인다. suricata가 미어캣을 말하는 단어라고 한다. suricata의 특징을 살펴보면 멀티 코어, 멀티 스레드를 완벽 지원한다. snort의 장점을 모두 수용..

많은 사람들이 사용하고 있는 마이크로소프트 사의 파워포인트에서 공격 기법이 발견되었다. 이 공격은 링크 클릭 조차 하지 않아도 멀웨어가 설치된다. 팝업창이 뜨고 확인을 눌러야 진행되기 때문에 마이크로소프트에서는 큰 위험이라 하지 않지만 팝업창 문구를 변경하게 되면 일반 사용자들은 일반 링크보다 팝업창 확인을 더 별 의심없이 누를 것으로 생각된다. 파워포인트에 '마우스오버' 액션에 기능을 추가하는 것을 통한 공격 기법이다. 익스플로잇 방법 https://github.com/ethanhunnt/Hover_with_Power/blob/master/README.md 보안뉴스 https://www.boannews.com/media/view.asp?idx=87509&page=1&mkind=1&kind= 파워포인트를..

보안 로그 시스템 보안 관제 서비스 보안을 공부한 사람들은 보안 관제가 무엇인지 알지만 그렇지 않은 사람들은 그저 CCTV 영상을 보는 사람들이라 생각할지도 모르겠다. 보안관제 서비스는 CCTV 관제의 물리적 보안이 아닌 네트워크 상에서 네트워크와 시스템 사이에서 오가는 데이터를 수집하고 분석하여 그 결과를 통해 보호 대상의 정보자산과 보안성을 향상시키는 활동이다. 보안관제는 컴퓨터 기술이 나날이 발전하고 있는 가운데 컴퓨터 범죄의 증가로 정보보안의 필요성이 증가하고 있기 때문에 꼭 필요한 서비스라고 할 수 있다. 100% 보안은 없기 때문에, 언제 어디서 새로운 보안 위협이 나타날지 모르기에 보안 관제가 필요하다. 보안 관제는 24시간 365일 모니터링을 통해 침해 예방과 함께 공격을 탐지하여 빠른 대..

Lena Reversing tutorial 25_1 이번 단계는 24단계와 비슷하다 두번에 나누어 진행하는데 한번은 언패킹을 진행하고 한번은 로더를 이용해준다. 먼저 언패킹 먼저 진행하도록 한다. 이번 프로그램은 Spyware Doctor 프로그램이다. 이번 프로그램도 역시 Armadillo 프로텍터가 적용되어 있다. Ollydbg로 열어준다. 역시 OutputDebugStringA 함수를 통해 안티 디버깅 기법을 적용하고 있다. 24단계와 마찬가지로 진행해준다. Command bar에 bp OutputDebugStringA 를 해주어 bp를 걸어준다. PUSH 234로 되어있는 부분을 RETN 4로 바꾸어 주면 제대로 실행이 된다. 이제 OEP를 찾아주어야 한다. Exception을 이용한 방법을 이전..

Lena Reversing tutorial 24_2 이번에는 같은 프로그램을 loader를 통해 패치하는 과정을 진행하도록 한다. 24_1 에서 봤듯이 이번 프로그램은 Armadillo 프로텍터를 사용하고 있다. OutputDebugStringA 함수를 통해 디버거를 탐지하고 종료시킨다. 그럼 프로그램을 살펴본다. Ollydbg로 열어 실행해준다. OutputDebugStringA 는 이전 24_1을 참고해 우회해준다. 프로그램 실행 화면이다. 좌측 버튼중에 가장 아래 Regist 하는 버튼이 있다. 아무값이나 넣고 regist 해본다. 다음과 같이 올바르지 않다고 나온다. 이제 이 부분을 crack 해보도록 한다. 그대로 두고 Ollydbg로 넘어간다. Call stack을 이용해주도록 한다. 상단의 ..

안드로이드 악성 APK 분석 우연한 기회로 악성 안드로이드 APK 파일을 구할 수 있었다. 해당 파일 분석을 진행하였다. 우선 APK 파일을 Virustotal 에 올려주었다. 몇개의 회사에서 해당 파일을 악성 파일로 판단하였다. AhnLab-V3도 보인다. 대부분 트로이목마로 판단하고 있고 정보를 훔쳐가는 프로그램, SmsThief 등으로 판단하고 있다. 파일의 해시값 정보는 다음과 같다. 자세한 정보를 살펴보면 다음과 같은 Permission을 획득하려는 코드가 있다. 살펴보면 네트워크 관련과 함께 SMS와 관련된 Permission이 많이 보인다. 그럼 디컴파일 하여 코드를 살펴보도록 한다. apk파일을 .zip으로 바꾸고 압축을 풀어준다. dex2jar 를 통해 dex 파일을 jar 파일로 변환해..