본문 바로가기

ETC

(17)
[Basic] 세상에서 가장 쉬운 리버싱 튜토리얼 이제 정보보안 교육을 시작한지 1년..^^.. 같이 공부한 친구들이 각각 블로그 만들며, 너무나도 좋은 글들을 공유하고 자신이 알고 있는 지식들을 통해 널리 이롭게하여, 하나하나 볼 때마다 즐겁고 흥미롭다. 제일 중요한 건 나도 지금까지 한 순간도 보안을 싫어하거나 질려하거나 돈벌이로 해본 적이 없는데.. 이 친구들도 블로그 내용만 봐도.. 『보안을 너무 즐겁고 재미있어 하는 구나』 생각이 든다. 또, 내가 읽어봐도 『이세상에서 가장 쉬운 리버싱 튜토리얼』이라고 생각되는 글을 올려두어 불펌을 강행했다 ㅎㅎ 출처 : http://1993-constant.tistory.com/47
PAC(Proxy Auto-Config)유형 파밍 악성코드 분석 예전에 법무부팀에서 업무 수행간 식별되었던 파밍 악성코드에 대해서 분석했던 내용입니다. 다양한 파밍 수법이 존재하겠지만, PAC(Proxy Auto-Config) 자동실행 스크립트 사용방식에 대한 파밍 악성코드에 대해서 정리하였습니다. 딕테일하게 작성하진 않았지만, 악성코드 분석 입문한 사람들이라면 보다 쉽게 분석할 수 있도록 만들어 놓은 분석 보고서로 입문자에게 도움이 될 것으로 판단됩니다.
리버싱 입문자용_Win32 ㅎㅎ 밝은 미소와 밝은 생각으로 항상 긍정적인 시너지를 주면서 즐겁게 공부하고 있는 멋진 친구 중 한명이 소리없이 블로그에 글을 올리면서 배운 내용들을 정리하고 있어 몰래 불펌을 감행했다. 웹이랑 모바일을 공부했고 이번에 『리버스엔지니어링&악성코드 분석』을 진행할 차례인 친구인데.. 어떻게 알고 Win32를 먼저 공부했는지는 알 수 없으나, Win32를 공부한 내용을 정리해둬서 포스팅하게 되었다. 아직 배우지 않은 상태라 인터넷으로 본 정보들 가공하면서 스스로 공부한 내용으로 보이는데.. 또 본인 스스로만 이해하면 되겠다는 심상으로 글을 적은 것으로 보이나 ㅎㅎ 무엇보다도 리버스엔지니어링을 공부하기 전에 PE구조를 공부하기 전에 꼭 알아두면 좋을 것으로 판단된다. 출처 : http://blog.naver..
SQL Injection Tool by N3015M 웹의 달인 네오이즘(n3015m)형이 07년도에 만들어서, 아직까지 큰 인기를 얻고 사용되어 지고 있는 툴이다. 꼭 현업 담당자분과 "학습"목적으로 사용되어지길 바라며 이 글을 올립니다. 그리고, 꼭 SQL Injection이 어떠한 원리에서 어떻게 동작하고 이루어지는데 명확히 파악한 후 사용하시길 권장드립니다. ex) login.php?id=' or 1=1--&pw= ① login.php 내 "id" 입력값에 왜 저 구문을 넣었는데 로그인이 되는지? ② 로그인이 되었는데 admin이 아닌 다른 사용자로 로그인이 되었으면 왜 그런지? ③ 'id'입력값에 대한 검증은 잘되어 있는지? ④ 서버에서 입력값을 받아서 SELECT문 DB를 통해 응답값(html)로 클라이언트에 출력되는 과정이 머리속으로 그려지는지..
악성코드 분석_Black Energy 참 정리를 잘하는 친구인데 포폴이나 교육용 자료가 아닌 블로그에 올리는 자료는 왜 부족한지 잘 모르겠다. 하지만 매우 열정적으로 짧은 기간만에 많이 올라온 쌍쑤.. 앞으로도 더 멋진 모습으로 성장하길 기대해본다. Black Energy 분석 : http://blog.naver.com/jssok8734/220921745071
[주의] 성인 사이트 접속만으로 악성코드(ZeusBot) 감염 안녕하세요 Winner입니다. 성인사이트 접속만으로도 악성코드(ZeusBot)이 감염됨을 확인 할 수 있었습니다. Drop되는 파일이 Hex값을 보고 exe파일임을 예측 할 수 있으며, EXE로 저장한 후 바이러스 토탈사이트를 통해 확인해 본 결과, 안랩 기준 탐지명 : Zbot.R2926 으로 과거 악명을 떨쳤던 ZeusBot 변종임을 알 수 있었다. 이와 같은 피해를 100% 예방한다고 볼 순 없지만, 최소한의 피해를 입으려면 아래와 같은 예방법을 준수해야 하겠다. 1) 알려진 유형에 대한 악성코드는 사전에 예방할 수 있으므로 백신 프로그램 설치2) 신뢰하지 않는 사이트에 대한 접근은 가급적 자제3) OS 및 인터넷 브라우저 등 최신 버전 유지 및 보안 패치 적용
DNS Messenger 분석을 통한 IPS 탐지패턴 적용(DNS Covert Channel) 3월 20일 KISA에서 DNS 쿼리를 이용해 명령어를 주고받는 파일리스 악성코드가 발견되었다고 발표한 바 있다. 해당 악성코드가 감염될 경우 DNS TXT레코드를 이용해 명령을 주고 받도록 설계되어 있어 데이타 유출 및 C&C연결이 가능한 부분이 존재한다. 또한, 내부망(사내망)에서 외부 DNS값으로 질의(UDP 53)를 하는 방식이므로 기존 보안장비가 집중하지 않는 DNS 트래픽 부분을 악용한 공격으로 DNS 트래픽에 대한 모니터링이 필요하다. https://www.krcert.or.kr/data/trendView.do?bulletin_writing_sequence=25323 DNS Messenger : https://www.reverse.it/sample/340795d1f2c2bdab1f238218..
랜섬웨어(Lokcy)_DLL_최초_변종_16.09.08 예전에 KT에서 업무할 때 분석했던 내용입니다. 실제로 9월2일에 발생되었는데.. 9월7일쯤 보안뉴스에 뜨더라고요. 록키 변종 랜섬웨어 중 최초로 DLL 파일로 유포된 내용입니다. 딕테일하게 작성하진 않았지만, 리버스엔니지어링을 입문한 사람들이라면 보다 쉽게 분석할 수 있도록 만들어놓은 분석 보고서로 입문자에게 도움이 될것으로 판단됩니다. http://www.boannews.com/media/view.asp?idx=51733&page=1&kind=1&search=title&find=locky