CTF for ビギナーズのバイナリ講習で使用した資料です。
講習に使用したファイルは、以下のリンク先にあります。
https://onedrive.live.com/redir?resid=5EC2715BAF0C5F2B!10056&authkey=!ANE0wqC_trouhy0&ithint=folder%2czip
CTF for ビギナーズのバイナリ講習で使用した資料です。
講習に使用したファイルは、以下のリンク先にあります。
https://onedrive.live.com/redir?resid=5EC2715BAF0C5F2B!10056&authkey=!ANE0wqC_trouhy0&ithint=folder%2czip
Linux のネットワーク設定情報を取得し、描画するツール "plotnetcfg" のインストール方法や描画サンプル。
"How to" for installing / using "plotnetcfg" which scans networking config of Linux machine and plots a diagram of the configuration hierarchy.
Linux のネットワーク設定情報を取得し、描画するツール "plotnetcfg" のインストール方法や描画サンプル。
"How to" for installing / using "plotnetcfg" which scans networking config of Linux machine and plots a diagram of the configuration hierarchy.
AppCheck Pro 랜섬웨어 백신은 “상황 인식 기반 랜섬웨어 행위 탐지(Context-awareness based ransomware behavior detection)” 기술이 적용된 캅(CARB)엔진으로 현재까지 발견된 패턴 뿐 아니라 차후 출현 가능한 랜섬웨어까지도 탐지하여 기존 백신의 탐지 및 대응 방식으로는 빠르게 대응할 수 없는 랜섬웨어 위협으로부터 가장 확실하고 안전하게 방어할 수 있습니다
네이버 클라우드 플랫폼의 init script는 서버 생성 후, 최초 1회 실행되는 스크립트입니다. 해당 스크립트를 서버 생성 후 실행하도록 구성을 하면, 서버 생성 후 추가 설치가 필요한 패키지들을 서버 생성 시에 자동으로 설치되도록 설정이 가능합니다. 해당 init script가 어떻게 동작하는지, 그리고 실무에서 어떻게 적용하여 이 가능한지 설명해드립니다 | 네이버 클라우드 플랫폼의 init script는 서버 생성 후, 최초 1회 실행되는 스크립트입니다. 해당 스크립트를 서버 생성 후 실행하도록 구성을 하면, 서버 생성 후 추가 설치가 필요한 패키지들을 서버 생성 시에 자동으로 설치되도록 설정이 가능합니다. 해당 init script가 어떻게 동작하는지, 그리고 실무에서 어떻게 적용하여 이 가능한지 설명해드립니다
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다GangSeok Lee
2014 CodeEngn Conference 10
열혈 취약점 헌터들의 고분군투기!
취약점을 찾게되면 어떤 일이 벌어질까? 급전이 필요한 외롭고 찌질한 대한민국 해커들의 급전을 위한 취약점 찾기 여행기. 과연 우리는 취약점을 찾고 급전을 만들어 외롭고 찌질한 이 상황을 타개할 수 있을 것인가?
http://codeengn.com/conference/10
http://codeengn.com/conference/archive
4. 4
윈도우 폴더(C:Windows) 또는 시스템 폴더(C:WindowsSystem32) 에 복사본 생성
레지스트리 생성
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT
CurrentVersionWinlogon "Shell“ 에 추가
- HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
"load“ 에 생성
1. 복사본 생성
2. 자동 실행 (1)
1. 악성코드 특성
5. 5
1. 악성코드 특성
윈도우 서비스 등록
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
- HKEY_LOCAL_MACHINESYSTEMControlSet001Services
- HKEY_LOCAL_MACHINESYSTEMControlSet002Services
시작 프로그램 폴더
c:Documents and SettingsAdministrator시작 메뉴프로그램Startup
보안 프로그램 프로세스 강제종료
윈도우 시스템 유틸리티 프로세스 강제종료
레지스트리 수정으로 보안 프로그램의 윈도우 서비스 비활성화
레지스트리 수정으로 윈도우 보안센터 비활성화
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center
하위 키에 존재하는 백신, 방화벽, 윈도우 업데이트 서비스 관련 키 설정 변경
2. 자동 실행 (2)
3. 보안 프로그램 무력화 (1)
6. 6
레지스트리 수정으로 윈도우 방화벽 우회
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess
ParametersFirewallPolicy
하위 키로 자신의 프로세스명을 등록
레지스트리 수정으로 윈도우 시스템 유틸리티 실행 불가
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
하위키에 "DisableCMD“와 "DisableRegistryTools“ 키 생성
파일 속성을 “숨김”과 “시스템 파일”로 설정
윈도우 폴더 옵션 설정 변경
- “숨김 파일 및 폴더 표시 안 함” 로 변경
“알려진 파일 형식의 파일 확장명 숨기기” 로 변경
- “보호된 운영 체제 파일 숨기기” 로 변경
3. 보안 프로그램 무력화 (2)
4. 파일 은폐
1. 악성코드 특성
7. 7
특정 TCP 또는 UDP 포트를 이용
인터넷 익스플로러의 스레드(Thread) 또는 핸들(Handle)로 인젝션 후 이용
익스플로러 (explorer.exe)의 스레드로 인젝션 후 이용
특정 프로세스의 스레드로 인젝션 후 이용
파일 명칭이 윈도우 시스템 파일과 유사
정상 프로그램의 파일 명칭과 유사
정상 파일 명칭과 동일하나 파일 위치가 다른 경로에 존재
파일의 등록정보 미존재
5. 네트워크 연결
6. 사회 공학 기법 사용
7. 파일의 실행 압축 또는 암호화
파일이 정상적인 컴파일 상태가 아닌 특정 패커(Packer)로 파일을 실행 압축
또는 특정 크립터(Crypter)로 파일 자체를 암호화 함.
1. 악성코드 특성
9. 9
• 예전
- V3를 설치한 시스템에서 발생하는 오류 분석
• 최근
- 악성코드에 감염된 것으로 의심되는 시스템에서 의심 파일을 수집하기
위한 용도로 분석
1. 안레포트(AhnReport)
2. AhnReport의 이해
2. 안레포트(AhnReport) 버전
- 현재 가장 최신의 안레포트(AhnReport)는 6.1.7.25 버전
10. 10
- 악성코드의 기본적인 특성 인지
- 윈도우 시스템에 대한 기본적인 이해
- 안레포트(AhnReport) 분석으로 감염 확인이 어려운 악성코드도 존재
은폐형 악성코드, 워드 또는 엑셀 매크로 바이러스, 스크립트 바이러스
3. 안레포트(AhnReport) 참고 사항
2. AhnReport의 이해
• 안레포트(AhnReport) 분석 대상 시스템
- 내부 네트워크에 과다 트래픽을 생성하는 시스템
- 주기적인 네트워크 트래픽 발생 시스템
- 시스템의 급격하게 느려지거나 비정상적인 이상 증상 발생
- 기타 시스템에서 알 수 없는 오류가 발생하는 경우
12. 12
• 시스템 확인
- 네트워크 내에서 감염이 의심되는 시스템을 확보
- 해당 시스템을 네트워크로부터 단절 후 일반 사용자의 사용 제한
- 시스템에서 실행 중인 모든 프로그램 종료
• 시스템 조사
- 안티 바이러스 및 안티 스파이웨어 프로그램이 최신 엔진이 적용되어 있는지 확인
- 시스템을 안전모드로 부팅한 후 안티 바이러스 및 안티 스파이웨어 프로그램으로 시스템
전체를 검사
- 시스템을 정상 윈도우 모드로 부팅 후에도 동일한 이상 증상이 발생하는지 확인
- 동일한 이상 증상이 재발할 경우 다양한 시스템 모니터링 도구와 AhnReport로
시스템 분석
1. 안레포트(AhnReport) 실행 전
3. AhnReport의 사용법
13. 13
- 감염으로 의심되는 시스템에서 안레포트(AhnReport)를 실행
- Save 버튼을 클릭하여 로그 생성 및 저장
2. 안레포트(AhnReport) 실행
[안레포트 최초 실행정보] [안레포트 저장]
3. AhnReport의 사용법
14. 14
- 안레포트를 전송에 필요한 기본 정보 입력
- 안레포트를 저장할 위치 선택하여 ZIP 파일로 압축하여 저장
3. 안레포트(AhnReport) 저장
[기본 정보 입력] [저장할 위치 선택]
3. AhnReport의 사용법
15. 15
- 로그 생성 및 저장 진행
- 로그 생성 및 저장이 완료
4. 안레포트(AhnReport) 로그 생성
[저장 진행] [저장 완료]
3. AhnReport의 사용법
16. 16
- 생성된 ZIP 파일의 로그 중 *.arp 확장자의 파일이 시스템 분석에 필요한 로그
- *.arp 파일을 메모장 또는 텍스트 편집기로 실행 후 로그 분석 진행
5. 안레포트(AhnReport) 로그 생성 완료
[생성된 로그 확인] [로그를 메모장을 이용해 실행]
3. AhnReport의 사용법
18. 18
• 시스템 정보 확인
- 운영체제 정보와 패치 그리고 서비스팩 설치 여부 확인
- 설치되어 있는 V3와 SpyZero 엔진 버전 확인
• 시스템 분석
- 검역소 정보를 확인하여 동일한 악성코드의 재감염 증상이 있는지 확인
- 실행 중인 프로세스 중 의심스러운 파일이 있는지 확인
잘못된 파일명, 잘못된 경로에 존재하는 파일, 사용자 계정으로 실행되는 파일
등록 정보가 없는 파일
- 시작 프로그램에 등록되어 있는 파일 중 의심스러운 파일이 있는지 확인
HKLM/~/Run, HKCU/~/Run, Shell, WinLogon 에 등록된 잘못된 파일
- 네트워크 포트를 오픈하여 외부로 통신하는 의심스러운 파일이 있는지 확인
다수의 포트를 오픈, 외부 네트워크로 접속하는 파일
1. 안레포트(AhnReport) 로그 분석
4. AhnReport 로그 분석
19. 19
- 운영 체제와 패치 정보, V3와 SpyZero의 엔진 버전 확인
- 검역소에 보관 중인 파일 확인
4. AhnReport 로그 분석
2. 시스템 정보 확인
[운영 체제와 엔진 정보] [검역소 확인]
20. 20
- 실행 중인 프로세스 중 잘못된 파일명, 경로가 잘못된 파일이 있는지 확인
- 사용자 계정의 권한으로 실행 중인 파일 중 파일 등록 정보가 없는 프로세스가 있는지 확인
3. 실행 중인 프로세스 분석
[실행 중인 프로세스] [권한과 등록정보]
4. AhnReport 로그 분석
21. 21
4. 시작 프로그램 분석
[시작 프로그램 확인]
4. AhnReport 로그 분석
- RegRun(Machine)
HKLM/~/Run에 등록된 파일
- RegRun(사용자 계정명)
HKCU/~/Run에 등록된 파일
- Shell(Machine)
기본 값으로 Explorer.exe만
등록되어 있음
- WinLogon(User)
기본 값으로 userinit.exe만
등록되어 있음
22. 22
- 다수의 네트워크 포트를 오픈하는 파일
- 외부 네트워크로 접속을 시도하는 파일
5. 네트워크 분석
[네트워크 확인]
4. AhnReport 로그 분석