로픽의 IT블로그

Atlassian 제품 보안 업데이트 권고 (CVE-2023-22527) * 최근 Atlassian 제품 관련 원격 명령 실행 취약점이 다수 탐지되고 있습니다. * 아래와 같은 Atlassian Confluence 제품취약 버전을 사용하는 곳은 업그레이드 권고드립니다. * KISA 보안 동향 : https://knvd.krcert.or.kr/detailSecNo.do?IDX=6076 보안 취약점 정보 포털 닫기 검색 knvd.krcert.or.kr * 벤더 공지 : https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluen..

cuckoo 실행 명령어 - ./cuckoo - 디렉토리 : /home/cuckoo cuckoo web 실행 명령어 - ./cuckoo web runserver - 디렉토리 : /home/cuckoo 구성 환경 - Host OS : Ubuntu 22.04.2 LTS

악성코드 유형 * 다운로더 (Downloader) - 인터넷에서 악성코드의 다른 일부를 다운로드한 후 로컬 시스템에서 실행 - WinExec, URLDownloadtoFileA 사용 * 실행기 (launcher) - 현재 실행이나 추후 실행을 은닉하기 위해 악성코드를 설치하는 특정 실행파일 * 백도어 (Backdoor) - 공격자가 희생자 머신에 원격 접속할 수 있게 도와주는 악성코드 * 리버스 셀 (reverseshell) - 감염된 머신에서 출발하는 연결이며, 공격자에게 해당 머신에 대한 접속을 허용 * 원격관리도구 (RAT) - 원격에 있는 컴퓨터들을 관리할때 사용 * 봇넷 (Botnet) - 좀비로 알려진 침해 호스트의 집합 ** RAT와 봇넷의 차이 - 봇넷은 다수의 호스트를 감염시키고 통제하는..

악성코드 (Malware) - 멀티스레드를 자주 사용 - DLL 파일도 디버그 가능 - 트레이스 : 자세한 실행정보를 기록하는 디버깅 기술 - Windbg : 마이크로소프트 윈도우 다용도 디버거 : 커널 디버깅의 초점 커널 (Kernel) 커널 드라이버 애플리케이션 - 악의적인 드라이버는 일반적으로 하드웨어를 제어하지 않는 대신 윈도우 커널 컴포넌트와 통신 윈도우 (Windows) - Symbol : 단순히 특정 메모리의 주소의 이름 - 악성코드는 쉽게 들키지 않기 위해 커널 공간에서 파일을 쓴다 - 커널 모드에서 NtCreateFile과 NtWriteFile API 사용 - Vista 이후 윈도우는 boot 설정 데이터에 BCDEdit 프로그램 이용 - PatchGuard : 커널 보호 패치 매커니즘 ..

랜섬웨어(ransomware) 대응 관련 참고 자료 많은 개인 혹은 기업이 랜섬웨어로 인한 피해를 보고 있습니다. 악성코드 감염이 의심되는 파일 및 메일을 열어보지 않거나 감염을 대비한 파일 백업은 매우 중요하지만 쉽지 않습니다. 악성코드 삭제 및 백업을 하더라도 언제나 랜섬웨어에 감염될 수 있으며 조치하여도 재감염될 수 있습니다. 랜섬웨어 예방법 1. 발신인이 불분명한 메일 삭제 2. 메일 첨부파일 다운로드 시 잘 알려지지 않은 확장자 파일 열지 말고 삭제 3. 업무 상 중요파일 주기적인 백업 4. 불필요한 파일 공유 시스템 설정 끄기 랜섬웨어 감염시 조치 방법 1. 랜섬웨어 감염PC로 인한 2차 피해 방지를 위해 인터넷 선 뽑기 2. 암호화된 파일 확장자 및 랜섬노트를 확인하여 랜섬웨어 종류 확인 후..

DrayTek.Vigor.Router 취약점 - 대만 네트워크 장비 제조업체 DreyTek 장비 취약점. - 임의의 코드를 실행할 수 있는 취약점으로 성공 시 원격 공격자는 시스템에 코드 실행 및 권한 탈취를 할 수 있다. - 벤더사 권고버전 패치 필요 (v1.5.1) - 참고 페이지 : https://www.draytek.com/about/security-advisory/vigor3900-/-vigor2960-/-vigor300b-router-web-management-page-vulnerability-(cve-2020-8515)/ Vigor3900 / Vigor2960 / Vigor300B Router Web Management Page Vulnerability (CVE-2020-8515) Linux..

HTTP Request Smuggling - 리버스 프록시와 백엔드 서버 간의 HTTP Request 패킷을 처리하는 방식의 차이로 인해 발생합니다. 출처 : https://guleum-zone.tistory.com/170 HTTP Request Smuggling(HTTP Desync Attack) 취약점 개요 HTTP Request Smuggling은 Watchfire에 의해 2005년에 처음 등장하여 수면 속에 숨어 있다가 2019년 DEFCON과 BlackHat에서 해당 취약점의 을 이용한 새로운 벡터와 위험도를 검증하면서 인지도가 높아진 guleum-zone.tistory.com

Malware_Analysis 실습 1-1 정적분석 기초 정적분석 실습 으로아래 출처를 기반으로 작성하였습니다. 출처 : https://book.naver.com/bookdb/book_detail.nhn?bid=7327943 실전 악성코드와 멀웨어 분석 악성코드 분석 지침서. 악성코드 분석의 초심자를 비롯해 중고급자에게 충분한 지식을 전달할 수 있게 구성되었으며, 악성코드 분석 기법과 사용 도구, 그리고 악성코드 분석의 고급 기법을 다 book.naver.com 출처 : https://inf.run/Nib5 윈도우 악성코드(malware) 분석 입문 과정 - 인프런 | 강의 입문자를 위한 악성코드 분석 과정의 단기 온라인 과정입니다., - 강의 소개 | 인프런... www.inflearn.com Malw..

리버싱) 레나튜토리얼-3 (Oops binary 수정) - 레나튜토리얼-3 에 nag 제거와 함께 포함된 Oops 파일이 존재 - 해당 파일은 실행엔 문제 없으나 PEview를 보면 IMAGE_SECTION_HEADER 가 확인되지 않음 - IMAGE_NT_HEADERS 구조체가 조작되었으며 binary를 수정하여 조치 가능 레나튜토리얼-3 (Oops binary 수정) HxD 를 이용한 Oops binary 수정 * 원본파일 업로드 - ( 분석 > 데이터 비교 > 비교 ) - 정상 파일 업로드 - 비교 * 비교 값 확인 후 원본파일 수정

레나튜토리얼-3 (nag 제거) - 프로그램 실행시 발생하는 2개의 경고 창을 제거하는 문제 - JMP 명령을 통해 경고 창을 제거할 수 있으나 레나에서는 ImageBase와 EntryPoint 조작하는 방법을 이용 간단하게 알아둘 PE 파일 구성요소 * ImageBase : 로드할 가상 메모리 주소 * AddressOfEntryPoint : 파일이 메모리에서 시작되는 지점 프로그램 실행 화면 1, 3번 경고창을 제거해야함 Ollydbg 실행화면 - 00401000 : 프로그램 시작점 (EntryPoint) - 0040101F : 1번 경고창을 띄우는 메시지박스 - 00401047 : 3번 경고창을 띄우는 메시지박스 * 경고창 제거 방법 - 1번 경고창 : EntryPoint를 00401024로 변경하여..