로픽의 IT블로그

vBulletin 관련 제로데이 취약점 https://unit42.paloaltonetworks.com/exploits-in-the-wild-for-vbulletin-pre-auth-rce-vulnerability-cve-2019-16759/ Exploits in the Wild for vBulletin Pre-Auth RCE Vulnerability CVE-2019-16759 A new zero-day vulnerability was recently disclosed for vBulletin and now, several weeks later, Unit 42 researchers have identified active exploitation of this vulnerability in the wild..

제 13회 국제 시큐리티 컨퍼런스 2019.10.01(화) ~ 02(수) / 코엑스 그랜드볼륨 "REAL" - 초연결 시대의 사이버 보안에서 물리적 보안에 이르기까지 다양한 보안위협은 우리 모두의 현실이다! * AI, 머신러닝, 클라우드, 융합보안 등 다양한 주제의 강연 진행

19년 7월 30일 국내 정보보호 기업 M사의 유효한 코드서명 인증서를 포함한 악성코드가 발견되었습니다. 이번 악성코드 공격은 안다리엘이라는 북 해커조직이 주로 사용하는 특정 암호 알고리즘을 포함하고 있다고 합니다. * 보안뉴스 기사 https://www.boannews.com/media/view.asp?idx=81889&utm_source=dable [긴급] 北 추정 해킹그룹, 보안업체 코드서명 인증서 또 악용 국방 및 방위산업체와 ATM, 여행사 등을 공격한 것으로 잘 알려진 북한 추정 국가지원 해커조직의 새로운 공격이 30일 발견돼 관계기관이 비상에 걸렸다. www.boannews.com 해당 악성코드에 대한 이스트시큐리티의 분석리포트를 보면, 악성코드에 감염이 되면 스케줄러에 자기자신을 등록하고 ..

악성코드 자동화 분석도구 중 하나인 Cuckoo Sandbox를 통한 악성코드 샘플 분석 결과이다. (샘플분석은 "리버싱 이 정도는 알아야지" 서적을 참고하여 작성하였습니다.) 분석파일 : Challenge02.exexx 분석 소요시간 : 3~4분 분석 report : html Summary - 악성파일의 전체적인 행위를 요약. * Summary : 파일사이즈, 타입, MD5, SHA1 및 샘플파일 Score 확인가능. * Signatures : 악성코드를 실행한 PC정보, 악성 행위, 파일 속성 변경 등등 행위에 대한 간단 요약. * Static Analysis : 악성파일의 정적분석 결과 확인. * Behavioral Analysis : 악성파일 동적분석 결과 확인. * Dropped Files : ..

참고 : https://cuckoo.sh/docs/installation/host/configuration.html#cuckoo-conf Configuration — Cuckoo Sandbox v2.0.6 Book The first file to edit is $CWD/conf/cuckoo.conf. Note that we’ll be referring to the Cuckoo Working Directory when we talk about $CWD. The cuckoo.conf file contains generic configuration options that you will want to verify or at least familiarize yourself cuckoo.sh * cuckoo.co..

PHP.Diescan 원격 코드 실행 취약점과 함께 PHP_diescan이 다수 탐지되고 있습니다. xx.php, wc.php, s.php 등등.. 페이지에 POST 접속을 시도하는데 이때 body에 포함 값에 die함수 함수가 있습니다. die 함수 는 현재 실행중인 스크립트를 종료하고, 입력받은 인자를 출력하는 함수입니다. 보통 "bye~ PHP"까지 출력을 해야하지만 die()가 호출된 시점에서 스크립트가 종료됩니다. FortiGuard를 통해 확인한 PHP_Diescan 정보 - HTTP Request에 PHP 코드를 악의적으로 사용하면서 탐지가 되었음. - 해당 공격을 통해서 공격자는 민감 정보를 취득할 수 있고, 그 정보를 통해서 추가적인 공격을 시도할 수 있음. 출처 : https://for..

Joomla! 란? - CMS (컨텐츠 관리 시스템)으로 Wordprees와 같은 외국형 CMS. - Mysql 데이터베이스를 이용해 웹상에서 다양한 컨텐츠를 관리, 보관, 출판. - 현재 3.9 버전까지 개발. Joomla 원격 코드 실행 취약점 - 세션 데이터에 비상적인 User-Agent 문자열을 삽입하여 잘못된 세션 핸들러 로직을 통해 데이터베이스에 저장되는 취약점. - 영향 받는 버전 : Joomla 1.5 ~ 3.4.5 버전 - 해결방안 : Joomla 3.4.6 버전 이상으로 업데이트 필요 취약점 공격 * 취약점은 함부로 악용하시면 안됩니다! - 취약점 버전 : Joomla 3.4.1 - 취약점 공격코드 : Python - https://www.exploit-db.com/exploits/38..

레나튜토리얼1. reverseMe* 다양한 리버싱 방법이 있으며, 문제 해결에 집중하였습니다.* 수정할 부분이나 더 좋은 방법이 있으시면, 댓글 부탁드립니다. 레나튜토리얼 첫번째 reverseMe를 실행파일을 실행하면 출력되는 메시지 박스. * 평가판 기간이 끝났습니다. 새로운 라이센스를 구매해주세요 이 문제는 리버싱을 통해서 메시지 박스를 변경하여 출력하면 됩니다. * 풀이 => 40107B - JNZ 명령어를 JMP 명령으로 수정. => 4010B0 - JNZ 명령어를 JMP 명령으로 수정. => 4010BF - JL 명령어를 JG로 수정. => 4010D6 - JL 명령어를 JG로 수정. 올리디버거를 통해서 실행파일을 디버깅하면 401000부터 디스어셈블 창에 표시됩니다. F8 을 눌러 하나씩 아래..