참고 : https://cuckoo.sh/docs/installation/host/configuration.html#cuckoo-conf

 

Configuration — Cuckoo Sandbox v2.0.6 Book

The first file to edit is $CWD/conf/cuckoo.conf. Note that we’ll be referring to the Cuckoo Working Directory when we talk about $CWD. The cuckoo.conf file contains generic configuration options that you will want to verify or at least familiarize yourself

cuckoo.sh

 

* cuckoo.conf

 [cuckoo] - machinery

  - 쿠쿠 샌드박스 내에서 분석에 사용하는 가상머신의 이름을 넣어주시면 됩니다.

  (예를 들어... virtualbox 혹은 vmware)

* virtualbox 사용시 machinery 값

 [resultserver] - ip and port

  - 분석 결과를 리턴 받을 호스트 IP와 PORT를 입력해 줍니다.

     (host는 쿠쿠가 설치된 OS의 IP. 디폴트 PORT는 2042 .)

* resultserver IP 및 PORT 설정.

 [database] - connection

  - 내부 데이터베이스를 정의하며, 값을 입력하지 않으며, SQLite 사용.

 

 

* auxiliary.conf

 - 멀웨어 분석과 동시에 실행되는 스크립트로 다양한 옵션이 정의되어 있다.

 

* <machinery>.conf  - ( ex. vmware.conf, virtualbox.conf )

 - 쿠쿠 샌드박스가 게스트 가상머신을 구동시키 위한 옵션이 정의되어 있는 스크립트.

virtualbox.conf 캡처화면

 * label - 게스트 가상머신의 이름.

 * platform - 게스트 가상머신의 OS.

 * snapshot - 게스트 가상머신의 스냅샷 이름.

 

 * label, snapshot의 이름이 conf파일과 다른 경우 정상적인 실행이 불가능하다.

 

* memory.conf

 - memory.conf의 기본 섹션은 Volatility 프로파일과 프로세스 사용 후 메모리 덤프에 대한 설정을 할 수 있다.

 - 별도의 설정을 바꿔 줄 필요 없음.

 

 - 만약 Volatility 활성화를 원한다면 2단계 과정을 수행해야함.

    * 1단계 : conf/processing.conf 에서 volatility 활성화.

    * 2단계 : conf/cuckoo.conf 에서 memory_dump 활성화.

 

* processing.conf

 - 모든 프로세스 모듈을 구성하고 활성화/비활성화를 할 수 있는 파일.

 - snort, suricata, memory, virustotal_api 등 다양한 프로세스 모듈 설정 가능.

 - 만약 바이러스토탈 API를 사용하고 싶다면, 바이러스 계정 API key를 conf파일에 등록필요.

process.conf - 바이러스토탈 api 설정

* reporting.conf

 - report 생성에 들어간 정보를 포함하고 있는 파일.

 - elasticsearch, mongodb 등등 다양한 정보를 report 파일에 포함 할 수 있다.

PHP_die 함수를 통한 diescan 에 대해 알아보겠습니다.

 

원격 코드 실행 취약점과 함께 PHP_diescan이 다수 탐지되고 있습니다.

 

xx.php, wc.php, s.php 등등.. 페이지에 POST 접속을 시도하는데

이때 body에 포함 값에 die함수 함수가 있습니다.

 

PHP_die() 함수가 포함된 패킷

 

die 함수 는 현재 실행중인 스크립트를 종료하고, 입력받은 인자를 출력하는 함수입니다.

 

PHP_die() 예제

보통 "bye~ PHP"까지 출력을 해야하지만 die()가 호출된 시점에서 스크립트가 종료됩니다.

 

 

FortiGuard를 통해 확인한 PHP_Diescan 정보

PHP.Diescan

- HTTP Request에 PHP 코드를 악의적으로 사용하면서 탐지가 되었음. 

- 해당 공격을 통해서 공격자는 민감 정보를 취득할 수 있고, 그 정보를 통해서 추가적인 공격을 시도할 수 있음.

  * 출처 : https://fortiguard.com/encyclopedia/ips/47645

 

 

PHP.Diescan | IPS

This indicates detection of malicious usage of PHP code in HTTP requests.Through malicious PHP code, an attacker may be able to disclose sensitive information...

fortiguard.com

 

FortiGuard Weekly Threat Brief (19/3/29)를 참고하면 IPS 탐지 순위 4위에 위치하였습니다.

 

FortiGuard_weekly_19_3_29

https://fortiguard.com/resources/threat-brief/2019/03/29/fortiguard-threat-intelligence-brief-march-29-2019

 

FortiGuard Threat Intelligence Brief - March 29, 2019

FortiGuard Threat Intelligence Brief - March 29, 2019

fortiguard.com

* 정확한 탐지 시그니처는 확인할 수 없지만, 패킷덤프 확인이 die()가 포함되어 있었습니다.

 

 

* 해당 공격의 경우

 - die 함수를 통해서 웹페이지를 스캔하면서, 원격 코드 실행과 같은 취약점을 확인하기 위한 사전 작업으로 보임.

 - diescan 이후 원격 코드 실행이 같이 탐지되는 것을 확인.

 - 지속적인 diescan을 시도하는 IP는 주의가 필요함.

 

 

 

* 참고 

 die(md5()) reqeuset에 대한 외국 개발자 이야기.

 (https://curiousprog.com/2018/10/03/a-wordpress-die-md5-exploit/)

*파이썬을 통해서 메일 및 첨부파일 발송코드.

 - pip 별도의 설치 없이 smtplib를 제공.

 - 첨부파일의 경우 base64 인코딩과정이 필요.

 - 해당 테스트의 경우 구글 메일서버를 이용하였으며, 다른 메일 서버를 사용할 경우 도메인 및 포트 변경 필요.

 

SMTP를 이용한 파이썬 메일 발송 코드

'Python&C' 카테고리의 다른 글

Python 메일 발송(첨부파일 포함)  (0) 2019.05.21
C++) namespace  (0) 2019.01.05
c언어 - stdout, stderr의 차이점  (0) 2016.10.11
파이썬 구구단 출력하기  (0) 2016.08.08
C언어 - 하노이탑  (0) 2016.06.10
C언어 - 단순 연결 리스트  (0) 2016.06.04

+ Recent posts