본문 바로가기
반응형

Security57

Hidden Process – CreateDesktop 예전에 찾았던 자료인데, 단순하면서도 재미있는 코드라서 다시 정리해봤다. 아래 링크를 보면 윈도우의 세션 관리 기능을 이용해서 프로세스를 다른 데스크톱에서 실행하여 사용자에게 숨길 수 있는 코드를 예제로 제공한다. https://github.com/MalwareTech/CreateDesktop/blob/master/Main.cpp 위 코드와 관련하여, 함께 봐야 할 내용이 윈도우에서 어떻게 세션을 관리하는지에 대한 내용을 이해할 필요가 있다. https://blogs.msdn.microsoft.com/coreinternals/2009/08/19/session-window-station-desktop/ 요약해 보면, 윈도우는 사용자가 로그인하거나 서비스가 실행되는 세션 관리를 위해 Windowstation.. 2020. 12. 2.
WMI 원격 실행 보안 WMI는 윈도우 관리에 편리한 프로토콜이지만 이를 이용한 해킹도 많이 일어나는 만큼 각별한 주의가 필요하다. 만약 WMI를 이용하지 않는다면 WMI의 원격 명령 실행을 할 수없도록 보안하는것이 좋다. 아래는 원격지에서 WMI를 통해 쉘코드로 명령프롬프트를 생성하여 명령을 실행하는 악성코드의 일부분이다. ”On Error Resume Next Set outstreem=Wscript.stdout If (LCase(Right(Wscript.fullname,11))=”Wscript.exe”) Then Wscript.Quit End If If Wscript.arguments.Count 2020. 12. 2.
Popular hackers use Malicious Fake File Extensions In the following article, you can see that the virus can be infected by using the extension of Windows execution structure. https://www.howtogeek.com/127154/how-hackers-can-disguise-malicious-programs-with-fake-file-extensions/ The known extension hiding function is provided for the user convenience in Windows. Hackers often infect and infect with an extension icon used by a famous program. Dang.. 2020. 12. 2.
DNS - 1.1.1.2/1.1.1.3 가족과 함께 사용한다면, Block to Malware and Adult CloudFlare에서 제공하는 1.1.1.1은 세계적으로 빠르고 유명한 DNS이다. 여기에 추가적으로 다음과 같은 멜웨어와 성인 컨텐츠를 DNS에서 차단하는 용도를 추가적으로 제공하고 있으니, 용도에 맞게 사용하면 효율적이다. 특히 가족이 집에서 사용한다면, 성인 컨텐츠 및 위험 도메인을 차단해주는 1.1.1.3 이 효율성이 높다. 정리하자면 다음과 같다. 가족이 함께 사용하는 집에서 사용하는 경우 별도의 차단 설정 없음 1.1.1.1 1.0.0.1 멜웨어와 같은 위험 도메인 차단 1.1.1.2 1.0.0.2 멜웨어 차단 DNS로 유명한 9.9.9.9 이 더 효율성이 높다는 의견이 많다. 따라서 1.1.1.2를 사용한다면, 9.9.9.9를 사용하는 것과 비교하여 검토를 진행해볼 필요성이 있다. 멜웨어와.. 2020. 12. 1.
침해 분석 - 가장 중요한 포인트 침해 분석을 진행할 때 가장 중요한 포인트는 무엇일까? 바로 해당 머신이 침해인가를 확인하는 것. 이를 위해 우리가 살펴봐야 하는 포인트는 3가지 이다.(침해 분석에 Hardware 도 포함 되어야 하지만 대부분 Hardware에 대한 침해은 어렵고, 많지 않기 때문에 여기에서는 예외한다.) 1. Malware Malware가 실행되었는지를 확인해야 한다. OS를 변경하거나 File을 생성혹 변경하고 네트워크 활동을 할 수 있다. 따라서 Malware를 확인 할 때, Malware는 Kernel 혹은 User 모드로 실행되어 Process 자체만으로 확인이 어려울 수 있고, Dropper 와 같이 변형이 일어날 수 있기 때문에 Process와 함께 File과 Network 활동을 같이 확인해야 한다. M.. 2020. 11. 19.
WannaCryptor랜섬웨어 관련 대응 요령 – smb v1 비활성화 https://youtu.be/9t94MgW3lRw 위 비디오는 SMB v1 비활성화 방법을 설명합니다. 레지스트리 방식도 있지만 위 방법이 보다 효과적일 것 같네요. 우선 본인 PC가 렌섬웨어에 걸리지 않은 상태에서 동일한 네트워크 상에 다른 PC로 부터 감염을 최소화 하는 방법들입니다. 만약 렌섬웨어에 걸렸다면, SMB v1을 비활성화 하는 것으로 보호할 수 없습니다. 따라서 다음 3가지 조치를 모두 진행해주시기 바랍니다. 1. 모든 Microsoft Windows 시스템에 최신 Microsoft 패치를 적용하십시오. 2. WannaCrypt 탐지가 현재 백신의 현재 엔진에서 가능합니다. 백신을 업데이트하고 전체 검사를 수행하십시오. 3. SMB v1을 비활성화하십시오 – 위 영상보기, 기업에서 효과.. 2020. 11. 18.
Websecurify – 무료 웹 취약점 분석 도구 인터넷의 웹사이트가 최근 사용자들의 기본적인 업무와 고객 지원용도로 이용되면서 많은 웹사이트들이 만들어지고 있다. 하지만 웹이라는 특성으로 모든 사용자들이 손쉽게 이용할 수 있어, 웹 사이트의 보안 취약점으로 인해 내부 시스템과 연결될 수 있는 가능성이 존재하게 된다. 아무리 시스템 보안이 잘되어 있더라도, 응용서비스인 웹 서비스의 개발 문제점으로 인해 내부 시스템을 침입하거나, 이용자들의 정보를 따로 빼돌릴 수 있는 등 큰 문제점을 야기 할 수 있는 것이다. 3부에서 OWASP Top 10의 취약점을 수동으로 진단할 수 있는 방법에 대해 애기한 적이 있다. 하지만 수많은 사이트를 반복적으로 수동으로 진단한다는 것은 참으로 비 효율적인 작업이라 할 수 있다. 데이터 조작이 필요한 부분, 중요 사이트에 대.. 2020. 11. 18.
Pantest - Recon-ng scanning for XSS vulnerabilities https://www.youtube.com/watch?v=rrpcjrCceRk If you run kaillinux 2.0 default install recon-ng. This tool is a good scanning tool that can acquire multiple pieces of information about the target you want to attack. The tool can be run simply from the CLI via the command recon-ng. recon-ng An important part of Recon-NG is the use of extension modules. Commands can be verified through the show moud.. 2020. 11. 18.
Visual Studio - AddressSanitizer C++과 같이 메모리 포인터를 직접 관리해야하는 경우 메모리 스택을 오버플로우를 발생시켜 의도하지 않은 명령응 실행해 우리가 예제에서 많이본 메모장 계산기를 실행하여 보여주는 code Execution 공격이 가능하다. 네트워크 기능을 결합하몀 Remote code execution인데 이를 개발시점에 보완하는게 좋다. 최근 Visual studio에 메모리 주소와 관련된 취약점을 확인해주는 AddressSanitizer가 추가되었다. 아래와 깉은 보안 위협에 도움을 줄 스 있으므로 C++개발한다면 우선 고려해보는게 좋겠다. stack-use-after-scope stack-buffer-overflow stack-buffer-underflow heap-buffer-overflow (no underflow.. 2020. 11. 17.
반응형