Information Security

패커? 실행 파일 압축기 사용목적 PE 파일의 크기를 줄이고자 하는 목적 PE 파일 내부 코드와 리소스(string, API)를 감추기 위한 목적 프로텍터? 패킹 기술 리버싱을 막기 위한 다양한 기법 추가 원본 파일보다 크기가 커질 수 있음 패킹을 하기 전에는 Original excutable before packing의 상태로 실행파일이 존재한다. text seciton에는 어셈블리언어가 실행될 수 있는 코드가 들어가 있는 부분으로 일반적으로 text section에 EP가 지정된다. 패킹을 하면 해당 형태는 사라지고 Packed original code, Unpacking stub의 형태로 변하게 된다. Unpacking stub는 프로그램이 실행될 때 Packed original code의 압축을 ..

루트킷이란? 흔적을 남기지 않는 도구를 뜻함 (침투를 성공한 공격자가 은밀하게 침투한 상태를 유지하도록 도와주는 프로그램) 루트킷 기능 4가지 프로세스 숨기기 파일 숨기기 네트워크 커넥션 숨기기 시스템에 접속하기 위한 백도어 설치 DKOM 커널 오브젝트 직접 조작 유저 모드의 프로세스나 디바이스 드라이버와 포트 숨기기, 토큰 변경 등을 위하여 사용 1. 커널 커널 영역에서의 변경을 이야기한다. 때문에 유저 영역 프로그램으로는 이를 조작할 수 없음을 뜻한다. 2. 오브젝트 커널에서는 구조체를 오브젝트라 표현하는데 프로세스 숨기기의 경우, 프로세스의 정보를 가진 EPROCESS 구조체의 일부를 조작한다. 3. 직접(Direct) 원래 커널 오브젝트 관리자(Object Manager)를 통해서 이뤄져야 할 변..

후킹이란 정보를 가로채거나 실행 흐름을 변경하여 원래와는 다른 기능을 제공하는 기술 Method Object Location Technique API static file 1) IAT 2) CODE 3) EAT X X dynamic Process Memory (000000000 ~7FFFFFFFF) A) Debug (Interactive) DebugActiveProcess GetThreadContext SetThreadContext B) Injection (Statndalone) B-1) Independent Code CreateRemoteThread B-2) Dll File Registry(Appini_DLLs) BHo(IE only) SetWindowsHookEx CreateRemoteThread 메..

Netlogon은 도메인 내 사용자를 인증하는 Windows Server의 서비스 중 하나로 컴퓨터와 도메인 컨트롤러 간 보안채널을 생성한다. CVE-2020-1472는 공격자가 MS-NRPC(Netlogon Remote Protocol) 취약점을 이용해 도메인 컨트롤러(DC)에 취약한 보안 채널 연결을 설정하여 발생하는 권한상승 취약점이다. 공격자는 도메인 컨트롤러에 별도의 권한 없이 네트워크 연결만으로도 취약점을 악용할 수 있어 위험도가 매우 높다. S/W 구분 취약 버전 Windows Server 2008 ~ 2019 역할 구분 공격자 Kali-linux-2020.3 피해자 Windows Server 2019 취약점 테스트 파이썬 네트워크 프로토콜 작업을 위해 impacket을 다운로드하였다. Im..

SSL Pinning.apk를 jadx파일을 열어 AndroidMainfest.xml에서 package 이름을 확인했다. PinnedSSLDemoActivity 클래스 내의 onSubmit() 메서드가 호출되었을 때, SSL Pinning 사용 체크박스에 체크가 되어 있다면 sslContext 라는 변수에 getPinnedSSLContext() 메소드의 반환 값이 저장된다. 체크가 되어 있지 않다면 기본값인 NULL이 저장된다. 이 sslContext 의 값에 따라 SSL Pinning이 적용된 암호화 통신을 할지 안 할지 결정하는 것을 알 수 있다. sslContext의 값을 결정하는 getPinnedSSLContext() 메서드의 로직을 확인해 볼 필요가 있다. 해당 메소드의 반환 값은 SSLCont..

사용자가 로그인할 때까지 기다리는 프로그램 윈도우에 저장되어 있는 정보(패스워드 해시)를 덤프 하는 프로그램 키 스트로크를 로깅하는 프로그램 Tables 메뉴에서 Install을 클릭하면 Browse For Folder 메뉴에서 ophcrack의 tables에 xp_free_small 선택했다. XP free small 선택 후 install 시 빨간불에서 초록불로 변경되는 것을 알 수 있다. ophcrack 프로그램 Table에 XP free small이 초록불로 보이는 것을 알 수 있다. Load 메뉴에서 Local SAM with samdump2 클릭한다. 계정들이 보여지는 것을 알 수 있다. Crack 버튼을 클릭하면 계정의 패스워드가 크랙 된 것을 알 수 있다.

백도어 공격자의 접근을 허용할 목적으로 컴퓨터에 자기 자신을 설치하는 악성코드다. 백도어는 공격자가 부분 인증이나 무인증으로 컴퓨터에 접속해 로컬 시스템에서 명령어를 실행할 수 있다. 메타스플로잇을 실행시킨 후 8180 포트 Tomcat 관리자 페이지로 접속했다. Tomcat Manager 메뉴를 클릭후 tomcat/tomcat 로그인했다. Tomcat Manager 페이지를 보면 해당 페이지 경로를 확인할 수 있다. 하단을 보면 업로드 메뉴가 있어 shell.war 파일을 업로드하였다. 경로를 다시 보게 되면 shell이 업로드된 것을 알 수 있다. shell.jsp 페이지 접속하면 WebShell이 정상적으로 업로드 된 것을 알 수 있다. Launch command 버튼 클릭 후 ls -al 명령어 ..

SSL Pinning 클라이언트 측에서 사용하는 기법으로, SSL 통신에서 취약하다고 알려져 있는 중간자 공격을 방지할 수 있다. 클라이언트 측에 신뢰할 수 있는 인증서들을 저장하고, 이는 이후 실제 통신 과정에서 서버가 제공하는 인증서와 비교하는 데 사용된다. 만약 이 과정에서 미리 저장된 인증서와 서버가 제시한 인증서가 일치하지 않는다면, 연결은 중단될 것이고, 유저의 정보가 서버로 전송되지 않을 것이다. 이런 방식으로 클라이언트 측에 설치되는 다른 인증서로는 통신이 되지 않고 서버에서 제공하는 인증서로만 통신할 수 있게 하는 것이다. Burp Suite와 같은 프록시 도구를 사용해서 서버와 통신하는 패킷을 중간에 가로챌 수 있지만, 이 SSL Pinning이 적용된 클라이언트에서 보내는 패킷은 중간..