전체 글

Research Engineer
Information Security/Malware

공다팩(Gondad EK) 분석 #02

Previous : 공다팩(Gondad EK) 분석 #01 1. Introduction 우선 공다팩을 분석하기 위해서는 자바스크립트 언어에 대한 이해도 필요하지만, 기본적으로 프로그래밍에 대한 지식이 있으면 쉽게 이해할 수 있다. 가령 try{} catch{} 구문이나, 메모리에 변수를 할당하고 삭제하는 부분 등을 예로 들 수 있다. 그 외 자바스크립트가 사용하는 다양한 함수들의 기능에 대해서는 구글 검색을 통해 이해할 수 있다. 만약 직접 자바스크립트 언어를 테스트하거나 디버깅 하고 싶다면 브라우저의 개발자 도구를 이용하는 것을 추천한다. 최근 브라우저들은 개발자 모드를 제공하는데, 특히 Console 탭에서 자바스크립트 언어를 인터프리터 형태로 실행하고 결과를 받아 볼 수 있다. 이는 브라우저가 사용..

Information Security/Malware

공다팩(Gondad EK) 분석 #01

01. Introduction 국내 공격을 많이 진행하고 있는 공다팩에 대해 연재하려고 한다. 공다팩은 자바스크립트 언어로 난독화된 특정 소스코드를 지칭하며, 해당 난독화를 해제하면 취약성을 가지는 코드를 이용하여 악성코드를 유포하는 자바스크립트 소스코드를 볼 수 있다. 국내 사용자들이 방문하는 웹 서버를 공격하여 웹 페이지를 변조하고, 공다팩 페이지로 방문하도록 유도하여 악성코드 감염을 노린다. 물론 여기서 방문은 사용자의 이벤트에 의한 브라우저의 방문이 아닌 소스코드에 의한 강제적인 브라우저의 방문에 해당한다. 즉, 드라이브 바이 다운로드 공격에서 공격 페이지(Exploit Page)에 사용되는 난독화 코드이다. 02. Pack? Kit? 기본적으로 다양한 웹킷들을 보고있자면, 팩이라는 단어와 킷이라..

Information Security/Seminar

웹 타임 - 차세대전문가 포럼

중국 온라인 지하산업경제 동향중국 온라인 지하경제 산업구조실물 자산 도난가상 자산 도난인터넷 자원 악용블랙햇 기술, 도구 그리고 교육결론

Information Security/OpenSource

How to using volatility in Cuckoo Sandbox

1. Introduction 이번에 소개할 Cuckoo Sandbox의 기능은 볼라티리티(Volatility)이다. 볼라티리티는 파이썬으로 제작된 메모리 분석 프레임워크로 다양한 기능을 구현한 플러그인이 있으며, 사용자가 필요한 기능이 있으면 해당 기능에 대한 플러그인을 제작하여 사용할 수 있다. 볼라티리티에 관한 문서는 많으며, 이 주제에 대한 책도 많은 소개가 되어 있다. 국내에서는 포렌식 관점에서 작성된 도서들에서 이 도구에 대해 다루고 있다. Cuckoo Sandbox와 볼라티리티는 둘다 파이썬으로 제작되어서 쉽게 접합하여 사용한 것으로 파악된다. 볼라티리티의 기능을 구현시킨것은 Cuckoo 버전 1.0 부터이며, Cuckoo가 볼라티리티에 대한 언급은 0.4.1 버전부터 (문서 참조) 시작했다...

Information Technology/Operation System

레파지토리(Repository) 리스트와 적용 방법

1. Introduction 여기서 소개하려는 레파지토리는 리눅스 운영체제 운영 시 다른 레파지토리 사용을 사용하면 빠른 다운로드 및 설치를 할 수 있다. 보통 귀찮아서 설정안하는데, 설정해보니 이건 꼭 해야겠다고 생각이 들어 정리해 보았다. 대부분 기본 국내 레파지토리는 kr.archive.ubuntu.com를 사용하는데 다음 리스트를 사용해 봐도 좋을 것 같다. 개인 레파지토리 mirror.premi.stftp.lecl.net 기업&대학 레파지토리 ftp.kaist.ac.krftp.neowiz.comftp.daum.netftp.jaist.ac.jp 사용자 평가 사용자들이 레파지토리를 이용할때, 안정성, 속도, 레파지토리의 업데이트 속도 등 고려한다. 인터넷을 찾아 봤을 때 다음과 같이 평가되는 것으로..

Notice/Main

칼리 리눅스와 백트랙을 활용한 모의해킹, 에이콘 출판사

이번에 "칼리 리눅스와 백트랙을 활용한 모의해킹, 에이콘 출판사"의 공동 저자로 등록되었습니다. 기존의 "백트랙을 활용한 모의해킹"에서 개정판을 내면서 참여하게 되었는데, 이러한 영광을 주신 기존의 저자 박병욱, 임종민, 이경철 님께 감사드리며 늘 따뜻하게 보살피고 끊임없이 생각하며 연구하도록 도와주시는 조정원 선배님께 감사드립니다. 저자/역자 소개가 영 마음에 안드네요^^ 다음에는 더욱 잘 써보도록 하겠습니다. * 사진을 클릭하면 에이콘 사이트로 넘어갑니다.

Information Security/OpenSource

How to install malcontrol

1. Introduction malcontrol은 악성코드 분석 웹 사이트로부터 오픈 데이터를 받아 관제하는 "Malware Control Monitor"라 불리는 프로젝트이다. 오픈 데이터 리스트는 다음 웹 사이트에서 받아온다. malwrphishtankurlqueryvirscanwebinspectordomainlistmalc0de 이 도구는 Node.js로 운영되고 mongodb를 사용하며, 설치는 npm으로 한다. npm은 Node Packaged Modules의 약자로 Node.js에서 사용되는 모듈을 패키지 형태로 모아놓은 도구이다. 2. Environment OS : Ubuntu 12.04 LTS 64bit on VirtualboxCPU : 4개MEM : 2048MBNode.js : v0.10..

Information Security/OpenSource

How to using api.py in Cuckoo Sandbox

1. Introduction 이번에 소개할 내용은 Cuckoo Sandbox의 api.py를 이용한 api기능 사용 방법이다. Cuckoo 1.0에서 제공하는 api.py는 REST API로 curl로 요청을 보내고 curl로 데이터를 받아 올 수 있다. REST API의 상세한 내용은 위키피디아에서 볼 수 있으며, Cuckoo가 agent 와의 통신에 사용하는 XML-RPC 프로토콜도 REST API로 분류할 수 있다. REST API를 통하면, 어떤 언어를 사용하는 시스템이든 결과값을 데이터베이스화 하여 출력할 수 있다는 장점이 있어 Cuckoo를 손 쉽게 기능화 할 수 있다. api.py를 사용하여 REST API를 이용하는 부분은 Cuckoo Documentation에 충분히 소개되어 있다. 이 ..

hakawati
Hakawati Security Lab