3.3. Preparing the Guest OS 3.3.1. Creation of the Virtual Machine and Installing Windows and Vulnerable Applications 가상머신 생성할 때 중요한 점은 "악성코드가 활발히 활동하기에 있어 충분한 환경인가?" 이다. 물리적 스펙으로 인해 악성코드의 실행에 있어 좋은 퍼포먼스가 나오지 않는다면 Cuckoo를 운영할 필요가 없기 때문이다. (Cuckoo가 아닌 선택이라면 Capture-BAT이나, 꼭 Cuckoo를 운영하고 싶다면 듀얼 부팅과 같은 다른 대안이 있다.) 대개 Sandbox들의 메모리는 512MB, Ubuntu는 2GB로 코어는 각각 1개와 4개로 주는 것을 권장한다. 윈도우를 Sandbox로 사용할 때 ..
1. Introduction HoneyClient 중에서 High-Interaction HoneyClient 중 하나인 Cuckoo 1.0의 설치 문서이다. Sandbox라는 환경을 구성하여 악성코드를 실환경과 격리를 시킨 후 악성코드를 실행하여 행위를 분석한다. 추가적인 다양한 모듈을 통해 패턴 탐지 방식을 이용한 일부 정적 분석도 가능하다. 이 블로그의 주제에 맞게 Drive-By Download 형태의 공격 탐지는 Cuckoo 0.5 버전부터 URL을 입력 받아 분석할 수 있다. 또한 현재 정리하는 Cuckoo 1.0 버전 부터는 메모리 분석 도구인 Volatility와 취약성 평가 시스템 및 데이터베이스를 운영하는 Mitre의 maec 모듈도 추가 되어 다방면으로 활용할 수 있을 것으로 예상된다...
1. Introduction 하둡(Hadoop) 공식 홈페이지에 업로드 되어 있는 컴파일 된 하둡을 사용할 때 다음과 같은 문제가 발생하였다. (사실 하둡만을 운영 한다면 문제 될 에러는 아니다. Java의 native 라이브러리를 사용하려고 한다면 해결해야 할 문제이다.) WARN util.NativeCodeLoader: Unable to load native-hadoop library for your platform... using builtin-java classes where applicable 이 오류는 32비트 운영체제에서 컴파일 된 것이기 때문에 64비트에서 사용하게되어 WARNING 에러가 발생한다. 그래서 이 문서에서는 하둡 2.2.0을 64비트로 컴파일하여 Psedo-Distribute..
1. 개요 Kali Linux에서 Python-pip로 yara 라이브러리를 설치하면 설치되지만, 파이썬에서 yara 라이브러리를 사용하려고 하면 다음과 같은 에러가 발생한다. GLIBC_2.14는 GNU C Library의 약자로 GNU 프로젝트에서 만든 C 언어 표준 라이브러리의 한 종류이다. Kali Linux는 Debian Wheezy 버전을 따라간다. 따라서 레파지토리(Repository)가 비록 Kali의 레파지토리로 되어 있어도 Dabian Wheezy의 패키지들을 다운로드 받고 설치한다고 볼 수 있다. GLIBC는 libc6 패키지와 개발버전인 libc6-dev 패키지를 통해 설치할 수 있으며, 커널에 설치되는 커널 패키지이기 때문에 설치한 운영체제의 비트에 따라 설치할 패키지가 달라진다...
1. 개요 Thug가 구글의 자바스크립트 엔진인 V8을 사용한다면, PhoneyC는 모질라 재단의 자바스크립트 엔진인 SpiderMonkey를 사용한다. SpiderMonkey는 V8보다 다소 무겁고 느리다. 하지만 Thug에는 다양한 기능이 구현되어 있는 반면 PhoneyC는 단순한 형태(크롤링 기능이 구현되어 있지 않다.)이며 릴리즈가 중단된지 오래되어 구현과정이 단순하고 탐지 속도가 빠른 장점이 있다. tools/phoneyc$ svn info 경로: . URL: http://phoneyc.googlecode.com/svn/phoneyc/trunk 저장소 루트: http://phoneyc.googlecode.com/svn 저장소 UUID: fc4c6f4e-0ff0-11de-8c37-e1423f7a4..
1. 개요 Client Honeypot 종류들 중에 이슈의 중심은 Thug라는 도구인데, 구글의 자바스크립트 엔진인 V8을 이용하여 Low Interaction Client Honeypot임에도 High Interaction에 가까워 지려고 꾸준히 노력하는 것과, 기능적 측면의 지속적인 릴리즈가 이유가 아닌가 싶다. 최근 새로나온 Yara 2.0에 발맞춰 Thug 또한 업데이트를 진행하였다. Thug를 설치하는데 있어 가장 문제점은 당연히 핵심 엔진인 V8에서 파이썬화 시킨 PyV8이다. Yara 2.0으로 인해 thug가 릴리즈 된 이후 순조롭게 thug를 설치했으나, 시간이 지난후 포스팅하기 위해 새롭게 설치할 땐 에러 발생으로 인해 진행하지 못하였다. 아마 처음 설치 되었을 때의 rev 버전과 향후..
1. Honeypot과 Client Honeypot Honeypot(허니팟)은 정보 시스템에 위협을 발생시키는 다양한 행위들을 탐지하는 가상의 시스템이다. 시스템을 구축하는 것이기 때문에, 공격자는 실제 시스템에 침입한 것 처럼 느껴지지만 오히려 공격자를 추적하고 정보를 수집하는 역할을 한다. 허니팟은 꿀단지(a pot of honey)를 비유하여 만든 단어로 꿀단지를 열어놓으면 벌레들이 달콤함에 이끌리지만 빠져나오지 못하는 느낌으로 만들었다. 그래서 해외 블로그나 뉴스들에서 허니팟을 언급할 때 꿀단지와 비유한 이미지가 많다. 달콤함에 빠져나오지 못하는 느낌에 맞게 허니팟의 요건들이 있다. 쉽게 해커에게 노출되어야 한다.취약한 소프트웨어들로 구성되어야 한다.다양한 상황에 맞는 구성 요소들을 갖추어야 한다..
1. 개요 libemu는 GetPC 휴리스틱을 사용하여 basic x86 에뮬레이션과 쉘코드를 탐지하는 라이브러리이다. 이 라이브러리는 허니팟과 IDS/IPS 내에서 사용할 수 있도록 설계되었다. - 공식 홈페이지 1.1. Supports Executing x86 instructionsReading x86 binary codeRegister emulationBasic FPU emulationShellcode executionShellcode detectionUsing GetPC heuristicsStatic analysisBinary backwardstraversalWin32 API hooking 1.2. 기능 Detect shellcodesExecute the shellcodesProfile shell..
