전체 글

Research Engineer
Information Security/Abuse & Fraud

악성 DDNS (Malicious DDNS)

1. 개요 2014년 2월 시스코 시큐리티 블로그에 악의적인 DDNS를 이용한 악성코드 유포에 관한 포스트를 보게 되었다. 해당 포스트를 보면서 알게된 정보로 피에스타 익스플로잇 팩(Fiesta Exploit Pack)이 DDNS를 이용한 드라이브-바이 다운로드 환경을 구축한다는 것이다. 또한, 앞서 포스팅한 도메인 쉐도잉(Domain Shadowing) 기법과 비슷하게 서브 도메인을 생성하여 악용한다는 점이다. 악의적인 DDNS를 이용한 악용에 대해 추가적으로 조사를 해 본 결과, 가장 흥미로웠던 정보는 2010년 어베스트(Avast) 보고서이다. 이 보고서에 따르면, 최종 악성코드 유포지까지 도달하는 과정에서 가장 길게 사용된 경우가 15개의 리다이렉션을 이용하였다고 보고한다. 이 트래픽은 3 개의 ..

Information Security/Malware

도메인 쉐도잉 (Domain Shadowing)

1. 개요 도메인 쉐도잉(Domain Shadowing) 기술은 드라이브-바이 다운로드(Drive-By Download) 공격 도구인 앵글러 익스플로잇 도구(Angler Exploit Kit)에서 탐지 회피를 위해 사용하는 기술이다. 이 도구는 해외에서 상용으로 구입할 수 있는 공격 툴킷에서 가장 인기있는 블랙홀 2.0(BlacKHole Exploit Kit 2.0)을 제친 공격 툴킷이다. 도메인 쉐도잉 기술은 시스코 보안 연구원 Nick Biasini가 어도비 플래시 플레이어 취약점과 실버 라이드 취약점을 이용한 공격을 3개월 간 추적한 결과이다. 2. 기술 개요 도메인 쉐도잉 기술은 2014년 12월 부터 앵글러 익스플로잇 도구에서 사용되기 시작되었다고 보고되고 있으며, 아무래도 악성코드 제작자들이 ..

Information Security/Seminar

제 1회 포렌식 인사이트 컨퍼런스

포렌식 인사이트 컨퍼런스 다녀왓습니다. 제 질문이 당첨되어 "실전 모의 해킹과 침투 테스트"를 받았네요. 그외에 그 유명한 IFIXIT 54 비트 드라이버 킷. 무엇보다도 식당이 제일 마음에 드네요ㅎ

Information Security/OpenSource

Cuckoo Sandbox 1.2 release

1. Behavior Search 행위 분석 결과에서 모든 문자들을 패턴매칭하여 원하는 결과를 찾을 수 있다. 2. Network Stream View TCP/UDP 스트림을 수집하고 헥사 덤프로 검사할 수 있는 몇가지 기능을 추가 구현되었다. 3. Comparative Analysis 악성코드의 유사성을 추정하기 위해 다른 악성코드와 비교할 수 있는 기능을 추가되었다. 상세한 비교 분석은까진 아니고 현재 실행되는 이벤트 기반을 통한 그래프 표현 방식만 묘사한다. 4. Changelog - baremetal 분석 지월 (물리 시스템 모듈)cuckoo sandbox 1.2-dev 버전 부터 설정 파일이 모여있는 conf 디렉터리에 physical.conf 파일이 생성되어 있었다. 고성능 허니클라이언트의 치..

Information Security/Abuse & Fraud

인스턴트 메시징(IM) 해킹 당하다.

1. 사건 개요 네이트온에 내가 아닌 다른 사람이 로그인을 했다. 최초 로그인 시간은 "2015-01-16 13:32:13"으로 공격자가 로그인 후 기존의 사용자의 로그인을 강제 로그아웃 시켰다. 이후 접근은 실시간으로 강제 로그아웃 했다. 2. 피싱 대화 내용 로그인 이후 가장 최근에 대화한 지인에게 말을 걸어 매우 자연스러운 한국어로 금전을 요구했다. 재미있게도 대화하고 있는 사람은 회사에서 바로 옆자리에 앉아 있는 사람이다. 그래서 실시간으로 회사직원들과 함께 자연스럽게 대화를 유도하여 공격자의 명확한 목적을 찾았다. 3. 사건 처리 절차 IM 피싱을 해결하기 위한 절차가 아닌 보편적인 사이버범죄 신고 절차이다. 접수 대상 - 사이버 상에서 일어나는 모든 범죄행위에 대해 신고가 가능하다.신고 방법 ..

Information Security/Vulnerability

고스트 취약점 (CVE-2015-0235) 개요 및 대응방안

http://www.kisec.com/knowledge_channel/kiseclab 이번에 발표된 Glibc 에서 버퍼 오버플로우가 발생했습니다. 일명 고스트 취약점(Ghost Vulnerability)로 취약점에 대한 개요 및 대응방안에 대해 1차 보고서를 작성했습니다. 링크에 들어가셔서 PDF로 확인하시길 바랍니다. 2차 보고서는 취약점 분석, 패치 디핑, 실제 환경구축, 실습, 탐지 및 방어방법에 대해 다룰 예정입니다.

Information Security/OpenSource

How to install IDA(32bit) on Ubuntu(64bit)

1. 개요 바이퍼를 테스트하다가 ida(아이다) 모듈이 있어 아이다를 설치해보았다. 다운로드 받은 아이다는 32비트 환경에서 동작하는 응용 프로그램이고, 설치하려는 곳은 우분투 12.04 LTS 64비트 이다. 2. 설치 우선 아이다는 유료 도구이기 때문에 홈페이지에서 제공하는 데모 버전을 다운로드 받는다. wget http://out7.hex-rays.com/files/idademo66_linux.tgz tar xfz idademo66_linux.tgz 아이다를 실행하기 위해서는 32비트 라이브러리들이 필요하다. 여러가지 테스트를 하고 에러들을 잡아보았을 때 다음 설치가 최적의 설치로 보여진다. $ sudo apt-get install libXext6:i386 lib32stdc++6 libglib2.0..

Information Security/Books

Java Performance Fundamental - java Performance Fundamental, 김한도

자바 가상머신(Java Virtual Machine)에 대한 유일한 국내 서적. 엑셈에서 출판했으며, 국내에서 자바 퍼포먼스 튜닝에 대가로 손꼽는 김한도씨가 저자이다. 자바 가상머신에 자세한 내용과 알고리즘을 포함하여 연구하기에 좋으나, 너무 많은 영문단어로 가독성이 매우 떨어진다. 자바 취약점을 연구하기 위해 읽어보았으나, 자바 메모리 관리 알고리즘인 가비지 콜렉션(Garbage Collection) 파트에서 이해하기 어려워 진행을 중단했다. 향후 다시 챙겨보고 정리해야할 책이다.

hakawati
Hakawati Security Lab