전체 글

Research Engineer
Information Technology/Operation System

BackTrack5 Reborn Kali Linux 간략정리

BackTrack가 Kali Linux로 바뀔 것이라고 Teaser영상이 나왔었습니다. 영상미에 놀랐었던 기억이 있네요.이제는 BackTrack이 어떻게 바뀔까? 어떤 기능이 더 생길까? 어떤 모습으로 변할 까? 궁금증과 함께 오늘 Kali Linux가 발표되었습니다. BlackTrack Release History Date Release February 5, 2006 BackTrack v.1.0 Beta May 26, 2006 The BackTrack project released its first non-beta version (1.0). March 6, 2007 BackTrack 2 final released. June 19, 2008 BackTrack 3 final released. January..

Information Security/OpenSource

Python low-interaction honeyclient Thug Update

Thug 는 Python으로 만들어진 HoneyClient입니다.요놈을 설치하는데 1주일 걸렸었어요. 하지만 Web Crawling부터 결과까지 대단한 툴입니다.설치내용은 http://hidka.tistory.com/entry/thug-analysis 에 보시면 되구요. Thug Honey Client가 조금씩 업데이트가 되고 있네요.추가된 기능은 데몬과 Remote Control 그리고 API기능이 추가되었네요.자세한 내용은 Thug : https://github.com/buffer/thug 에 보시면 됩니다.

Information Security/Malware

Obfuscation 해제 실습

예제 코드 访问本页面,您的浏览器需要支持JavaScript The browser needs JavaScript to continue w 다음 난독화를 풀어보려고 합니다. 영어로 "브라우저에 JavaScript가 필요하다"고 써놓았네요. 기본적으로 \x로 값이 들어간 경우, \x를 %로 치환하여 풀면 간단하게 풀립니다. 그림 1에서 Malzilla의 'Misc Decoders' 탭에서 보통 치환과 Decode작업을 하게 됩니다. 그림 2와 같이 '\x'를 '%'로 치환을 하고 나오는 코드를 'Decode Hex (%)'를 눌러 치환하게 되면 ASCII코드 값에 맞게 계산하여 변환해 줍니다. 하지만 변환 결과가 이해할 수 없는 문자열이 나왔네요. 알 수 없는 결과가 나온 이유는 난독화 코드 아래의 for구문 ..

Information Security/Abuse & Fraud

NHBank 피싱사이트

악성코드 유포지를 검사하던 중 피싱사이트의 발견으로 간략하게 정리합니다. 이 유포지 서버는 공다팩을 이용하여 악성코드를 유포하는 유포지었습니다. 어느순간 악성코드 유포를 중단하고 IBK 기업은행 피싱사이트로 변신하고 있더군요. 그런데.. 다음날에는 NHBank(농협)피싱사이트로 또 한번 탈피하고 있었습니다. 하루만에 뚝딱뚝딱 만드는 것 같아요. [그림1. IE로 접속한 NHBank 정상사이트] [그림2. 크롬으로 접속한 NHBank 정상사이트] 저는 크롬으로 인터넷을 하기 때문에 피싱사이트와 크롬으로 접속한 사이트가 매칭이 안되서, "제작자가 잘못만들고 있나?" 싶었습니다. [그림3 NHBank 피싱사이트] 부분적으로 서버를 찾을 수 없다면서 보여지고 있는게 딱 보아도 피싱사이트임이 틀림없습니다. [그림..

Information Technology/Programming

Regular Expressions Debugger

정규표현식을 쓰실 때 마다 머리가 지끈지끈 거리시죠? 다음 사이트에서 정규표현식을 Debugging 할 수 있습니다. 단순히 매칭 되는 것만 보여준다면 소개할 필요가 없겠죠?사이트 Debuggex[그림1 Main page][그림1. example]위의 예제와 같이 정규표현식이 알고리즘 그림형태로 보여줍니다. 각 입력구간 위에는 bar가 있는데 이 것을 움직임으로써 정의한 정규표현식과 테스트 할 문자열 그리고 그림으로 표현한 알고리즘의 구간별 상태를 보여줍니다.

Information Security/Malware

IP Obfuscation

개요이미 많이 정리 되었지만 IP 난독화에 대한 정리를 할까 합니다. 모든 서버는 고유의 ip를 가집니다. 하지만 사용자들은 원하는 웹사이트에 접근할 때 ip번호를 가지고 접근하지는 않습니다. 이유는 ip 숫자를 외워 접근 하는 것 보다는 문자를 통해 접근 하는 편이 훨씬 편하기 때문입니다. DNS(Domain Name Server/Domain Name System)을 통해 문자를 ip로 바꾸어 해당 사이트(시스템/서버)에 접근 할 수 있습니다.URL : www.google.comDecimal Conversionhttp://74.125.141.99DWORD Conversion74 = 01001010 125 = 01111101 141 = 10001101 99 = 0110001101001010 0111110..

Information Security/Malware

urlQuery.net 기능분석

개요urlQuery.net 사이트에 대한 내용을 정리해보려고 합니다. 이 사이트는 검색 및 Web 기반의 악성코드를 분석하기 위한 서비스를 제공합니다.[그림1. urlQuery.net's main page]Profile URL은 분석하고자 하는 URL을 입력하여 분석을 하는 것입니다.Advanced settings은 브라우저, java 등 Web 기반의 악성코드에 맞는 설정을 하는 부분입니다.Date(CET)는 분석한 시간을 나타냅니다. CET는 Central European Time의 약자로 협정세계시 보다 1시간 빠른 시간대를 나타내는 이름입니다. 보통 중앙유럽국가들이 사용하는 시간으로 urlQuery.net은 유럽에서 만들어 진 것으로 추측하고 있습니다. Alerts/IDS에서 Alerts는 탐지된..

Information Security/Security Information

악성코드? Malware?

Malware에 개인적인 견해를 써보려고 합니다. Malware는 Malcious Software의 줄임말로써 "악의적인(악성) 소프트웨어"를 지칭하는 단어지만 우리나라 말로는 "악성코드"라고 번역합니다. 문제는 바로 "악성코드"로 번역되는점입니다. "악성코드"와 "악성 소프트웨어"는 엄격히 다른 단어입니다. "악성코드"는 악의적인 목적을 둔 코드로써 Exploit 공격 코드가 될 수 있고, 악의적인 행위를 할 목적으로 만들어진 Obfuscation(난독화)코드도 될 수 있습니다. 좀더 나아가서 악성 소프트웨어를 제작하는데 사용한 소스코드도 악의적인 목적을 둔 코드이기에 "악성코드"라고 부를 수 있습니다. 즉, 악의적인 사용목적에 따라 작성된 모든 코드들을 지칭하는 말이며, "악성코드"는 "악성 소프트웨..

hakawati
Hakawati Security Lab