1. 개요 자바스크립트 난독화 중 jjencode라는 생소한 형태의 난독화가 있다. 이 난독화는 일본 연구가 하세가와 요스케(Yosuke HASEGAWA - 블로그)에 의해 만들어 졌고, 처음 공개된 것은 일본에서 열린 2009 JUI(JavaScript User Interface) 세미나이다. 자세한 공개 내용은 블로그에 공개된 발표자료를 통해 볼 수 있으며(다운로드) 생성 도구는 이곳에서 사용할 수 있다. 2. 목적 jjencode의 목적은 자바스크립트 기호로만 사용하여 자바스크립트와 (거의) 동등하게 동작하는 난독화 코드를 만드는 것이다. 3. 난독화 규칙 jjencode의 기본 규칙은 다음과 같다. 기호만 사용알파벳 금지숫자 금지US-ASCII 이외의 문자 금지사용 가능한 문자 !"#$%&'()*..
4. Configure 운영하는 환경에 따라 다르게 설정해야 하는 부분이다. 4.1. Kind of Cuckoo Configure Files Cuckoo의 설정은 cuckoo/conf 에 위치해 있다. Cuckoo를 운영하기 위한 네 가지의 설정 파일과, 가상머신을 운영하기 위한 네 가지의 설정 파일, 그리고 Volatility를 운영하기 위한 한 가지의 설정파일이 존재한다. Volatility는 운영자의 선택에 따라 운영되고, 기본 운영 설정 파일에서 부수적으로 함께 설정해야한다. 기본 운영 설정 파일 auxiliary.confcuckoo.confprocessing.confreporting.conf 가상 머신 운영 설정 파일 esx.confkvm.confvirtualbox.confvmware.conf ..
3.3. Preparing the Guest OS 3.3.1. Creation of the Virtual Machine and Installing Windows and Vulnerable Applications 가상머신 생성할 때 중요한 점은 "악성코드가 활발히 활동하기에 있어 충분한 환경인가?" 이다. 물리적 스펙으로 인해 악성코드의 실행에 있어 좋은 퍼포먼스가 나오지 않는다면 Cuckoo를 운영할 필요가 없기 때문이다. (Cuckoo가 아닌 선택이라면 Capture-BAT이나, 꼭 Cuckoo를 운영하고 싶다면 듀얼 부팅과 같은 다른 대안이 있다.) 대개 Sandbox들의 메모리는 512MB, Ubuntu는 2GB로 코어는 각각 1개와 4개로 주는 것을 권장한다. 윈도우를 Sandbox로 사용할 때 ..
1. Introduction HoneyClient 중에서 High-Interaction HoneyClient 중 하나인 Cuckoo 1.0의 설치 문서이다. Sandbox라는 환경을 구성하여 악성코드를 실환경과 격리를 시킨 후 악성코드를 실행하여 행위를 분석한다. 추가적인 다양한 모듈을 통해 패턴 탐지 방식을 이용한 일부 정적 분석도 가능하다. 이 블로그의 주제에 맞게 Drive-By Download 형태의 공격 탐지는 Cuckoo 0.5 버전부터 URL을 입력 받아 분석할 수 있다. 또한 현재 정리하는 Cuckoo 1.0 버전 부터는 메모리 분석 도구인 Volatility와 취약성 평가 시스템 및 데이터베이스를 운영하는 Mitre의 maec 모듈도 추가 되어 다방면으로 활용할 수 있을 것으로 예상된다...
1. 개요 Kali Linux에서 Python-pip로 yara 라이브러리를 설치하면 설치되지만, 파이썬에서 yara 라이브러리를 사용하려고 하면 다음과 같은 에러가 발생한다. GLIBC_2.14는 GNU C Library의 약자로 GNU 프로젝트에서 만든 C 언어 표준 라이브러리의 한 종류이다. Kali Linux는 Debian Wheezy 버전을 따라간다. 따라서 레파지토리(Repository)가 비록 Kali의 레파지토리로 되어 있어도 Dabian Wheezy의 패키지들을 다운로드 받고 설치한다고 볼 수 있다. GLIBC는 libc6 패키지와 개발버전인 libc6-dev 패키지를 통해 설치할 수 있으며, 커널에 설치되는 커널 패키지이기 때문에 설치한 운영체제의 비트에 따라 설치할 패키지가 달라진다...
1. 개요 Thug가 구글의 자바스크립트 엔진인 V8을 사용한다면, PhoneyC는 모질라 재단의 자바스크립트 엔진인 SpiderMonkey를 사용한다. SpiderMonkey는 V8보다 다소 무겁고 느리다. 하지만 Thug에는 다양한 기능이 구현되어 있는 반면 PhoneyC는 단순한 형태(크롤링 기능이 구현되어 있지 않다.)이며 릴리즈가 중단된지 오래되어 구현과정이 단순하고 탐지 속도가 빠른 장점이 있다. tools/phoneyc$ svn info 경로: . URL: http://phoneyc.googlecode.com/svn/phoneyc/trunk 저장소 루트: http://phoneyc.googlecode.com/svn 저장소 UUID: fc4c6f4e-0ff0-11de-8c37-e1423f7a4..
1. 개요 Client Honeypot 종류들 중에 이슈의 중심은 Thug라는 도구인데, 구글의 자바스크립트 엔진인 V8을 이용하여 Low Interaction Client Honeypot임에도 High Interaction에 가까워 지려고 꾸준히 노력하는 것과, 기능적 측면의 지속적인 릴리즈가 이유가 아닌가 싶다. 최근 새로나온 Yara 2.0에 발맞춰 Thug 또한 업데이트를 진행하였다. Thug를 설치하는데 있어 가장 문제점은 당연히 핵심 엔진인 V8에서 파이썬화 시킨 PyV8이다. Yara 2.0으로 인해 thug가 릴리즈 된 이후 순조롭게 thug를 설치했으나, 시간이 지난후 포스팅하기 위해 새롭게 설치할 땐 에러 발생으로 인해 진행하지 못하였다. 아마 처음 설치 되었을 때의 rev 버전과 향후..
1. Honeypot과 Client Honeypot Honeypot(허니팟)은 정보 시스템에 위협을 발생시키는 다양한 행위들을 탐지하는 가상의 시스템이다. 시스템을 구축하는 것이기 때문에, 공격자는 실제 시스템에 침입한 것 처럼 느껴지지만 오히려 공격자를 추적하고 정보를 수집하는 역할을 한다. 허니팟은 꿀단지(a pot of honey)를 비유하여 만든 단어로 꿀단지를 열어놓으면 벌레들이 달콤함에 이끌리지만 빠져나오지 못하는 느낌으로 만들었다. 그래서 해외 블로그나 뉴스들에서 허니팟을 언급할 때 꿀단지와 비유한 이미지가 많다. 달콤함에 빠져나오지 못하는 느낌에 맞게 허니팟의 요건들이 있다. 쉽게 해커에게 노출되어야 한다.취약한 소프트웨어들로 구성되어야 한다.다양한 상황에 맞는 구성 요소들을 갖추어야 한다..
