1. About 분명 공격하는 기법은 비슷한데, 소스코드가 조금씩 다르다면? 이를 yara의 패턴탐지 기법으로 분류를 하고자 한다면? 설정한 사람이 '아차'하며 놓친부분이 존재한다면? 작은 실수를 줄이기 위해서는 명확한 알고리즘과 그에 맞는 프로그래밍 혹은 도구들을 사용하는 것이 좋다고 생각한다. 다음 소개할 툴은 O(ND) 알고리즘과 google-diff-match-patch를 이용하여 Yara rule를 출력해 주는 프로그램이다.2. Features커맨드 라인을 통해 주어진 디렉토리의 모든 파일들을 읽음읽은 파일들끼리 비교하여 분석, 일치하는 블록을 기억적어도 최소 5바이트 크기의 샘플의 70%정도 일치하는 경우에만 비교하여 일치한 블록들을 저장유사한 블록들은 인쇄할 수 있음 3. Usage 테스트는..
1. About iScanner는 웹페이지에서 악의적인 코드들을 탐지하고 지우는데 사용되는 오픈 소스 툴이다. 이 툴은 로컬 파일부터 원격 웹까지 스캔 할 수 있다. iSecur1ty에서 루비 언어로 만들었으며, GNU affero General Public License 3.0의 조건에 따라 릴리즈를 발표하고 있다. 2. AbilitySuspicious iframesobfuscated javascriptdangerous eval and escapeetc.. 3. Installation - 환경 : Ubuntu 12.04 LTS amd64 sudo apt-get install ruby wget http://iscanner.isecur1ty.org/download/iscanner.tar.gz/ tar xf..
1. 판단 정상적으로 활용되고 있는 사이트는 아니지만, 최근에 만들고 있는 것으로 판단된다. 피싱사이트에서 보여지는 모든 링크는 정상적으로 동작되지 않는다.현재의 정상적인 우리은행 사이트와 매우 유사하다.중국에서 운영되고 있다. (링크를 클릭하면 중국어로 된 에러코드가 발생.) 2. 추측 과거에도 피싱사이트를 운영한 사람으로 추측된다. 점점 디테일이 좋아지고 있다. 아무래도 자주 만들어서 그런 것 같다.바로가기의 내용에 보면 "시행일 8월 ~ 9월예정" 으로 적혀 있는 문구가 있다. 3. 피싱사이트 전형적인 유형 악성코드로 인해 정상 사이트 접근 시도시 정상 사이트가 아닌 피싱사이트로 접근(host파일 변조 등) 로그인 시 아이디 비밀번호 갈취 본인 확인을 위한 주민번호 입력 유도 및 갈취 보안카드 전체..
1. About python을 이용하여 구글검색 결과 출력 하는 프로그램(라이브러리)이다. 비슷한 것으로 'xgoogle 라이브러리' 와 'MarioVilas의 google.py'가 있다. 2. Installation svn checkout http://pygoogle.googlecode.com/svn/trunk/ pygoogle cd pygoogle 3. Using python pygoogle.py [값] ex) python pygoogle.py hakawati 4. Library Installation python setup.py build python setup.py install 5. Using Library from pygoogle import pygoogle g = pygoogle('hakaw..
1. GeoIP가 지원하는 언어 C LibraryPerl ModulePHP ModuleApache Module (mod_geoip)Java ClassPython ClassC# ClassRuby ModuleMS COM Object?(ASP, ColdFusion, Pascal, PHP, Perl, Python, and Visual Basic code)VB.NET?(Only works with GeoIP Country)PascalJavaScript 2. GeoIP 설치 git clone git://github.com/appliedsec/pygeoip.git cd pygeoip python setup.py build sudo python setup.py install 3. GeoIP에 사용될 IP 데이터베이스 ..
1. About Python으로 구현된 "honeyclient"이다. 여기서 honeyclient는 공격을 포함하는 악성 웹 사이트의 페이지를 분석하여 제공하도록 설계한 것을 말한다. http://buffer.github.com/thug/doc/index.html 2. 설치모듈 PythonGoogle V8PyV8Beautiful Soup 4Html5libLibemuPylibemuPefileChardethttplib2CssutilsZope interfaceMongoDB (optional)PyMongo (optional) 3. 설치 환경 : Ubuntu 12.04 LTS amd64 설치방법 : Shell script #!/bin/bash #Thug installation on the Ubuntu 12.04 ..
Python으로 구현된 "honeyclient"입니다. 여기서 honeyclient는 공격을 포함하는 악성 웹 사이트의 페이지를 분석하여 제공하도록 설계한 것을 말합니다. http://code.google.com/p/phoneyc/ 기능 1. 원격 링크에 유용한 HTML 태그를 이해 hrefs, imgs 등...또한 iframe, frame 등2. 스크립팅 언어를 이해자바 스크립트 (spidermonkey를 이용)Visual Basic 스크립트 (vb2py를 이용)deobfuscation, 원격 스크립트 소스를 지원3. ActiveX 취약점의 공격 탐지를 위한 모듈 지원 4. 페이지에 대한 또다른 검색 방법을 지원ClamAV를 통한 AV 검출취약점 모듈 설치 환경 : Ubuntu 12.04 LTS amd..
Java는 11억 컴퓨터에서 실행이 되고, 매년 JRE(Java Runtime Environment)가 930만건 다운로드가 행해지고 있다. 수 많은 컴퓨터에서 사용되는 Java의 특징 중 한 가지인, "플랫폼에 독립적이다"가 프로그래머나 사용자 입장에서는 장점이지만 보안에 있어서 단점으로 작용된다. 그래서 IE취약점이나 Adobe계열 취약점보다 Java 취약점을 많이 사용하는 이유가 아닐까 추측해 본다. 다음은 공다팩 난독화를 풀면 자주 보이는 취약점들이다. 공다팩은 중국에서 만든 Exploit Toolkit으로 다중 취약점이나 난독화 등을 자동화하여 제작해주는 툴킷이다. CVE-2012-4681CVE-2012-1889CVE-2012-1723CVE-2011-3544 해당 툴킷을 이용해 악성코드를 유포할..
