2014.02.25 00:14
 
 

우연히 알아낸 에러코드 노출 취약점..


정보들 다 긁어낼 수 있을지는 확인해봐야되는데..

잠을 자고 싶으니 PASS~~


물론.. 담당자에겐 연락했으니 조치가 취해지겠지요..


개인정보 조심해야되는데.. ^^;;




저작자 표시 비영리 변경 금지
신고

'작업공간 > Web' 카테고리의 다른 글

S사 에러코드 노출 취약점  (0) 2014.02.25
모 반도체회사 취약점 조치완료.  (0) 2013.01.16
휘슬(WHISTL) 3탄~  (4) 2013.01.14
KISA 포상금제도  (4) 2012.12.14
디렉토리 리스팅으로 발견한 페이지  (1) 2012.02.09
SQL 인젝션 취약점  (5) 2012.01.26
Posted by Sun2Day

댓글을 달아 주세요

2013.02.21 13:44
 
 

사람들 많은 곳에서 악성코드분석 관련하여 발표할 일이 있어서.. 주섬주섬 이야기를 했는데..

질문이 하나 들어왔는데..

앞뒤 사정 다 짜르고 질문만 이야기하면..


해당 악성코드에서 Syn Flooding 이 안되는 이유가 뭐냐고 물어봤었다.


그림 출처 : http://en.wikipedia.org/wiki/SYN_flood



Syn Flooding 이 안되는 이유를.. 코드상의 문제라고 말했었다.

(사실이다.. 코드 구현이 잘못되어있었다. ㅠㅠ)


하지만.. 질문을 했던 분은.. 모 기업 보안팀장이셔서.. 아마 지금 내가 쓰고자 하는 답을 원하고 질문을 하시지 않았나 싶다.

물론.. 알고 있는 부분이였기 때문에 그것도 그 자리에서 답변을 드릴까하다가..

난.. 정답만 이야기하는 편이다보니..(?) 코드상의 이유만 답변을 하고 돌아왔다..

그랬더니 은근히 느껴지는 이 찝찝함........................


그래서.. 결국 포스팅을 결심!!

하지만.. 실 내용은 별로 없다는게 함정 ^^;

대부분의 내용을 링크로 대체합니다.


http://msdn.microsoft.com/en-us/library/windows/desktop/ms740548%28v=vs.85%29.aspx




지식 :

Windows XP SP2 이상에서는 악의적인 목적으로 사용되는 것을 방지하고자 Raw Socket 에 제한함.

Windows 2000 이상에서는 악의적인 목적으로 사용되는 것을 방지하고자 Administrator 그룹에게만 Raw Socket 을 생성할 수 있도록 제한함.


결론 :

Windows XP SP2 이상에서는 Syn Flooding 공격이 실행 될 수가 없음.



저작자 표시 비영리 변경 금지
신고

'작업공간 > Network' 카테고리의 다른 글

Raw Socket 제한 (Syn Flooding 공격이 수행되지 않는 이유)  (2) 2013.02.21
탐지TEST용 도구  (0) 2012.05.18
CAP 파일 분석 시스템  (7) 2012.04.06
Port Scan  (0) 2012.02.16
Snort 룰 설명  (0) 2012.01.31
패킷에서 파일 추출하기 - 2  (2) 2011.12.29
Posted by Sun2Day

댓글을 달아 주세요

  1. 발할레스 2016.05.12 18:43 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요. 궁금사항이있어서 찾게되었습니다.
    관리자 권한만되는거랑 SYN Flooding Attack 안되는거랑 어떤 상관이있는건가요?

    • Sun2Day 2016.05.23 16:02 신고  댓글주소  수정/삭제

      일반적으로 Syn flooding 을 하는.. 흔히 말하는 좀비PC라고 불리는 것들은 대부분 서버가 아닌 PC들입니다. 고로.. 서버OS가 아니라 syn flooing 이 불가능하다는 이야기 입니다.
      서버 OS의 경우, administrator 그룹에게만 로우소켓을 생성할 수 있는 권한이 있는데 로우소켓 프로그래밍을 해야지만 syn 패킷을 제너레이팅 할 수 있기 때문입니다.

2013.02.13 10:43
 
 

안드로이드 디컴파일러가.. 유료로 나왔다.



2013:02:13 10:43:05



http://www.android-decompiler.com/brochure/jeb-brochure-ko.pdf


사실.. 얼마나 좋은지는 잘 모르겠다. 

이미 무료로 배포중인 툴들만으로도 충분하다고 생각을 하기 때문이다.

(충분하다기보단.. 유료로 사서 쓰는거랑 비교했을때의 효율성을 비교했을때.. )


IDA 와 같은 편의기능이 몇개 들어가있고..


pdf 파일에서 나오듯.. 

조금 더 정교화된 디컴파일 기능 제공..


이게 핵심인데...

사달라고하면서까지.. 쓰고 싶은 마음은 그닥... ^^;;



개인적으로 사고 싶은 툴은..

http://www.zynamics.com


자이나믹스사에서 만든 툴들..

아.. 이전 진짜 홀릭인데 ㅠㅠ 써보고 싶은데 ㅠㅠ


3년전 세미나에서 본 이후로.. 써본적이 없다는게 함정..


저작자 표시 비영리 변경 금지
신고
Posted by Sun2Day

댓글을 달아 주세요

2013.02.12 10:34
 
 

악성코드 URL 알려주는 사이트에서 URL 을 파싱해서 다운로드 받음.


출처 : https://raw.github.com/ricardo-dias/mwcrawler/master/mwcrawler.py



mwcrawler.py

저작자 표시 비영리 변경 금지
신고

'작업공간 > Malware' 카테고리의 다른 글

Malware Crawler  (0) 2013.02.12
Memory String  (0) 2011.12.29
우리회사로 바이러스를 뿌린 긔엽긔놈 =_=;  (4) 2010.07.01
Malware - ZEUS BotNet  (0) 2010.03.07
Posted by Sun2Day

댓글을 달아 주세요

2013.01.16 15:09
 
 

모 반도체회사 취약점과 관련된 사항은


아래와 같은 권고사항 전달하였습니다.



  

취약점

백업파일(bak) 노출

권고사항

서버에 존재하는 모든 백업파일(bak) 삭제

 

취약점

디렉토리 리스팅 가능

권고사항

httpd.conf 설정 파일에서 설정

 

취약점

개발 Default/Test 페이지 노출 및 존재

권고사항

해당 매뉴얼 삭제

 

취약점

Upload 디렉토리에서 jsp 파일이 실행권한 갖음

권고사항

Upload 디렉토리 실행권한 제거 (httpd.conf 설정 파일에서 설정)

 

취약점

Google 검색에 의한 정보 노출

권고사항

Google 에 요청하여 취약한 백업파일 제거

크롤링 및 bot검색을 차단하기 위한 robot.txt 설정

 



저작자 표시 비영리 변경 금지
신고

'작업공간 > Web' 카테고리의 다른 글

S사 에러코드 노출 취약점  (0) 2014.02.25
모 반도체회사 취약점 조치완료.  (0) 2013.01.16
휘슬(WHISTL) 3탄~  (4) 2013.01.14
KISA 포상금제도  (4) 2012.12.14
디렉토리 리스팅으로 발견한 페이지  (1) 2012.02.09
SQL 인젝션 취약점  (5) 2012.01.26
Posted by Sun2Day

댓글을 달아 주세요

2013.01.15 00:07

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

2013.01.14 21:41
 
 

서론.

최근.. 무슨 이유인지는 모르겠으나.. (사실 알고 있지만)

휘슬을 검색해서 들어오시는 분들이 많아졌습니다.

혹여나 궁금해하실까봐

추가적인 내용을 적게 되었습니다. ^^

서론 끝.






작년 1월에 패턴추출한 이후...


1년만에 다시 패턴을 추출하였습니다.

작년에 1144개 였는데.. 올해 보니까 2165개라네요..

(작년 갯수는 휘슬 2탄글을 보시면 확인 하실 수 있습니다.)


패턴이 무려 2배 가량 많아졌습니다...

자. 그럼 이제부터.. 패턴들이.. 양만 많이졌는지.. 질적으로 좋아졌는지 확인을 좀 해볼까요? ^^





제가 추출을.. 좀 허접하게해서 패턴 갯수가 잘 안맞네요..


패턴 갯수 : 2165개

추출 패턴 : 2170개..?





5개 정도 쓰레기 값이 들어갔거나.. 중복패턴이 들어간 것으로 생각됩니다.

뭐.. 5개정도.. 개의치 않고.. 계속 확인 작업 들어갑니다.

(사실.. 2165개나 되는 패턴을 하나하나 살펴보기가.. 문뜩 두려워졌습니다. -_-ㅋ)





보이시나요?


작년 휘슬패턴 : 144개

올해 휘슬패턴 : 166개 (쓰레기 값으로 오차범위 +- 5 입니다)


휘슬만으로 따지면 1년동안 22개 가량의 패턴이 추가된 셈입니다.

한달에 약 2개정도의 패턴이 추가된 셈이군요.


자.. 이제 여기서 우리가 깨닳아야되는 진실...


패턴은 총 1년사이 1021개가 늘어났으나

휘슬 패턴은 1년 사이 22개가 늘어났고

결과적으로 MC Finder 패턴이 999개 늘어났다는 사실.....

(물론.. 2탄에서도 말씀드렸지만.. 사라지는 패턴도 있고 수정되는 패턴도 있습니다. 여기서 말하는 숫자는 단지 숫자일 뿐입니다.)


MC Finder 가 뭔지 모르시는 분들을 위해..





악성코드 은닉 사이트 탐지 프로그램입니다.

하지만.. 자.. 다시 위에 그림을 보시죠...


악성코드 은닉 사이트 탐지 프로그램의 패턴 실체는.. 그냥 악성 URL 일 뿐입니다...

악성코드가 이름을 바꾼다던가.. IP 혹은 Domain 을 변경하여 유포하면 탐지가 안되는 패턴들이죠..


하루에도 수백개의 악성코드가 만들어진다는데.. 사실상.. 별로 필요하지 않은 패턴들이지 않나 싶습니다.

물론.. 빠른 대응을 받으면 좋긴하겠지만요......


해당 패턴 + 보유 패턴으로 웹쉘탐지프로그램 개발이라던가..

침해사고 조사에 쓰일 수 있는 자료들이 더욱더 추가되었네요.


하핫.. 내년 1월에 4탄으로 다시 돌아오겠습니다.

혹은.. 다른툴 패턴으로 찾아뵙겠습니다.


to be continued..





저작자 표시 비영리 변경 금지
신고

'작업공간 > Web' 카테고리의 다른 글

S사 에러코드 노출 취약점  (0) 2014.02.25
모 반도체회사 취약점 조치완료.  (0) 2013.01.16
휘슬(WHISTL) 3탄~  (4) 2013.01.14
KISA 포상금제도  (4) 2012.12.14
디렉토리 리스팅으로 발견한 페이지  (1) 2012.02.09
SQL 인젝션 취약점  (5) 2012.01.26
Posted by Sun2Day

댓글을 달아 주세요

  1. 2013.01.15 09:18  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. 2013.01.15 11:40  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  3. 2013.06.03 16:35  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

2012.12.14 11:59
 
 

운이 좋게도..
어찌저찌해서 그누보드 XSS 취약점을 제보.

메일이 오네요..
어제는 보상 관련 메일이 왔습니다.


덕분에.. 술마실 정도의 돈이 생겼어요 ^^;


취약점 찾으시는 분들은.. KISA 에 꼭 제보하세요!!

(용돈이 생깁니다.)


Thanks to 강섭이형.~







저작자 표시 비영리 변경 금지
신고

'작업공간 > Web' 카테고리의 다른 글

모 반도체회사 취약점 조치완료.  (0) 2013.01.16
휘슬(WHISTL) 3탄~  (4) 2013.01.14
KISA 포상금제도  (4) 2012.12.14
디렉토리 리스팅으로 발견한 페이지  (1) 2012.02.09
SQL 인젝션 취약점  (5) 2012.01.26
휘슬(WHISTL) 2탄~  (4) 2012.01.09
Posted by Sun2Day

댓글을 달아 주세요

  1. 2013.01.08 20:39  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. hckku17 2013.01.11 10:42 신고  댓글주소  수정/삭제  댓글쓰기

    지금도 실시되고있는 제도인가요??

2012.05.18 19:35
 
 

업무상.. 탐지TEST용 도구가 필요해서 python으로 개발하고 wxPython으로 GUI를 입혔습니다.


wxPython은 처음해보는데.. 원하는 코드들이 검색이 제맘대로 안되서 고생을 엄청했네요.. ㅠㅠ


아래는 구 GUI 모습..


StaticBox랑 StaticText에서 값을 어떻게 전달 받는지 몰라서.. 헤맨게.. 언.. 5시간 ㅠㅠ



구성도는 아래와 같습니다.



순서

1. py_client.py 에서 탐지문자열 및 Flow, Port 지정

2. py_client.py 에서 Port Open 명령 전달

3. py_auto_openport.py 에서 전달받은 Port 로 서버(py_server.py) 실행

4. py_client.py 에서 py_server.py 로 패턴 전송

5. py_client.py 와 py_server.py 가 3 way-handshake 를 맺으며 통신

6. 네트워크 탐지장비에서 탐지

7. 통신이 끝나면 py_server.py 종료



보완점

1. TCP만 구현해놓음.

2. 패킷덤프파일(cap)을 입력값으로 받아 서로 통신할 수 있도록 구현하면 좋음.


저작자 표시 비영리 변경 금지
신고

'작업공간 > Network' 카테고리의 다른 글

Raw Socket 제한 (Syn Flooding 공격이 수행되지 않는 이유)  (2) 2013.02.21
탐지TEST용 도구  (0) 2012.05.18
CAP 파일 분석 시스템  (7) 2012.04.06
Port Scan  (0) 2012.02.16
Snort 룰 설명  (0) 2012.01.31
패킷에서 파일 추출하기 - 2  (2) 2011.12.29
Posted by Sun2Day

댓글을 달아 주세요

2012.05.07 16:06
 
 

자꾸 까먹어서 큰일..


set disassembly-flavor intel

저작자 표시 비영리 변경 금지
신고

'작업공간 > Reverse' 카테고리의 다른 글

GDB Intel Achi 보는 방법  (0) 2012.05.07
[펌]GetPC  (0) 2012.02.06
Unpack  (0) 2011.12.29
코어덤프 확인 및 생성방법  (2) 2011.06.20
gdb 단축키  (0) 2011.06.02
Dump to Proccess Memory  (0) 2011.04.12
Posted by Sun2Day

댓글을 달아 주세요


티스토리 툴바