반응형
iPhone 에서 작성된 글입니다.
반응형
'My Life' 카테고리의 다른 글
| 집이 좋아요.. (0) | 2010.03.24 |
|---|---|
| 2일동안 공들인 내 아이폰.. (0) | 2010.03.23 |
| Twitter 만들었습니다. (0) | 2010.03.21 |
| Visit to Busan (5) | 2010.02.28 |
| 회사 이전.. (0) | 2010.02.28 |
분류 전체보기
- 나른한 주말.. 2010.03.20
- UnPacking Malicious Executables 2010.03.09 2
- Disassemble the MBR 2010.03.08
- Shellcode to Execute a Ping! 2010.03.08
- [Tool] Detectez les attaques Man in the Middle ! 2010.03.08
- Malware - ZEUS BotNet 2010.03.07
- [iPhone App] iSecureCast 2010.03.05
- CentOS 서비스 데몬 확인 방법 2010.03.04
- Backtrack Network Setting 2010.03.04
- Super Phisher 2010.03.02
나른한 주말..
2010. 3. 20. 15:30
iPhone 에서 작성된 글입니다.
UnPacking Malicious Executables
2010. 3. 9. 09:39
반응형
UnPacking Malicious Executables
요즘 Pentestit.com이 리뉴얼중인듯 싶네요볼만한 자료가 상당히 많이 올라오고 있습니다... 이번에는 언팩 과정을 설정하고 있는 글이 올라와있어요..
처음엔 UPX.. 누구나 다 아는 내용이죠.. 이젠 국민패커라고 불러도 무방할 듯 싶어요...
하지만 중반 이후 나오는 패커는
언패킹을 UPX만 해본 사람이라면 생소할 것 같네요..
하지만 따라하기 쉽게 자세한 설명이 적혀 있으니 따라해보시는 것도 좋을 듯 합니다 ㅇ_ㅇ;;
반응형
'작업공간 > 기본적인 삽질 & 기록' 카테고리의 다른 글
| 3.1.3 탈옥 (0) | 2010.05.03 |
|---|---|
| Backtrack4 Metasploit framework3 Update (0) | 2010.03.29 |
| Disassemble the MBR (0) | 2010.03.08 |
| Shellcode to Execute a Ping! (0) | 2010.03.08 |
| CentOS 서비스 데몬 확인 방법 (0) | 2010.03.04 |
Disassemble the MBR
2010. 3. 8. 10:20
반응형
http://blogs.msdn.com/ntdebugging/archive/2008/03/06/disassemble-the-mbr.aspx
공부용 링크 입니다..
질문은 역시 해당 링크에 해주시기 바랍니다.
공부용 링크 입니다..
질문은 역시 해당 링크에 해주시기 바랍니다.
반응형
'작업공간 > 기본적인 삽질 & 기록' 카테고리의 다른 글
| Backtrack4 Metasploit framework3 Update (0) | 2010.03.29 |
|---|---|
| UnPacking Malicious Executables (2) | 2010.03.09 |
| Shellcode to Execute a Ping! (0) | 2010.03.08 |
| CentOS 서비스 데몬 확인 방법 (0) | 2010.03.04 |
| Backtrack Network Setting (0) | 2010.03.04 |
Shellcode to Execute a Ping!
2010. 3. 8. 09:49
반응형
반응형
'작업공간 > 기본적인 삽질 & 기록' 카테고리의 다른 글
| UnPacking Malicious Executables (2) | 2010.03.09 |
|---|---|
| Disassemble the MBR (0) | 2010.03.08 |
| CentOS 서비스 데몬 확인 방법 (0) | 2010.03.04 |
| Backtrack Network Setting (0) | 2010.03.04 |
| Sad iPhone (2) | 2010.02.28 |
[Tool] Detectez les attaques Man in the Middle !
2010. 3. 8. 09:35
반응형
http://blog.madpowah.org/archives/2010/03/index.html#e2010-03-07T23_51_25.txt
아래 코드는 위 링크를 긁어온 것입니다.
공부하는데 이러한 생각을 길러야되는데.. 미처 이런 부분은 생각도 못하고 있었네요..
아래 코드는 위 링크를 긁어온 것입니다.
공부하는데 이러한 생각을 길러야되는데.. 미처 이런 부분은 생각도 못하고 있었네요..
#!/usr/local/bin/bash
echo ">> ARP Poisoning Guardian by cloud"
echo ">> website : http://blog.madpowah.org"
echo "-----"
help() {
echo "Usage: ./arprotec.sh -ip <ip_gateway>"
exit
}
if [ $# -lt 2 ]
then
help
exit
fi
if [ "-ip" = $1 ]
then
ip_gw=$2
else
help
exit
fi
arp -a > arpfile
while read line_arp
do
ip=`echo $line_arp | cut -d ' ' -f2 | cut -d '(' -f2 | cut -d ')' -f1`
if [ $ip = $ip_gw ]
then
mac_gw=`echo $line_arp | cut -d ' ' -f4`
fi
done < arpfile
echo ">> IP :" $ip_gw "MAC :" $mac_gw
echo ">> Now starting..."
echo ">>"
attack=0
while [ 42 -eq 42 ]
do
arp -a > arpfile
while read line_arp
do
ip=`echo $line_arp | cut -d ' ' -f2 | cut -d '(' -f2 | cut -d ')' -f1`
if [ $ip = $ip_gw ]
then
mac_gw_new=`echo $line_arp | cut -d ' ' -f4`
if [ $mac_gw_new != $mac_gw ]
then
if [ $attack -ne 1 ]
then
heure=`date | cut -d ' ' -f5`
echo ">>" $heure "/!\ ARP Poisoning detected !!!"
echo ">>" $heure "MAC Attacker: " $mac_gw_new
echo ">>" $heure "You should add a static arp entry typing: arp -s" $ip_gw $mac_gw
echo ">>"
attack=1
fi
else
if [ $attack -ne 0 ]
then
heure=`date | cut -d ' ' -f5`
echo ">>" $heure "Attack seems stopped ..."
echo ">>"
attack=0
fi
fi
fi
done < arpfile
rm arpfile
sleep 5
done
[cloud@r00t ~]$ ./arprotec.sh -ip 192.168.0.254
>> ARP Poisoning Guardian by cloud
>> website : http://blog.madpowah.org
-----
>> IP : 192.168.0.254 MAC : 00:07:ca:3c:8e:d8
>> Now starting...
>>
>> 23:23:15 /!\ ARP Poisoning detected !!!
>> 23:23:15 MAC Attacker: 00:1c:f0:9e:3f:4a
>> 23:23:15 You should add a static arp entry typing: arp -s 192.168.0.254 00:07:ca:3c:8e:d8
>>
>> 23:25:09 Attack seems stopped ...
반응형
'작업공간 > Tool' 카테고리의 다른 글
| MDecoder (0) | 2010.10.13 |
|---|---|
| OllyDBG 2.0 Release (0) | 2010.06.07 |
| Malware - ZEUS BotNet (0) | 2010.03.07 |
| Super Phisher (0) | 2010.03.02 |
| FileInsight (0) | 2010.03.01 |
Malware - ZEUS BotNet
2010. 3. 7. 20:12
반응형
Zeus란??
제우스 웹 서버(Zeus Web Server)는 유닉스 및 유닉스 계열 플랫폼을 위한 높은 성능의 웹 서버이다.
영국 케임브리지의 소프트웨어 회사 제우스 테크놀로지가 개발하였다. 초기 제작자와 회사를 세운 사람들은 케임브리지 대학교의 졸업생 Damian Reeves와 Adam Twiss였다.
ZEUS BotNet에 감염된 PC를 이용하여 인터넷 뱅킹을 이용했고 그때 유출된 개인 정보를 통해 해커가 회사 돈
약 2억원을 빼냈다는 내용입니다.
그러던 중 오늘 해외 보안 사이트에서도 ZEUS BotNet에 대해서 언급하는 글이 있어서 정리도 할 겸 글을 남기고
있습니다..
(혹시 이 문서 내용 번역 좀 해주실분.. -_-ㅋ;;
앞부분은 대충 아는 내용이라 휙휙 넘어가는데.. 뒷부분은... oTL..)
아래는 간단한 ZEUS 소개에 대한 내용입니다.
WHAT IS ZEUS?
ZeuS is primarily a crimeware kit designed to steal users’ online banking login credentials, among other things. It is the handiwork of Eastern European organized criminals that has now entered the underground cybercriminal market as a commodity.
ZeuS is known by many names—ZBOT due to its botnet capabilities, WSNPoem, PRG, and others—but its use has been particularly criminal. In short, ZeuS is two things:
ZeuS is primarily a crimeware kit designed to steal users’ online banking login credentials, among other things. It is the handiwork of Eastern European organized criminals that has now entered the underground cybercriminal market as a commodity.
ZeuS is known by many names—ZBOT due to its botnet capabilities, WSNPoem, PRG, and others—but its use has been particularly criminal. In short, ZeuS is two things:
• From a technical perspective, it is a crimeware tool primarily used to steal money.
• From another perspective, it signals a new wave in online criminal business
enterprise wherein many different organizations cooperate with one another to perpetrate outright online theft and fraud.
The principal perpetrators behind the ZeuS botnet are in Eastern Europe, particularly in the Ukraine and Russia. However, the recent availability of the ZeuS Builder toolkit in the open market has muddied the waters on attributing crimes to any one individual or group. That said, there is definitively a difference between “professional” criminals and “amateurs.” The professional, organized crime syndicates also have other business
connections, which they leverage to perpetrate their crimes and move their money.
The principal perpetrators behind the ZeuS botnet are in Eastern Europe, particularly in the Ukraine and Russia. However, the recent availability of the ZeuS Builder toolkit in the open market has muddied the waters on attributing crimes to any one individual or group. That said, there is definitively a difference between “professional” criminals and “amateurs.” The professional, organized crime syndicates also have other business
connections, which they leverage to perpetrate their crimes and move their money.
Zeus BotNet 중 특정 버전의 Zeus Builder를 구할 수 있었습니다.
해당 Builder를 가지고 이것저것 살펴보니 글로만 보던 ZPACK을 좀 더 확실히 이해 할 수 있었습니다.
그래서 특정 패턴을 뽑아보려고 하니 역시 Builder보다는 그로 인한 product를 잡는게 나을 것 같더군요...
실질적으로 Builder가 돌아다니는 것 보단 product가 훨씬 많이 돌아다닐 것이며 product를 검출하는 패턴이 훨씬 효율적이란 생각이 들더군요;;
무언가 좀 특정한 부분이 없을까.. 고민을 해보았는데..
마땅히 특정 패턴을 추출하기 힘들었습니다..
고민을 하던 도중.. 내용이 바뀌더라도 언팩과정은 변하지 않을 것이라는 생각이 들더군요..
예상대로 언팩과정은 OPCODE는 같았고 다른 점은 참조되는 메모리의 Address만이 틀린거 같았습니다..
이는 충분히 Snort에서 검증을 할 수 있을 것 같았고 실제로 몇몇 Snort에 적용을 해 놓은 상태 입니다..
비록 해당 버전의 Builder에서만 발견되는 내용이겠지만..
그래고 오탐의 가능성이 있겠지만.. 일단 뽑아서 적용시켜놨습니다....
벌써 한달 가량 되었지만..
아직까지는 단한번도 탐지가 되지 않았습니다;;
너무 오래된 버전이라 그런건지............................ -_-;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
최근 퍼지고 있는 ZPACK들도 모아서 살펴봐야겠네요.. 근데 딱히 버전 정보를 확인할 길이 없어서........
혹시 ZPACK을 백신 업체에서는 어떻게 탐지를 하고 있는지 아시는 분이거나..
이런 부분을 탐지하는 룰을 본적있다던가..
하는 분은 알려주세요.
해당 Builder를 가지고 이것저것 살펴보니 글로만 보던 ZPACK을 좀 더 확실히 이해 할 수 있었습니다.
그래서 특정 패턴을 뽑아보려고 하니 역시 Builder보다는 그로 인한 product를 잡는게 나을 것 같더군요...
실질적으로 Builder가 돌아다니는 것 보단 product가 훨씬 많이 돌아다닐 것이며 product를 검출하는 패턴이 훨씬 효율적이란 생각이 들더군요;;
무언가 좀 특정한 부분이 없을까.. 고민을 해보았는데..
마땅히 특정 패턴을 추출하기 힘들었습니다..
고민을 하던 도중.. 내용이 바뀌더라도 언팩과정은 변하지 않을 것이라는 생각이 들더군요..
예상대로 언팩과정은 OPCODE는 같았고 다른 점은 참조되는 메모리의 Address만이 틀린거 같았습니다..
이는 충분히 Snort에서 검증을 할 수 있을 것 같았고 실제로 몇몇 Snort에 적용을 해 놓은 상태 입니다..
비록 해당 버전의 Builder에서만 발견되는 내용이겠지만..
그래고 오탐의 가능성이 있겠지만.. 일단 뽑아서 적용시켜놨습니다....
벌써 한달 가량 되었지만..
아직까지는 단한번도 탐지가 되지 않았습니다;;
너무 오래된 버전이라 그런건지............................ -_-;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
최근 퍼지고 있는 ZPACK들도 모아서 살펴봐야겠네요.. 근데 딱히 버전 정보를 확인할 길이 없어서........
혹시 ZPACK을 백신 업체에서는 어떻게 탐지를 하고 있는지 아시는 분이거나..
이런 부분을 탐지하는 룰을 본적있다던가..
하는 분은 알려주세요.
반응형
'작업공간 > Tool' 카테고리의 다른 글
| MDecoder (0) | 2010.10.13 |
|---|---|
| OllyDBG 2.0 Release (0) | 2010.06.07 |
| [Tool] Detectez les attaques Man in the Middle ! (0) | 2010.03.08 |
| Super Phisher (0) | 2010.03.02 |
| FileInsight (0) | 2010.03.01 |
[iPhone App] iSecureCast
2010. 3. 5. 16:25
반응형
SecureCast는 NOWCOM(나우콤, 구 윈스테크)에서 비공개로 운영중인 보안 웹사이트였습니다.
그동안 폐쇄망으로 사내에서만 서비스를 해온 15년의 방대한 데이터베이스를 iPhone 용 App으로 공개하습니다.
(일반 Web은 조만간 공개될 예정이라 함.)
아래는 SecureCast의 아이폰용 App인 iSecureCast입니다.
iSecrueCast에는 보안이슈(뉴스)와 취약성 정보, 분석게시판, 악성코드유포지, 홈페이지 위변조 등의 서비스를 재공하고 있습니다.
반응형
CentOS 서비스 데몬 확인 방법
2010. 3. 4. 14:24
반응형
CentOS에서는 되는데 Backtrack에는 해당 명령이 없다..
Backtrack에서 이와 같은 명령어를 아시는 분은.. 댓글로 살포시 알려주시면 감사하겠습니다.
Backtrack에서 이와 같은 명령어를 아시는 분은.. 댓글로 살포시 알려주시면 감사하겠습니다.
[sun2day@localhost ~]# ntsysv
반응형
'작업공간 > 기본적인 삽질 & 기록' 카테고리의 다른 글
| UnPacking Malicious Executables (2) | 2010.03.09 |
|---|---|
| Disassemble the MBR (0) | 2010.03.08 |
| Shellcode to Execute a Ping! (0) | 2010.03.08 |
| Backtrack Network Setting (0) | 2010.03.04 |
| Sad iPhone (2) | 2010.02.28 |
Backtrack Network Setting
2010. 3. 4. 14:22
반응형
여태까지 어디서 세팅을 하는지 몰라서..
ifconfig eth0 xxx.xxx.xxx.x
route add default gw xxx.xxx.xxx.x
route add default gw xxx.xxx.xxx.x
했었는데..
알고보니 너무나도 쉬운 곳에 있었다..
sun2day@bt:~# vi /etc/network/interfaces
1 auto lo
2 iface lo inet loopback
3
4 auto eth0
5 iface eth0 inet static
6 address 172.16.8.100
7 gateway 172.16.8.2
8 netmask 255.255.255.0
sun2day@bt:~# /etc/init.d/networking restart
1 auto lo
2 iface lo inet loopback
3
4 auto eth0
5 iface eth0 inet static
6 address 172.16.8.100
7 gateway 172.16.8.2
8 netmask 255.255.255.0
sun2day@bt:~# /etc/init.d/networking restart
반응형
'작업공간 > 기본적인 삽질 & 기록' 카테고리의 다른 글
| UnPacking Malicious Executables (2) | 2010.03.09 |
|---|---|
| Disassemble the MBR (0) | 2010.03.08 |
| Shellcode to Execute a Ping! (0) | 2010.03.08 |
| CentOS 서비스 데몬 확인 방법 (0) | 2010.03.04 |
| Sad iPhone (2) | 2010.02.28 |
Super Phisher
2010. 3. 2. 22:28
반응형
SuperPhiser라는 프로그램이 해외 보안 사이트 몇곳에서 리뷰로 오늘 올라왔습니다..
그래서 간단하게 실행을 해보았습니다...
아이콘입니다... 누가 Phishing 툴 아니랄까봐 물고기 아이콘이네요..
판타스틱~
실행한 모습입니다..
(루틴을 잘 살펴보진 않았지만 VMware에서 실행되지 않는 것으로 보아.. 무언가 있긴 한거 같네요..
이런 트릭에 대해서는 몰라요... 아는 분들 있으면 살짝 언질이라도 해주세요 ^^;;)
URL 부분이 비어있는 란인데 http://www.daum.net를 넣고 Build 시켰습니다.
파일이 2개가 생성되는데 그 중 index.html이라는 파일입니다..
소스는 길어요.. 패스.... 일단 실행화면을 보면 daum.net를 그대로 가져온 것으르 확인 할 수 있습니다..
한글은 일부 깨져있는데 이 툴 자체가 한글은 생각하지 않고 만든 듯 합니다..
다음으로 생성되는 나머지 1개 파일인 login.php!!!!!
대충 봐도 어떤 일을 할지 감이 오시죵? ㅇ_ㅇ?
히히..
그래서 간단하게 실행을 해보았습니다...
아이콘입니다... 누가 Phishing 툴 아니랄까봐 물고기 아이콘이네요..
판타스틱~
실행한 모습입니다..
(루틴을 잘 살펴보진 않았지만 VMware에서 실행되지 않는 것으로 보아.. 무언가 있긴 한거 같네요..
이런 트릭에 대해서는 몰라요... 아는 분들 있으면 살짝 언질이라도 해주세요 ^^;;)
URL 부분이 비어있는 란인데 http://www.daum.net를 넣고 Build 시켰습니다.
파일이 2개가 생성되는데 그 중 index.html이라는 파일입니다..
소스는 길어요.. 패스.... 일단 실행화면을 보면 daum.net를 그대로 가져온 것으르 확인 할 수 있습니다..
한글은 일부 깨져있는데 이 툴 자체가 한글은 생각하지 않고 만든 듯 합니다..
다음으로 생성되는 나머지 1개 파일인 login.php!!!!!
대충 봐도 어떤 일을 할지 감이 오시죵? ㅇ_ㅇ?
히히..
반응형
'작업공간 > Tool' 카테고리의 다른 글
| MDecoder (0) | 2010.10.13 |
|---|---|
| OllyDBG 2.0 Release (0) | 2010.06.07 |
| [Tool] Detectez les attaques Man in the Middle ! (0) | 2010.03.08 |
| Malware - ZEUS BotNet (0) | 2010.03.07 |
| FileInsight (0) | 2010.03.01 |