보안쟁이-회사원의 일상

사람들 많은 곳에서 악성코드분석 관련하여 발표할 일이 있어서.. 주섬주섬 이야기를 했는데..

질문이 하나 들어왔는데..

앞뒤 사정 다 짜르고 질문만 이야기하면..

해당 악성코드에서 Syn Flooding 이 안되는 이유가 뭐냐고 물어봤었다.

3way handshacke

그림 출처 : http://en.wikipedia.org/wiki/SYN_flood

Syn Flooding 이 안되는 이유를.. 코드상의 문제라고 말했었다.

(사실이다.. 코드 구현이 잘못되어있었다. ㅠㅠ)

하지만.. 질문을 했던 분은.. 모 기업 보안팀장이셔서.. 아마 지금 내가 쓰고자 하는 답을 원하고 질문을 하시지 않았나 싶다.

물론.. 알고 있는 부분이였기 때문에 그것도 그 자리에서 답변을 드릴까하다가..

난.. 정답만 이야기하는 편이다보니..(?) 코드상의 이유만 답변을 하고 돌아왔다..

그랬더니 은근히 느껴지는 이 찝찝함........................

그래서.. 결국 포스팅을 결심!!

하지만.. 실 내용은 별로 없다는게 함정 ^^;

대부분의 내용을 링크로 대체합니다.

http://msdn.microsoft.com/en-us/library/windows/desktop/ms740548%28v=vs.85%29.aspx

지식 :

Windows XP SP2 이상에서는 악의적인 목적으로 사용되는 것을 방지하고자 Raw Socket 에 제한함.

Windows 2000 이상에서는 악의적인 목적으로 사용되는 것을 방지하고자 Administrator 그룹에게만 Raw Socket 을 생성할 수 있도록 제한함.

결론 :

Windows XP SP2 이상에서는 Syn Flooding 공격이 실행 될 수가 없음.

안드로이드 디컴파일러가.. 유료로 나왔다.

android decompiler

http://www.android-decompiler.com/brochure/jeb-brochure-ko.pdf

사실.. 얼마나 좋은지는 잘 모르겠다. 

이미 무료로 배포중인 툴들만으로도 충분하다고 생각을 하기 때문이다.

(충분하다기보단.. 유료로 사서 쓰는거랑 비교했을때의 효율성을 비교했을때.. )

IDA 와 같은 편의기능이 몇개 들어가있고..

pdf 파일에서 나오듯.. 

조금 더 정교화된 디컴파일 기능 제공..

이게 핵심인데...

사달라고하면서까지.. 쓰고 싶은 마음은 그닥... ^^;;

개인적으로 사고 싶은 툴은..

http://www.zynamics.com

자이나믹스사에서 만든 툴들..

아.. 이전 진짜 홀릭인데 ㅠㅠ 써보고 싶은데 ㅠㅠ

3년전 세미나에서 본 이후로.. 써본적이 없다는게 함정..

악성코드 URL 알려주는 사이트에서 URL 을 파싱해서 다운로드 받음.

출처 : https://raw.github.com/ricardo-dias/mwcrawler/master/mwcrawler.py

mwcrawler.py

내가 쓰는 Firefox 확장기능들..

Regex 툴이라던가 SQLite 같은건 그냥 검색해서 찾으면 되는데.. 이건 찾으려고 하면.. 맨날 못찾는다..

그래서 기록용으로 남기기..

1. Download Statusbar  -  작은 상태바로 다운로드를 확인하고 관리합니다.

2. Easy App Tabs 5  -  즐겨찾는 탭을 작게 만들어주는 확장기능

3. Flagfox  -  현재 서버의 위치를 국기로 표시해주고.. 지도로도 보여줌.

4. Google Translator for Firefox  -  본문에서 필요한 부분만 번역해줌. (해당 페이지에서 선택한 부분만 번역)

5. Javascript Deobfuscator  -  실시간 Script 실행과정을 보여줌.. (단, 난잡함)

이상 끝.

모 반도체회사 취약점과 관련된 사항은

아래와 같은 권고사항 전달하였습니다.

서론.

최근.. 무슨 이유인지는 모르겠으나.. (사실 알고 있지만)

휘슬을 검색해서 들어오시는 분들이 많아졌습니다.

혹여나 궁금해하실까봐

추가적인 내용을 적게 되었습니다. ^^

서론 끝.

작년 1월에 패턴추출한 이후...

1년만에 다시 패턴을 추출하였습니다.

작년에 1144개 였는데.. 올해 보니까 2165개라네요..

(작년 갯수는 휘슬 2탄글을 보시면 확인 하실 수 있습니다.)

패턴이 무려 2배 가량 많아졌습니다...

자. 그럼 이제부터.. 패턴들이.. 양만 많이졌는지.. 질적으로 좋아졌는지 확인을 좀 해볼까요? ^^

제가 추출을.. 좀 허접하게해서 패턴 갯수가 잘 안맞네요..

패턴 갯수 : 2165개

추출 패턴 : 2170개..?

5개 정도 쓰레기 값이 들어갔거나.. 중복패턴이 들어간 것으로 생각됩니다.

뭐.. 5개정도.. 개의치 않고.. 계속 확인 작업 들어갑니다.

(사실.. 2165개나 되는 패턴을 하나하나 살펴보기가.. 문뜩 두려워졌습니다. -_-ㅋ)

보이시나요?

작년 휘슬패턴 : 144개

올해 휘슬패턴 : 166개 (쓰레기 값으로 오차범위 +- 5 입니다)

휘슬만으로 따지면 1년동안 22개 가량의 패턴이 추가된 셈입니다.

한달에 약 2개정도의 패턴이 추가된 셈이군요.

자.. 이제 여기서 우리가 깨닳아야되는 진실...

패턴은 총 1년사이 1021개가 늘어났으나

휘슬 패턴은 1년 사이 22개가 늘어났고

결과적으로 MC Finder 패턴이 999개 늘어났다는 사실.....

(물론.. 2탄에서도 말씀드렸지만.. 사라지는 패턴도 있고 수정되는 패턴도 있습니다. 여기서 말하는 숫자는 단지 숫자일 뿐입니다.)

MC Finder 가 뭔지 모르시는 분들을 위해..

악성코드 은닉 사이트 탐지 프로그램입니다.

하지만.. 자.. 다시 위에 그림을 보시죠...

악성코드 은닉 사이트 탐지 프로그램의 패턴 실체는.. 그냥 악성 URL 일 뿐입니다...

악성코드가 이름을 바꾼다던가.. IP 혹은 Domain 을 변경하여 유포하면 탐지가 안되는 패턴들이죠..

하루에도 수백개의 악성코드가 만들어진다는데.. 사실상.. 별로 필요하지 않은 패턴들이지 않나 싶습니다.

물론.. 빠른 대응을 받으면 좋긴하겠지만요......

해당 패턴 + 보유 패턴으로 웹쉘탐지프로그램 개발이라던가..

침해사고 조사에 쓰일 수 있는 자료들이 더욱더 추가되었네요.

하핫.. 내년 1월에 4탄으로 다시 돌아오겠습니다.

혹은.. 다른툴 패턴으로 찾아뵙겠습니다.

to be continued..

windowstest.net 이란 사이트를 들어보셨나요?

참.. 희안합니다..

일단.. 구글에서 서강대 정보통신대학원을 검색해 봅니다.

음?? 이상하네요.

서강대학교 정보통신대학원과

서강대 정보통신대학원..

2개 사이트의 domain 이 다르네요...?

nslookup 으로 IP 를 알아보도록 하겠습니다.

IP 가 서로 다릅니다.

당연하게도 도메인이 다르기 때문에 IP 가 다른 것일 수도 있겠죠??

그렇다면 해당 사이트가 다를까요?

맙소사.. 완전 동일한 사이트네요.. 게시글하며.. 모든게 동일합니다.

동일한 IP 도 아닌데.. 동일한 서비스를 하고 있다..? 무언가 수상합니다. 조금 더 볼까요?

좌측 하단에 있는 링크에 마우스를 가져가 보았습니다.

분명 gsinfo.sogang.ac.kr 임에도 불구하고.. 링크가 gsinfo.windowstest.net 으로 걸려있는 것을 확인 하실 수 있습니다.

여기서 드는 의문..!

왜 gsinfo sogang.ac.kr 에 있는 웹서버가 gsinfo.windowstest.net 을 가르키고 있느냐!! 입니다

IP 를 검색해서 어느나라에 할당된 IP 인지 확인을 해보도록 하겠습니다.

한국에 있는 서버군요..?

그렇다면 해당 Domain(windowstest.net) 는 누가 신청한 것인지 조회해보도록 하겠습니다.

음..? 삼정 데이터..? 어디선가 많이 들어보지 않았나요??

마침 MS 에서도 보도자료 중 일부분으로 해당 기업에 대해서 설명하고 있었습니다.

삼정 데이터는 호스팅업체였던 것이였습니다.

하지만.. 아무리 호스팅 업체라지만.. IP 가 다른데 동일한 웹서버를 쓰는게 말이 될까요??

혹시나 하는 마음으로 windowstest.net 의 도메인을 google 을 통해서 검색해보았습니다.

무려 10페이지가 넘는 다양한 사이트들이 windowstest.net 도메인을 이용하여 서비스가 되고 있는 것을 확인 할 수 있었습니다.

여기서 문제~?

서강대 정보통신대학원 사이트는 해킹 당한 것일까요? 아닐까요?

진실은 미궁속으로~~

국내 보안업체 웹 페이지에 ID/PASSWORD 를 암호화 하지 않는 것을 확인했습니다.

관리자 페이지에 로그인해서 보니.. 매출량과 매출액.. 라이센스 발급도 가능하던데....

보안업체가 이럴껀가요? ㅠㅠ

ps1. 어느 업체인지 안알려줄꺼예요...

ps2. 신고할 마음도.. 악용할 마음도 없어요.. 이미 제 마음속에서 해당 업체는 사라졌어요..

IPS 탐지 이벤트 분석 중..

1. 공격성향의 이벤트를 발견하여 분석 시작.

2. 분석 도중, 공격자의 C&C 주소 IP 확인.

3,. 해당 공격자의 C&C 서버로 접속 시도.

4. 접속 이후, C&C 서버 운영자와 대화

대부분의 사람들이 이렇게 해커랑 대화했다고 하면 신기해하곤 한다..

나도.. 해커.. 비스므리 하지 않나?!!?!..

저랑 대화하는 것도 신기하게 생각해주세요 (+__)ㅎㅎ

아닙죠.. 스크립키드 주제에.. 과욕입니다 (+__)