'웹쉘'에 해당되는 글 2건

  1. 2013.01.14 휘슬(WHISTL) 3탄~ (4)
  2. 2011.01.07 Web Hacking Inspection Security Tool (4)
2013.01.14 21:41
 
 

서론.

최근.. 무슨 이유인지는 모르겠으나.. (사실 알고 있지만)

휘슬을 검색해서 들어오시는 분들이 많아졌습니다.

혹여나 궁금해하실까봐

추가적인 내용을 적게 되었습니다. ^^

서론 끝.






작년 1월에 패턴추출한 이후...


1년만에 다시 패턴을 추출하였습니다.

작년에 1144개 였는데.. 올해 보니까 2165개라네요..

(작년 갯수는 휘슬 2탄글을 보시면 확인 하실 수 있습니다.)


패턴이 무려 2배 가량 많아졌습니다...

자. 그럼 이제부터.. 패턴들이.. 양만 많이졌는지.. 질적으로 좋아졌는지 확인을 좀 해볼까요? ^^





제가 추출을.. 좀 허접하게해서 패턴 갯수가 잘 안맞네요..


패턴 갯수 : 2165개

추출 패턴 : 2170개..?





5개 정도 쓰레기 값이 들어갔거나.. 중복패턴이 들어간 것으로 생각됩니다.

뭐.. 5개정도.. 개의치 않고.. 계속 확인 작업 들어갑니다.

(사실.. 2165개나 되는 패턴을 하나하나 살펴보기가.. 문뜩 두려워졌습니다. -_-ㅋ)





보이시나요?


작년 휘슬패턴 : 144개

올해 휘슬패턴 : 166개 (쓰레기 값으로 오차범위 +- 5 입니다)


휘슬만으로 따지면 1년동안 22개 가량의 패턴이 추가된 셈입니다.

한달에 약 2개정도의 패턴이 추가된 셈이군요.


자.. 이제 여기서 우리가 깨닳아야되는 진실...


패턴은 총 1년사이 1021개가 늘어났으나

휘슬 패턴은 1년 사이 22개가 늘어났고

결과적으로 MC Finder 패턴이 999개 늘어났다는 사실.....

(물론.. 2탄에서도 말씀드렸지만.. 사라지는 패턴도 있고 수정되는 패턴도 있습니다. 여기서 말하는 숫자는 단지 숫자일 뿐입니다.)


MC Finder 가 뭔지 모르시는 분들을 위해..





악성코드 은닉 사이트 탐지 프로그램입니다.

하지만.. 자.. 다시 위에 그림을 보시죠...


악성코드 은닉 사이트 탐지 프로그램의 패턴 실체는.. 그냥 악성 URL 일 뿐입니다...

악성코드가 이름을 바꾼다던가.. IP 혹은 Domain 을 변경하여 유포하면 탐지가 안되는 패턴들이죠..


하루에도 수백개의 악성코드가 만들어진다는데.. 사실상.. 별로 필요하지 않은 패턴들이지 않나 싶습니다.

물론.. 빠른 대응을 받으면 좋긴하겠지만요......


해당 패턴 + 보유 패턴으로 웹쉘탐지프로그램 개발이라던가..

침해사고 조사에 쓰일 수 있는 자료들이 더욱더 추가되었네요.


하핫.. 내년 1월에 4탄으로 다시 돌아오겠습니다.

혹은.. 다른툴 패턴으로 찾아뵙겠습니다.


to be continued..





저작자 표시 비영리 변경 금지
신고

'작업공간 > Web' 카테고리의 다른 글

S사 에러코드 노출 취약점  (0) 2014.02.25
모 반도체회사 취약점 조치완료.  (0) 2013.01.16
휘슬(WHISTL) 3탄~  (4) 2013.01.14
KISA 포상금제도  (4) 2012.12.14
디렉토리 리스팅으로 발견한 페이지  (1) 2012.02.09
SQL 인젝션 취약점  (5) 2012.01.26
Posted by Sun2Day

댓글을 달아 주세요

  1. 2013.01.15 09:18  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. 2013.01.15 11:40  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  3. 2013.06.03 16:35  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

2011.01.07 12:34
 
 

KISA 에서 Web Hacking Inspection Security Tool라는.. 줄여서 WHISTL..
휘슬이라는 툴을 민간에 배포하여 WebShell과 Malware Domain URL을 탐지하는 솔루션이다.

해당 툴을 받아서 으샤으샤!! 하면 툴안에 있는 다양한 패턴들을 확인할 수 있다.

별로 어렵진 않으니 휘슬을 구할 수 있게되면 한번정도씩 패턴이 어떤게 들어있는지 보면서 공부하는 것도 좋을 것 같다.



휘슬이란게 존재한다는 것만 알았지, 한번도 쓸 생각을 안해봤었는데
개인적으로 안타까운 점은 아래와 같다.
1. Not use packer.
2. Not use Anti-Reverse technic.
3. Decode code Locate to code head.
4. Not use decoding to need

영어를 못하는지라.. 당연히 문법에 맞지 않았을테지만.. 아쉬운건 저런 부분?
(알아서 해석? ^^;;)
4번의 경우는 속도면에서 당연히 뺀거겠지만.. 확장자를 지정해서 Search 하는데.. 굳이 저랬어야되었을까.. 라는 생각이 =_=;





저작자 표시 비영리 변경 금지
신고

'작업공간 > Web' 카테고리의 다른 글

KISA 포상금제도  (4) 2012.12.14
디렉토리 리스팅으로 발견한 페이지  (1) 2012.02.09
SQL 인젝션 취약점  (5) 2012.01.26
휘슬(WHISTL) 2탄~  (4) 2012.01.09
TOP 100 Shells  (0) 2011.07.06
Web Hacking Inspection Security Tool  (4) 2011.01.07
Posted by Sun2Day

댓글을 달아 주세요

  1. 엔신 2011.01.24 16:04 신고  댓글주소  수정/삭제  댓글쓰기

    패턴 암호화보다 운영자들이 돌리기를 싫어함
    상당히 디스크 과부하를 일으켜서 운영 서버에서 돌려야 하는 상황에도 정작 돌리지 못하거나 다른 툴을 요구하기도 함.....

    • Sun2Day 2011.01.24 16:20 신고  댓글주소  수정/삭제

      한번 털려봐야..
      아...
      빨리 보안담당자를 한명 둘껄.. 이러지 -_-ㅋ

      아니면 네트워크 담당자에게 보안도 시키던가 =_=ㅋ

  2. 노을 2012.02.21 17:54 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요. 컴퓨터 보안을 공부하고 있는 학생입니다.
    다름이 아니라, 이번에 휘슬을 사용해 보고 휘슬 탐지패턴에 대해 궁금증이 많은데요, 해당 패턴을 어떻게 풀 수 있는지 약간만 한트를 주시면 안될까 해서 댓글을 남깁니다.
    pattern.bin 파일을 열어봐도 잘 모르겠네요.. ㅠㅠ
    도움 부탁드립니다.

    • Sun2Day 2012.02.22 13:41 신고  댓글주소  수정/삭제

      패턴파일을 건드리지마시고요.
      디버거로 디버깅을 하되..
      string을 중심적으로 보세요. ^^;

      pattern.bin 파일에는 암호화가 되어있습니다.
      복호화를 생각하지마시고 크랙을 하신다고 생각하시면 금방될 듯 합니다. ^^;
      (그리고 다음에 저에게 또 물어보실 일이 있으신지는 모르겠지만 누군지 좀 더 밝혀주세요 ^^; 그래야 제가 답변을 해드릴지말지가 정해지니까요 ^^; 이번껀은 초급난이도 이기 때문에 그냥 말씀드리는겁니다 ^^;)


티스토리 툴바