보안쟁이-회사원의 일상

우연히 알아낸 에러코드 노출 취약점..

정보들 다 긁어낼 수 있을지는 확인해봐야되는데..

잠을 자고 싶으니 PASS~~

물론.. 담당자에겐 연락했으니 조치가 취해지겠지요..

개인정보 조심해야되는데.. ^^;;

사람들 많은 곳에서 악성코드분석 관련하여 발표할 일이 있어서.. 주섬주섬 이야기를 했는데..

질문이 하나 들어왔는데..

앞뒤 사정 다 짜르고 질문만 이야기하면..

해당 악성코드에서 Syn Flooding 이 안되는 이유가 뭐냐고 물어봤었다.

3way handshacke

그림 출처 : http://en.wikipedia.org/wiki/SYN_flood

Syn Flooding 이 안되는 이유를.. 코드상의 문제라고 말했었다.

(사실이다.. 코드 구현이 잘못되어있었다. ㅠㅠ)

하지만.. 질문을 했던 분은.. 모 기업 보안팀장이셔서.. 아마 지금 내가 쓰고자 하는 답을 원하고 질문을 하시지 않았나 싶다.

물론.. 알고 있는 부분이였기 때문에 그것도 그 자리에서 답변을 드릴까하다가..

난.. 정답만 이야기하는 편이다보니..(?) 코드상의 이유만 답변을 하고 돌아왔다..

그랬더니 은근히 느껴지는 이 찝찝함........................

그래서.. 결국 포스팅을 결심!!

하지만.. 실 내용은 별로 없다는게 함정 ^^;

대부분의 내용을 링크로 대체합니다.

http://msdn.microsoft.com/en-us/library/windows/desktop/ms740548%28v=vs.85%29.aspx

지식 :

Windows XP SP2 이상에서는 악의적인 목적으로 사용되는 것을 방지하고자 Raw Socket 에 제한함.

Windows 2000 이상에서는 악의적인 목적으로 사용되는 것을 방지하고자 Administrator 그룹에게만 Raw Socket 을 생성할 수 있도록 제한함.

결론 :

Windows XP SP2 이상에서는 Syn Flooding 공격이 실행 될 수가 없음.

모 반도체회사 취약점과 관련된 사항은

아래와 같은 권고사항 전달하였습니다.

서론.

최근.. 무슨 이유인지는 모르겠으나.. (사실 알고 있지만)

휘슬을 검색해서 들어오시는 분들이 많아졌습니다.

혹여나 궁금해하실까봐

추가적인 내용을 적게 되었습니다. ^^

서론 끝.

작년 1월에 패턴추출한 이후...

1년만에 다시 패턴을 추출하였습니다.

작년에 1144개 였는데.. 올해 보니까 2165개라네요..

(작년 갯수는 휘슬 2탄글을 보시면 확인 하실 수 있습니다.)

패턴이 무려 2배 가량 많아졌습니다...

자. 그럼 이제부터.. 패턴들이.. 양만 많이졌는지.. 질적으로 좋아졌는지 확인을 좀 해볼까요? ^^

제가 추출을.. 좀 허접하게해서 패턴 갯수가 잘 안맞네요..

패턴 갯수 : 2165개

추출 패턴 : 2170개..?

5개 정도 쓰레기 값이 들어갔거나.. 중복패턴이 들어간 것으로 생각됩니다.

뭐.. 5개정도.. 개의치 않고.. 계속 확인 작업 들어갑니다.

(사실.. 2165개나 되는 패턴을 하나하나 살펴보기가.. 문뜩 두려워졌습니다. -_-ㅋ)

보이시나요?

작년 휘슬패턴 : 144개

올해 휘슬패턴 : 166개 (쓰레기 값으로 오차범위 +- 5 입니다)

휘슬만으로 따지면 1년동안 22개 가량의 패턴이 추가된 셈입니다.

한달에 약 2개정도의 패턴이 추가된 셈이군요.

자.. 이제 여기서 우리가 깨닳아야되는 진실...

패턴은 총 1년사이 1021개가 늘어났으나

휘슬 패턴은 1년 사이 22개가 늘어났고

결과적으로 MC Finder 패턴이 999개 늘어났다는 사실.....

(물론.. 2탄에서도 말씀드렸지만.. 사라지는 패턴도 있고 수정되는 패턴도 있습니다. 여기서 말하는 숫자는 단지 숫자일 뿐입니다.)

MC Finder 가 뭔지 모르시는 분들을 위해..

악성코드 은닉 사이트 탐지 프로그램입니다.

하지만.. 자.. 다시 위에 그림을 보시죠...

악성코드 은닉 사이트 탐지 프로그램의 패턴 실체는.. 그냥 악성 URL 일 뿐입니다...

악성코드가 이름을 바꾼다던가.. IP 혹은 Domain 을 변경하여 유포하면 탐지가 안되는 패턴들이죠..

하루에도 수백개의 악성코드가 만들어진다는데.. 사실상.. 별로 필요하지 않은 패턴들이지 않나 싶습니다.

물론.. 빠른 대응을 받으면 좋긴하겠지만요......

해당 패턴 + 보유 패턴으로 웹쉘탐지프로그램 개발이라던가..

침해사고 조사에 쓰일 수 있는 자료들이 더욱더 추가되었네요.

하핫.. 내년 1월에 4탄으로 다시 돌아오겠습니다.

혹은.. 다른툴 패턴으로 찾아뵙겠습니다.

to be continued..

windowstest.net 이란 사이트를 들어보셨나요?

참.. 희안합니다..

일단.. 구글에서 서강대 정보통신대학원을 검색해 봅니다.

음?? 이상하네요.

서강대학교 정보통신대학원과

서강대 정보통신대학원..

2개 사이트의 domain 이 다르네요...?

nslookup 으로 IP 를 알아보도록 하겠습니다.

IP 가 서로 다릅니다.

당연하게도 도메인이 다르기 때문에 IP 가 다른 것일 수도 있겠죠??

그렇다면 해당 사이트가 다를까요?

맙소사.. 완전 동일한 사이트네요.. 게시글하며.. 모든게 동일합니다.

동일한 IP 도 아닌데.. 동일한 서비스를 하고 있다..? 무언가 수상합니다. 조금 더 볼까요?

좌측 하단에 있는 링크에 마우스를 가져가 보았습니다.

분명 gsinfo.sogang.ac.kr 임에도 불구하고.. 링크가 gsinfo.windowstest.net 으로 걸려있는 것을 확인 하실 수 있습니다.

여기서 드는 의문..!

왜 gsinfo sogang.ac.kr 에 있는 웹서버가 gsinfo.windowstest.net 을 가르키고 있느냐!! 입니다

IP 를 검색해서 어느나라에 할당된 IP 인지 확인을 해보도록 하겠습니다.

한국에 있는 서버군요..?

그렇다면 해당 Domain(windowstest.net) 는 누가 신청한 것인지 조회해보도록 하겠습니다.

음..? 삼정 데이터..? 어디선가 많이 들어보지 않았나요??

마침 MS 에서도 보도자료 중 일부분으로 해당 기업에 대해서 설명하고 있었습니다.

삼정 데이터는 호스팅업체였던 것이였습니다.

하지만.. 아무리 호스팅 업체라지만.. IP 가 다른데 동일한 웹서버를 쓰는게 말이 될까요??

혹시나 하는 마음으로 windowstest.net 의 도메인을 google 을 통해서 검색해보았습니다.

무려 10페이지가 넘는 다양한 사이트들이 windowstest.net 도메인을 이용하여 서비스가 되고 있는 것을 확인 할 수 있었습니다.

여기서 문제~?

서강대 정보통신대학원 사이트는 해킹 당한 것일까요? 아닐까요?

진실은 미궁속으로~~

운이 좋게도..
어찌저찌해서 그누보드 XSS 취약점을 제보.

메일이 오네요..
어제는 보상 관련 메일이 왔습니다.

덕분에.. 술마실 정도의 돈이 생겼어요 ^^;

취약점 찾으시는 분들은.. KISA 에 꼭 제보하세요!!

(용돈이 생깁니다.)

Thanks to 강섭이형.~

업무상.. 탐지TEST용 도구가 필요해서 python으로 개발하고 wxPython으로 GUI를 입혔습니다.

wxPython은 처음해보는데.. 원하는 코드들이 검색이 제맘대로 안되서 고생을 엄청했네요.. ㅠㅠ

아래는 구 GUI 모습..

StaticBox랑 StaticText에서 값을 어떻게 전달 받는지 몰라서.. 헤맨게.. 언.. 5시간 ㅠㅠ

구성도는 아래와 같습니다.

순서

1. py_client.py 에서 탐지문자열 및 Flow, Port 지정

2. py_client.py 에서 Port Open 명령 전달

3. py_auto_openport.py 에서 전달받은 Port 로 서버(py_server.py) 실행

4. py_client.py 에서 py_server.py 로 패턴 전송

5. py_client.py 와 py_server.py 가 3 way-handshake 를 맺으며 통신

6. 네트워크 탐지장비에서 탐지

7. 통신이 끝나면 py_server.py 종료

보완점

1. TCP만 구현해놓음.

2. 패킷덤프파일(cap)을 입력값으로 받아 서로 통신할 수 있도록 구현하면 좋음.

자꾸 까먹어서 큰일..

set disassembly-flavor intel