반응형

우연히 알아낸 에러코드 노출 취약점..


정보들 다 긁어낼 수 있을지는 확인해봐야되는데..

잠을 자고 싶으니 PASS~~


물론.. 담당자에겐 연락했으니 조치가 취해지겠지요..


개인정보 조심해야되는데.. ^^;;




반응형
반응형

사람들 많은 곳에서 악성코드분석 관련하여 발표할 일이 있어서.. 주섬주섬 이야기를 했는데..

질문이 하나 들어왔는데..

앞뒤 사정 다 짜르고 질문만 이야기하면..


해당 악성코드에서 Syn Flooding 이 안되는 이유가 뭐냐고 물어봤었다.


3way handshacke3way handshacke

그림 출처 : http://en.wikipedia.org/wiki/SYN_flood



Syn Flooding 이 안되는 이유를.. 코드상의 문제라고 말했었다.

(사실이다.. 코드 구현이 잘못되어있었다. ㅠㅠ)


하지만.. 질문을 했던 분은.. 모 기업 보안팀장이셔서.. 아마 지금 내가 쓰고자 하는 답을 원하고 질문을 하시지 않았나 싶다.

물론.. 알고 있는 부분이였기 때문에 그것도 그 자리에서 답변을 드릴까하다가..

난.. 정답만 이야기하는 편이다보니..(?) 코드상의 이유만 답변을 하고 돌아왔다..

그랬더니 은근히 느껴지는 이 찝찝함........................


그래서.. 결국 포스팅을 결심!!

하지만.. 실 내용은 별로 없다는게 함정 ^^;

대부분의 내용을 링크로 대체합니다.


http://msdn.microsoft.com/en-us/library/windows/desktop/ms740548%28v=vs.85%29.aspx




지식 :

Windows XP SP2 이상에서는 악의적인 목적으로 사용되는 것을 방지하고자 Raw Socket 에 제한함.

Windows 2000 이상에서는 악의적인 목적으로 사용되는 것을 방지하고자 Administrator 그룹에게만 Raw Socket 을 생성할 수 있도록 제한함.


결론 :

Windows XP SP2 이상에서는 Syn Flooding 공격이 실행 될 수가 없음.



반응형

'작업공간 > Security' 카테고리의 다른 글

S사 에러코드 노출 취약점  (0) 2014.02.25
모 반도체회사 취약점 조치완료.  (0) 2013.01.16
모 반도체회사 취약점.  (0) 2013.01.15
휘슬(WHISTL) 3탄~  (4) 2013.01.14
서강대 정보통신대학원 해킹??  (2) 2013.01.14
반응형

모 반도체회사 취약점과 관련된 사항은


아래와 같은 권고사항 전달하였습니다.



  

취약점

백업파일(bak) 노출

권고사항

서버에 존재하는 모든 백업파일(bak) 삭제

 

취약점

디렉토리 리스팅 가능

권고사항

httpd.conf 설정 파일에서 설정

 

취약점

개발 Default/Test 페이지 노출 및 존재

권고사항

해당 매뉴얼 삭제

 

취약점

Upload 디렉토리에서 jsp 파일이 실행권한 갖음

권고사항

Upload 디렉토리 실행권한 제거 (httpd.conf 설정 파일에서 설정)

 

취약점

Google 검색에 의한 정보 노출

권고사항

Google 에 요청하여 취약한 백업파일 제거

크롤링 및 bot검색을 차단하기 위한 robot.txt 설정

 



반응형

반응형

서론.

최근.. 무슨 이유인지는 모르겠으나.. (사실 알고 있지만)

휘슬을 검색해서 들어오시는 분들이 많아졌습니다.

혹여나 궁금해하실까봐

추가적인 내용을 적게 되었습니다. ^^

서론 끝.






작년 1월에 패턴추출한 이후...


1년만에 다시 패턴을 추출하였습니다.

작년에 1144개 였는데.. 올해 보니까 2165개라네요..

(작년 갯수는 휘슬 2탄글을 보시면 확인 하실 수 있습니다.)


패턴이 무려 2배 가량 많아졌습니다...

자. 그럼 이제부터.. 패턴들이.. 양만 많이졌는지.. 질적으로 좋아졌는지 확인을 좀 해볼까요? ^^





제가 추출을.. 좀 허접하게해서 패턴 갯수가 잘 안맞네요..


패턴 갯수 : 2165개

추출 패턴 : 2170개..?





5개 정도 쓰레기 값이 들어갔거나.. 중복패턴이 들어간 것으로 생각됩니다.

뭐.. 5개정도.. 개의치 않고.. 계속 확인 작업 들어갑니다.

(사실.. 2165개나 되는 패턴을 하나하나 살펴보기가.. 문뜩 두려워졌습니다. -_-ㅋ)





보이시나요?


작년 휘슬패턴 : 144개

올해 휘슬패턴 : 166개 (쓰레기 값으로 오차범위 +- 5 입니다)


휘슬만으로 따지면 1년동안 22개 가량의 패턴이 추가된 셈입니다.

한달에 약 2개정도의 패턴이 추가된 셈이군요.


자.. 이제 여기서 우리가 깨닳아야되는 진실...


패턴은 총 1년사이 1021개가 늘어났으나

휘슬 패턴은 1년 사이 22개가 늘어났고

결과적으로 MC Finder 패턴이 999개 늘어났다는 사실.....

(물론.. 2탄에서도 말씀드렸지만.. 사라지는 패턴도 있고 수정되는 패턴도 있습니다. 여기서 말하는 숫자는 단지 숫자일 뿐입니다.)


MC Finder 가 뭔지 모르시는 분들을 위해..





악성코드 은닉 사이트 탐지 프로그램입니다.

하지만.. 자.. 다시 위에 그림을 보시죠...


악성코드 은닉 사이트 탐지 프로그램의 패턴 실체는.. 그냥 악성 URL 일 뿐입니다...

악성코드가 이름을 바꾼다던가.. IP 혹은 Domain 을 변경하여 유포하면 탐지가 안되는 패턴들이죠..


하루에도 수백개의 악성코드가 만들어진다는데.. 사실상.. 별로 필요하지 않은 패턴들이지 않나 싶습니다.

물론.. 빠른 대응을 받으면 좋긴하겠지만요......


해당 패턴 + 보유 패턴으로 웹쉘탐지프로그램 개발이라던가..

침해사고 조사에 쓰일 수 있는 자료들이 더욱더 추가되었네요.


하핫.. 내년 1월에 4탄으로 다시 돌아오겠습니다.

혹은.. 다른툴 패턴으로 찾아뵙겠습니다.


to be continued..





반응형

'작업공간 > Security' 카테고리의 다른 글

모 반도체회사 취약점 조치완료.  (0) 2013.01.16
모 반도체회사 취약점.  (0) 2013.01.15
서강대 정보통신대학원 해킹??  (2) 2013.01.14
KISA 포상금제도  (8) 2012.12.14
탐지TEST용 도구  (0) 2012.05.18
반응형

windowstest.net 이란 사이트를 들어보셨나요?


참.. 희안합니다..


일단.. 구글에서 서강대 정보통신대학원을 검색해 봅니다.



음?? 이상하네요.


서강대학교 정보통신대학원과

서강대 정보통신대학원..


2개 사이트의 domain 이 다르네요...?


nslookup 으로 IP 를 알아보도록 하겠습니다.



IP 가 서로 다릅니다.


당연하게도 도메인이 다르기 때문에 IP 가 다른 것일 수도 있겠죠??


그렇다면 해당 사이트가 다를까요?



맙소사.. 완전 동일한 사이트네요.. 게시글하며.. 모든게 동일합니다.


동일한 IP 도 아닌데.. 동일한 서비스를 하고 있다..? 무언가 수상합니다. 조금 더 볼까요?


좌측 하단에 있는 링크에 마우스를 가져가 보았습니다.


분명 gsinfo.sogang.ac.kr 임에도 불구하고.. 링크가 gsinfo.windowstest.net 으로 걸려있는 것을 확인 하실 수 있습니다.


여기서 드는 의문..!


왜 gsinfo sogang.ac.kr 에 있는 웹서버가 gsinfo.windowstest.net 을 가르키고 있느냐!! 입니다




IP 를 검색해서 어느나라에 할당된 IP 인지 확인을 해보도록 하겠습니다.




한국에 있는 서버군요..?


그렇다면 해당 Domain(windowstest.net) 는 누가 신청한 것인지 조회해보도록 하겠습니다.


음..? 삼정 데이터..? 어디선가 많이 들어보지 않았나요??


마침 MS 에서도 보도자료 중 일부분으로 해당 기업에 대해서 설명하고 있었습니다.



삼정 데이터는 호스팅업체였던 것이였습니다.


하지만.. 아무리 호스팅 업체라지만.. IP 가 다른데 동일한 웹서버를 쓰는게 말이 될까요??


혹시나 하는 마음으로 windowstest.net 의 도메인을 google 을 통해서 검색해보았습니다.



무려 10페이지가 넘는 다양한 사이트들이 windowstest.net 도메인을 이용하여 서비스가 되고 있는 것을 확인 할 수 있었습니다.




여기서 문제~?


서강대 정보통신대학원 사이트는 해킹 당한 것일까요? 아닐까요?


진실은 미궁속으로~~






반응형

'작업공간 > Security' 카테고리의 다른 글

모 반도체회사 취약점.  (0) 2013.01.15
휘슬(WHISTL) 3탄~  (4) 2013.01.14
KISA 포상금제도  (8) 2012.12.14
탐지TEST용 도구  (0) 2012.05.18
GDB Intel Achi 보는 방법  (0) 2012.05.07
반응형

운이 좋게도..
어찌저찌해서 그누보드 XSS 취약점을 제보.

메일이 오네요..
어제는 보상 관련 메일이 왔습니다.


덕분에.. 술마실 정도의 돈이 생겼어요 ^^;


취약점 찾으시는 분들은.. KISA 에 꼭 제보하세요!!

(용돈이 생깁니다.)


Thanks to 강섭이형.~







반응형

'작업공간 > Security' 카테고리의 다른 글

휘슬(WHISTL) 3탄~  (4) 2013.01.14
서강대 정보통신대학원 해킹??  (2) 2013.01.14
탐지TEST용 도구  (0) 2012.05.18
GDB Intel Achi 보는 방법  (0) 2012.05.07
CAP 파일 분석 시스템  (7) 2012.04.06
반응형

업무상.. 탐지TEST용 도구가 필요해서 python으로 개발하고 wxPython으로 GUI를 입혔습니다.


wxPython은 처음해보는데.. 원하는 코드들이 검색이 제맘대로 안되서 고생을 엄청했네요.. ㅠㅠ


아래는 구 GUI 모습..


StaticBox랑 StaticText에서 값을 어떻게 전달 받는지 몰라서.. 헤맨게.. 언.. 5시간 ㅠㅠ



구성도는 아래와 같습니다.



순서

1. py_client.py 에서 탐지문자열 및 Flow, Port 지정

2. py_client.py 에서 Port Open 명령 전달

3. py_auto_openport.py 에서 전달받은 Port 로 서버(py_server.py) 실행

4. py_client.py 에서 py_server.py 로 패턴 전송

5. py_client.py 와 py_server.py 가 3 way-handshake 를 맺으며 통신

6. 네트워크 탐지장비에서 탐지

7. 통신이 끝나면 py_server.py 종료



보완점

1. TCP만 구현해놓음.

2. 패킷덤프파일(cap)을 입력값으로 받아 서로 통신할 수 있도록 구현하면 좋음.


반응형

'작업공간 > Security' 카테고리의 다른 글

서강대 정보통신대학원 해킹??  (2) 2013.01.14
KISA 포상금제도  (8) 2012.12.14
GDB Intel Achi 보는 방법  (0) 2012.05.07
CAP 파일 분석 시스템  (7) 2012.04.06
wargame - maze game  (3) 2012.03.09
반응형

자꾸 까먹어서 큰일..


set disassembly-flavor intel

반응형

'작업공간 > Security' 카테고리의 다른 글

KISA 포상금제도  (8) 2012.12.14
탐지TEST용 도구  (0) 2012.05.18
CAP 파일 분석 시스템  (7) 2012.04.06
wargame - maze game  (3) 2012.03.09
wargame - regex?!  (0) 2012.03.09
반응형

네트워크 회사에 있다보니 CAP 파일이 굉장히 중요하다.

근데 CAP 파일 분석툴이 없다.

좀 더 정확히 이야기 하면 "CAP 파일 내부의 어떤 코드가 취약하고 어떤 악성코드가 심어졌고.." 라는 것을 의미한다.

"그걸 분석해서 뭐하려고?" 라고 이야기 할지는 모르겠지만

EXE 분석툴, SWF 분석툴.. 등 다양한 포멧을 분석할 수 있는 툴들이 많다.

하지만 왜 CAP 파일 분석툴은 없을까.. 라고 고민하게되었고 설계하고자 한다.

일단 CAP 파일을 분석하려면 아래와 같은 조건이 선행되어야 한다고 생각한다.


1. 세션별 트래픽 분류

2. 데이터 값에 대한 File format 확인 (파일종류 확인)

3. 다양한 취약점에 대한 이해

4. 결과값들의 연관관계


사실 정확히 이야기 하면 CAP 파일 분석툴은 필요가 없다.

해당 컴퓨터 내부에서 프로그램으로 동작하면 되는것이 아닌가..

하지만.. 내 실력이 미천하여.. CAP 파일을 생성한 이후, 그 CAP 파일을 분석하는 형태로 구성을 계획중이다.

해당 툴이 완성되면 아래와 같은 Flow로 분석을 진행할 예정이다.


ex) "취약점분석시스템"이란 제작할 툴을 이용하여 만들 시스템으로 웹서버로 URL을 받아들여 분석하는 시스템이다.

1. 보안관제 혹은 보안에 관심있는 사람들이 "취약점분석시스템"에 접근하여 URL을 입력한다.

2. 입력된 URL은 내부에 있는 가상머신을 통해 접근하게되며, 접근할 때 네트워크 트래픽을 덤프한다. (CAP)

3. 약 20초간 딜레이 -> CAP 파일 백업 -> Snapshot 복원

4. 생성된 CAP 파일을 분석툴을 이용하여 분석한다.

5. 분석툴은 내부적으로 알려진 취약점 및 악성코드, 경유지, 유포지 등을 수집/분석한다.

6. 수집/분석 된 결과를 "취약점분석시스템"에 보여준다.



이로 인해 예상되는 이익은 아래와 같다.

1. 분석시스템의 자동화로 인해 업무효율 상승

2. 신종 공격 발견 시간 단축

3. 악성파일 및 악성스크립트 수집

4. 알려진 공격과 알려지지 않은 신종공격에 대해 실시간으로 구별가능.

5. 샘플에 대한 처리률 상승


만들고는 있는데.. 언제쯤 완성될런지는..

일단 담주 금요일까지 완성을 목표로.~



반응형

'작업공간 > Security' 카테고리의 다른 글

탐지TEST용 도구  (0) 2012.05.18
GDB Intel Achi 보는 방법  (0) 2012.05.07
wargame - maze game  (3) 2012.03.09
wargame - regex?!  (0) 2012.03.09
ructf  (1) 2012.03.09

+ Recent posts