TigerDemon

제 3 장 악성코드 상세 분석제 7 절 아이스포그(IceFog) APT 악성코드국내와 일본을 대상으로 공격하는 소규모 APT공격 조직으로 2011년부터 시작되었으며 지난 수년간 규모와 범위가 확대되었다. 가. 백도어기본적으로 시스템 정보를 수집하고, cmd 명령어 수행, 파일 다운로드/업로드 행위, 암/복호화 루틴이 존재하며, 특정 샘플에서는 이메일을 통한 다운로드/업로드 행위를 수행한다.먼저 호스트 이름, 프록시, 사용자 이름, 시스템 디렉토리 위치, OS 언 어, 시스템 버전을 수집하고 저장한다.핵심 함수GetUserNameA(&v11, &pcbBuffer)현재 시스템에 로그인된 사용자의 이름을 가져옵니다.GetVersionExA(&VersionInformation)현재 시스템의 운영체제(OS) 버전..

제 3 장 악성코드 상세 분석제 6 절 Kimsuky APT 악성코드2013년 9월경 카스퍼스키랩에서 "The 'Kimsuky' Operation: A North Korean APT?"라는 제목으로 처음 소개되었으며, 국내 주요 기관을 대상으로 APT 공격을 수행한다. 가. 정보 탈취Windows API 함수를 사용하여 감염 PC의 시스템 정보를 탈취하고, 기본 키로거 악성코드에서 수집한 파일과 로그를 이메일 계저으로 정보를 전송하는 행위를 한다. 먼저 악성코드는 특정 루틴을 통해 문자열을 복호화하고, 감염 PC에 설치된 특정 백신 프로그램의 레지스트리에 접근해 "RunMode", "fwmode"를 수정하고, 윈도우 방화벽 레지스트리에 접근해 "EnableFirewall" 값을 수정하여 무력화한다.위 ..

https://portswigger.net/web-security/file-path-traversal/lab-simple Web Application Security, Testing, & Scanning - PortSwiggerPortSwigger offers tools for web application security, testing, & scanning. Choose from a range of security tools, & identify the very latest vulnerabilities.portswigger.net위 링크에 들어가면 아래 사진처럼 뜬다. ACCESS THE LAB 버튼을 눌러서 들어간다. 그럼 아래 사진처럼 shop 화면이 뜬다. path traversal과 관련된 문제..

https://webhacking.kr/challenge/web-19/ Challenge 41 webhacking.kr 버퍼 스위트에서 해당 링크로 들어가면 아래 사진처럼 뜬다.여기서 view-source를 누르면 아래 사진처럼 뜬다. 중요 코드 분석 if(isset($_FILES['up']) && $_FILES['up']){ $fn = $_FILES['up']['name']; $fn = str_replace(".","",$fn); $fn = str_replace(","",$fn); $fn = str_replace(">","",$fn); $fn = str_replace("/","",$fn);이때 $fn 는 업로드된 파일 이름으로 보안을 위한 처리를 하긴 하는데 단순히 ".",..

Path traversal(directory traversal : 디렉터리 탐색)경로를 조작해서 상위 디렉터리로 이동('../') 및 원래 접근할 수 없는 파일에 접근한다.공격자가 애플리케이션이 실행되고 있는 서버의 임의의 파일을 읽을 수 있게 만든다.공격자가 읽을 수 있는 파일- 애플리케이션 코드 및 데이터- 백엔드 시스템의 자격 증명(계정, 비밀번호 등)- 민감한 운영체제 파일 일부 공격에는 공격자가 서버의 임의의 파일에 쓰기(write)할 수도 있다.이렇게 되면 애플리케이션 데이터를 수정하거나 동작을 바꿀 수 있고, 결국 서버를 완전히 장악하는 문제가 발생할 수 있다. 공격기법1. Reading arbitrary files via path traversal(경로 조작을 통한 임의 파일 읽기)- 어떤..