목록전체 글 (119)
작은 메모장
쉘 코드의 기본 개념 소프트웨어 취약점을 공격하는 익스플로잇의 페이로드 아주아주 작은 크기의 코드 => 기계어 코드 다양한 방법으로 메모리에 주입 후 실행이 목적 익스플로잇, 문서형 악성코드, 코드 익젝션 기능을 활용하는 악성코드 분석에 필수 대부분 API나 라이브러리 함수를 이용하여 구현 -> 1) 호출하는 라이브러리 함수나 API를 식별 2) 호출한 라이브러리 함수 및 API에 전달하는 파라미터를 확인 쉘 코드의 동작 방식 일반적인 실행파일과 다르게, - 별도의 포맷이 존재하지 않음 - 대부분의 경우 코드 및 데이터로만 구성 - 익스플로잇, 악성코드 등에 의해 메모리에 주입된 후 실행 - 대체로 시스템에 존재할 가능성이 높은 DLL/SO만을 사용 - 쉘코드가 직접 바인딩을 수행(셀프 바인딩) - AP..
스피어피싱 메일 첨부 파일의 일반 유형 MS office 문서 PDF 문서 HWP 문서 RTF 문서 ZIP, jar 등 압축 파일 굉장히 그럴듯 한 메일을 보내 첨부된 파일을 열게 만듬 왜 첨부 파일로 보내는가? 소프트웨어 취약점을 공격해 파일에 내장된 객체(쉘 코드, 스크립트, Exploit, 실행파일 등)를 강제로 실행 악성 문서 파일의 구성요소 - Exploit 문서 파일을 처리하는 소프트웨어(MS office, 한컴 오피스, Adobe PDF 등)의 비정상 동작을 유발, 임의 코드를 강제로 실행하도록 유도하는 문서 내의 데이터 - ShellCode 메모리 상에서 임의로 실행되는 머신 코드 혹은 명령어 공격의 첫 단계로 이 코드를 메모리 상에서 실행시키는 것이 우선적인 목표 - Script / Ma..
기본적인 msg형태의 메일 메일의 이동 경로 및 각종 정보를 담고 있음 바이너리 데이터로 이루어져 있어 이를 eml 형식으로 변환시켜야함 msg2eml을 이용하여 변환 변환은 되었는데 가독성이 매우 떨어짐 때문에 이를 시각화하여 보여줄 수 있는 툴을 사용 SysTools 툴을 사용하여 변환한 메일을 시각화 현재 보여지는 것은 noreply.taxreg 메일 주소에서 derek 메일 주소로 갔음이 표시 됨 이를 자세하게 검사하기 위해서는 Header Form을 검사할 필요가 있음 메일의 Header Form은 가독성이 매우 떨어짐 이를 시각화 하여 보여줄 수 있는 툴을 또 사용 MHA (Mail Header Analyzer) 툴을 사용하여 시각화 실행하면 로컬 서버의 8080번 포트로 서버가 실행됨 이곳에..
스피어피싱을 공격자가 사용하기 위해선 다양한 방법으로 악성 메일을 보내려고 함 이를 파악하고 방지하기 위해서는 이메일 환경에 대해 알고 있어야 함 이메일이 전송되는 과정 1. 메일 발신자가 메일의 메시지를 source의 메일 서버(MSA)가 수신 2. 메일 서버들 그룹에서 목적지를 담당하고 있는 메일서버를 탐색 후 전송 3. 목적지 메일 서버에 메시지가 도착 4. 수신자에게 이메일이 전송 메일은 이러한 과정을 거칠 때마다 그에 대한 로그 데이터가 메일에 쌓임 이 로그 데이터는 RFC822를 기초로 삼고 있음 메일은 크게 Message Envelope, Message Content(Header, Body)로 구성 Message Envelope은 전송자와 수신자의 메일 주소를 담고 있음 마찬가지로 Heade..
LoL은 파일리스 공격을 위해 시행하는 방법 LoL Bins는 이런 공격의 도구가 되는 빌트 인터프리터 오늘날의 공격 양상은 전부 이런식으로 진행됨 이를 이용한 몇 가지 예시... Bitsadmin.exe Background Intelligent Transfer Service (BITS), 원격 호스트로부터 대용량 파일을 전송받을 때 사용 윈도우 업데이트가 이 서비스를 활용 공격자는 이를 이용해 ADS에 은닉한 파일 실행, 지정한 파일 실행, 파일 다운로드 및 복사에 활용 ftp.exe File Transport protocol(FTP) 윈도우에서 기본으로 제공하는 FTP 클라이언트 프로그램 공격자는 이를 지정된 프로그램을 실행하는 용도로 사용 regsvr32 DLL 파일을 서비스 등록에 사용하는 빌트인..
파일리스 공격이란? 실행되는 코드가 파일(.dll, .exe)로 생성되지 않고 메모리에만 존재 흔적을 남기지 않는 공격 == 디스크 터지를 하지 않으려는 성향의 공격 왜? 과거 스캐닝 기술이 떨어지던 시절에는 표적 시스템에 악성코드를 직접 업로드하여 공격했음 이 과정에서 디스크 터치가 무조건 발생 시간이 지나면서 엔드포인트에 설치된 다양한 안티바이러스 프로그램들이, 윈도우 운영체제 함수를 실시간 모니터링 인가되지 않은 작업이 운영체제 퍼포먼스에 영향을 끼침 => 걸림 파일리스 공격의 특징은... 1. 프로세스 인젝션 기술을 사용 정상 프로세스에 공격자가 악성코드 혹은 라이브러리를 로딩 = 정상 프로세스 메모리에서만 공격이 시행됨 = 디스크 터치가 발생하지 않음 2. LoL 바이너리들을 활용 Living ..
기초적인 ATT&CK의 사용방법은 아래를 따름 각 설명은 크게 2파트로 나뉘어져 있는데, 왼쪽이 테크닉에 대한 설명 오른쪽이 이 테크닉을 어떻게 탐지하는 지에 관한 설명 때문에 탐지 전력을 세울때는 오른쪽 내용을 봐야 함 아래의 Procedure Example은 이 공격을 완화하기 위한 기법에 대한 설명 그리고 더 아래는 이 테크닉을 쓰는 해커 그룹에 관련한 정보 로 구성되어 있음
ATT&CK의 택틱 중 하나를 예시로 분석 Initial Access 택틱은 거점 시스템을 접근해서 통제를 하는 것이 목표인 택틱 이를 달성하기 위해 어떻게 해야하는가를 테크닉으로 분류 한 가지 표적시스템을 점유하여 익스플로잇을 통해 접근 및 통제를 하는 Drive-by-Compromise 테크닉 스피어 피싱 메일을 보내서 표적 네트워크에 있는 시스템 엔드포인트를 점유하는 Phishing 테크닉 여러 종류로 구성되어 있음 그럼 ATT&CK의 모든 택틱은 순서대로 작성이 되어 있는가? 단순하게 택틱은 순서를 따라 작성되어 있지 않음 언제든지 변경될 수 있고, 수정될 수 있음 공격자의 입장에서 보면서 어떤 택틱을 선행해야 하는지 판단해야 함 가령, 스피어 피싱을 통해 C&C 서버 통제는 했는데, 일반 유저의..