Pwnbit.kr = )

[Analysis] - CK 익스플로잇 킷 분석(CK Exploit Kit Analysis) -1 이전 글에 이어서 이번에는 분석환경에서 동적 분석 과정을 적어봤습니다. 3. 동적 분석환경은 Windows7 초기 순정버전에 업데이트 패치도 없는 기본 버전입니다.분석은 Sysinternals Suite의 Process Explorer, Procmon, TCPView입니다.Process Explorer는 현재 실행중인 프로세스의 정보를 볼 수 있고,Procmon은 과거 따로 존재하던 Filemon과 Netmon, Regmon을 하나로 통합시켰고,파일과 레지스트리의 생성, 수정, 삭제, 네트워크 연결 정보 등을 볼 수 있습니다.(Sysinternals : https://technet.microsoft.com/..

CK Exploit Kit, 일명 CK VIP Exploit Kit가 나온지는 꽤 시간이 흘렀고 이미 분석이 충분히 끝났다고 보여집니다.하지만 제가 실제로 발생하는 공격에 CK Exploit Kit을 이용하는 것은 처음 접해봤기 때문에 오랜만에 분석을 해봤습니다. 1. 패킷 수집해당 공격이 들어온 것은 침입탐지 장비를 통해서였으며, 탐지 패턴은 '/*NB VIP*/'으로 일반적인 CK Exploit Kit가 가지는 패턴 중 하나입니다.이 외에도 '/*jsnb vip*/', 'ck'라는 문자열이 발견 됩니다. 침입탐지 장비의 특성상 모든 패킷을 수집하는 것이 아닌, 탐지된 패턴으로부터 일정량만 수집하므로 중간이 잘린 형식의 패킷을 수집할 수 있었습니다. 1-1. 첫번째 패킷 1-2. 두번째 패킷 2. 패킷..

리눅스와 같은 Text UI환경에서는 특정 파일들만 골라서 삭제하기가 까다롭습니다. rm 명령어와 |grep 의 조합으로 가능할까 싶었는데 find 명령어를 이용하여 가능했습니다. find . -name "*pwnbit.kr*" -exec rm -f {} \; find 명령어를 이용하여 특정 파일명을 검색합니다. 이때 파일명은 보시듯이 정규표현식 사용이 가능합니다. 그리고 -exec옵션을 이용하여 이를 이용하여 실행할 프로그램을 지정해줍니다. 여기서는 파일 삭제를 위해서 rm을 사용했고, {}는 find에 대한 결과 한 줄 마다 rm을 실행하겠다는 의미입니다. 하지만 exec에 대한 인자를 찾지 못 했다는 에러메시지가 발생했는데요. exec에 대한 인자를 찾지 못했다고 나오는 경우에는 -exec rm {..

구글 Adsence에서 드디어 PIN 번호가 날라왔습니다. 구글 애드센스 계정에 10달러의 수익이 발생하면 위와같이 PIN 번호를 인증해서 해당 거주지에 사는 본인이 맞는지 인증을 해야합니다.그리고 100달러의 수익에 도달해야 실제로 지급을 받을 수 있구요. 애드센스 홈페이지에 가시면 위와 같이 Pin 번호를 입력하는 곳이 있고 우편에 적힌대로 적어주고 인증하면 끝납니다. 이 간단한 과정을 거치기 위해 구글은 11월 초부터 한국으로 우편을 보냈고,전 한 달만에 이 우편을 받아보게 됬구요..보통 한 달정도가 걸리고 이 작은 종이 한 장이 중간에 유실이 안 된다는게 신기하네요. 이게 바로 불로소득하지만 국내 은행으로 지급 시 수수료 10,000원이라는게 함정..언제 지급받아보나...