Pwnbit.kr = )

※ 아래 공개한 내용들은 학습과 사전차단을 통한 시스템 보호를 목적으로 하며, 부적절한 사용으로 인한 책임은 사용자 본인에게 있습니다.또한 잘못된 내용이나, 추가 내용은 댓글을 통해 알려주시면 본문에 반영하도록 하겠습니다. 오늘은 매번 똑같은 공격패턴들만 보다가 나름 새로운 패턴을 보게됬습니다.한 번의 공격에 여러 패턴을 이용하여 접근을 시도한 경우이고,이런 경우 일부 보안 장비에서는 Multiple Signatures Attack로 탐지하기도 합니다. 우선 확인한 공격 당시의 HTTP 패킷 값입니다. Post /cgi-bin/php4?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d op..

[Analysis] - CK 익스플로잇 킷 분석(CK Exploit Kit Analysis) -1 이전 글에 이어서 이번에는 분석환경에서 동적 분석 과정을 적어봤습니다. 3. 동적 분석환경은 Windows7 초기 순정버전에 업데이트 패치도 없는 기본 버전입니다.분석은 Sysinternals Suite의 Process Explorer, Procmon, TCPView입니다.Process Explorer는 현재 실행중인 프로세스의 정보를 볼 수 있고,Procmon은 과거 따로 존재하던 Filemon과 Netmon, Regmon을 하나로 통합시켰고,파일과 레지스트리의 생성, 수정, 삭제, 네트워크 연결 정보 등을 볼 수 있습니다.(Sysinternals : https://technet.microsoft.com/..

CK Exploit Kit, 일명 CK VIP Exploit Kit가 나온지는 꽤 시간이 흘렀고 이미 분석이 충분히 끝났다고 보여집니다.하지만 제가 실제로 발생하는 공격에 CK Exploit Kit을 이용하는 것은 처음 접해봤기 때문에 오랜만에 분석을 해봤습니다. 1. 패킷 수집해당 공격이 들어온 것은 침입탐지 장비를 통해서였으며, 탐지 패턴은 '/*NB VIP*/'으로 일반적인 CK Exploit Kit가 가지는 패턴 중 하나입니다.이 외에도 '/*jsnb vip*/', 'ck'라는 문자열이 발견 됩니다. 침입탐지 장비의 특성상 모든 패킷을 수집하는 것이 아닌, 탐지된 패턴으로부터 일정량만 수집하므로 중간이 잘린 형식의 패킷을 수집할 수 있었습니다. 1-1. 첫번째 패킷 1-2. 두번째 패킷 2. 패킷..

보안 업체인 시만텍은 지난 23일, 적어도 2008년부터 러시아, 사우디아라비아 등 10개 이상의 국가에 침입하여 정부 기관, 인터넷 사업자, 이동통신사 등을 대상으로 정보를 수집한 은닉형 악성코드 '레진(Regin)'을 발견했다고 한다. 이 악성코드는 분석을 어렵게 하기 위해 안티 포렌식 기능과 함께 잘 사용되지 않는 RC5 암호, 암호화된 가상 파일 시스템(EVFS)를 사용하고 있다. 현재 침투 경로나 방법은 밝혀지지 않았으나, 침투 후 마이크로소프트 이메일 서버와 주요 이통사의 휴대전화를 해킹하는 것으로 밝혀졌다. 아주 정교한 코드를 사용하고 있어 발견이 어려웠으며, 지난 2010년 이란 핵시설을 타깃으로 하던 '스턱스넷(Stuxnet)'보다 뛰어난 기술을 사용하고 있어, 미국의 정보기관이 운영하고..

이번 3.20 사이버테러는 악성코드로 인한 것임이 밝혀졌습니다. KISA에서는 2차적 피해를 막기 위해 개인 사용자들에게도 해당 악성코드를 탐지, 치료가 가능한 전용 백신을 보급 중입니다. 보호나라에서 보급 중이며 CMOS에서 PC시간을 2013년 3월 20일 14시 이전으로 변경 후 전용 백신으로 치료하라고 알려주고 있습니다. 아래 링크 또는 블로그에서 바로 다운로드가 가능합니다. = ) 전용 백신 치료 방법 : http://www.boho.or.kr/kor/notice/noticeView.jsp?p_bulletin_writing_sequence=2033 전용 백신 다운로드 : http://download.boho.or.kr/vacc_care/vacc_board_view_frame.jsp?vac_id=..