보안

프로세스 점검 Process Explorer

Windows의 작업관리자와 유사하나 프로세스에 대해 좀 더 자세한 정보를 제공해주는 도구이다. –주요 옵션 옵션 설명 Options>Difference Highlight Duration… Highlight 값이 변하는 경우 표시하는 시간을 지정한다. 프로세스 생성/제거와 같은 이벤트는 빠르게 지나가기때문에 이 값을 길게 설정하면 좀 더 쉽게 파악할 수 있다. Process>Create Dump 해당 프로세스의 메모리 덤프를 생성한다. Process>Properties… 프로세스의 기본 정보, 쓰레드, 네트워크, 환경변수, … Read more

객체 권한 점검 AccessEnum

명시한 디렉토리/레지스트리 내부 객체들의 접근 권한을 나열해주는 도구이다. –주요 옵션 옵션 설명 Display only files… 명시한 디렉토리/레지스트리보다 많은 권한이 할당된 객체만 출력한다. Display files with… 명시한 디렉토리/레지스트리와 다른 권한이 할당된 객체만 출력한다.

객체 권한 점검 accesschk

파일, 디렉토리, 레지스트리, 서비스 등에 대한 사용자의 접근 권한을 검사하는 도구이다. ex) accesschk –k –w –u HKLM\software –주요 옵션 옵션 설명 -a < * | specific > account right 해당 계정 권한을 소유한 사용자/그룹을 출력한다. -c < * | specific > service 해당 서비스에 대한 사용자/그룹의 권한을 출력한다. -k < specific > key 해당 레지스트리에 … Read more

개인 정보 추출 Bulk Extractor

지정된 이미지로부터 이메일, 전화번호 등의 데이터를 추출해주는 도구이다. ex) #bulk_extractor –o ~/bulk_result /dev/sda1 –주요 옵션 옵션 설명 -o output 결과물을 저장할 디렉토리를 지정한다. -j job 검색 쓰레드 갯수를 지정한다. -x except 명시된 스캐너는 제외하고 검색한다.

암호화 영역 생성 TrueCrypt

디스크의 일정영역을 암호화 영역으로 사용하여 중요한 파일의 유출을 예방하는 도구이다. –주요 옵션 옵션 설명 -t text Text user Interface로 실행한다. -c create 새로운 볼륨을 생성한다. –create-keyfile 새로운 키파일을 생성한다. –mount 볼륨을 마운트한다. -d dismount 볼륨의 마운트를 해제한다. -l list 마운트된 볼륨 목록을 출력한다. -C change 볼륨의 비밀번호를 변경한다. 1. 볼륨의 생성 #truecrypt –t –c Volume … Read more

루트킷 점검 rkhunter

시스템의 루트킷 존재 여부를 검사해주는 도구이다. ex) #rkhunter -c –sk –주요 옵션 옵션 설명 -c check 로컬 시스템을 검사한다. -C config check rkhunter 설정 파일을 검사한다. -q quiet 검사 중간 과정을 출력하지 않는다. –sk skip keypress 실행 도중 키 입력 요청을 생략한다. -l log file 로그 파일의 경로를 지정한다. 기본 경로 : /var/log/rkhunter.log -r root … Read more

루트킷 점검 chkrootkit

시스템의 루트킷 존재 여부를 검사해주는 도구이다. ex) #chkrootkit –주요 옵션 옵션 설명 -l list 테스트 가능한 목록을 출력한다. -d debug 디버그 모드로 실행한다. -q quiet 최소한의 정보만 출력한다. -x expert 전문가 모드로 실행한다. –각 실행파일의 내부 문자열 출력 –주요 시스템 정보 출력 -r root dir chkrootkit을 실행할 최상위 디렉토리를 설정한다. -p path chkrootkit에서 사용하는 명령어들의 … Read more

파라미터 일정 갯수 이상인 패킷 탐지 정규식

([^=&]*=[^=&]*&){30,}    -파라미터 갯수가 30개 이상인 패킷 탐지 [예제 POST 패킷 헤더] POST / HTTP/1.1 Host: 192.168.124.145 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2.20) Gecko/20110803 Firefox/3.6.20 ( .NET CLR 3.5.30729; .NET4.0E) Content-Length: 1578125 0000000=&000000FY=&000000G8=&000000H%17=&000000D%9B=&00000FY0=&00000FYFY=&00000FYG8=&00000FYH%17=&00000FYD%9B=&00000G80=&00000G8FY=&00000G8G8=&00000G8H%17=&00000G8D%9B=&00000H%170=&00000H%17FY=&00000H%17G8=&00000H%17H%17=&00000H%17D%9B=&00000D%9B0=&00000D%9BFY=&00000D%9BG8=&00000D%9BH%17=&00000D%9BD%9B=&0000FY00=&0000FY0FY=&0000FY0G8=&0000FY0H%17=&0000FY0D%9B=&0000FYFY0=&0000FYFYFY=&0000FYFYG8=&0000FYFYH%17=&0000FYFYD%9B=&0000FYG80=&0000FYG8FY=&0000FYG8G8=&0000FYG8H%17=&0000FYG8D%9B=&0000FYH%170=&0000FYH%17FY=&0000FYH%17G8=&0000FYH%17H%17=&0000FYH%17D%9B=&0000FYD%9B0=&0000FYD%9BFY=&0000FYD%9BG8=&0000FYD%9BH%17=&0000FYD%9BD%9B=&0000G800=&0000G80FY=&0000G80G8=&0000G80H%17=&0000G80D%9B=&0000G8FY0=&0000G8FYFY=&0000G8FYG8=&0000G8FYH%17=&0000G8FYD%9B=&0000G8G80=&0000G8G8FY=&0000G8G8G8=&0000G8G8H%17=&0000G8G8D%9B=&0000G8H%170=&0000G8H%17FY=&0000G8H%17G8=&0000G8H%17H%17=&0000G8H%17D%9B=&0000G8D%9B0=&0000G8D%9BFY=&0000G8D%9BG8=&0000G8D%9BH%17=&0000G8D%9BD%9B=&0000H%1700=&0000H%170FY=&0000H%170G8=&0000H%170H%17=&0000H%170D%9B=&0000H%17FY0=&0000H%17FYFY=&0000H%17FYG8=&0000H%17FYH%17=&0000H%17FYD%9B=&0000H%17G80=&0000H%17G8FY=&0000H%17G8G8=&0000H%17G8H%17=&0000H%17G8D%9B=&0000H%17H%170=&0000H%17H%17FY=&0000H%17H%17G8=&0000H%17H%17H%17=&0000H%17H%17D%9B=&0000H%17D%9B0=&0000H%17D%9BFY=&0000H%17D%9BG8=&0000H%17D%9BH%17=&0000H%17D%9BD%9B=&0000D%9B00=&0000D%9B0FY=&0000D%9B0G8=&0000D%9B0H%17=&0000D%9B0D%9B=&0000D%9BFY0=&0000D%9BFYFY=&0000D%9BFYG8=&0000D%9BFYH%17=&0000D%9BFYD%9B=&0000D%9BG80=&0000D%9BG8FY=&0000D%9BG8G8=&0000D%9BG8H%17=&0000D%9BG8D%9B=&0000D%9BH%170=&0000D%9BH%17FY=&0000D%9BH%17G8=&0000D%9BH%17H%17=&0000D%9BH%17D%9B=&0000D%9BD%9B0=&0000D%9BD%9BFY=&0000D%9BD%9BG8=&0000D%9BD%9BH%17=&0000D%9BD%9BD%9B=&000FY000=&000FY00FY=&000FY00G8=&000FY00H%17=&000FY00D%9B=&000FY0FY0=&000FY0FYFY=&000FY0FYG8=&000FY0FYH%17=&000FY0FYD%9B=&000FY0G80=&000FY0G8FY=&000FY0G8G8=&000FY0G8H%17=&000FY0G8D%9B=&000FY0H%170=&000FY0H%17FY=&000FY0H%17G8=&000FY0H%17H%17=&000FY0H%17D%9B=&000FY0D%9B0=&000FY0D%9BFY=&000FY0D%9BG8=&000FY0D%9BH%17=&000FY0D%9BD%9B=&000FYFY00=&000FYFY0FY=&000FYFY0G8=&000FYFY0H%17=&000FYFY0D%9B=&000FYFYFY0=&000FYFYFYFY=&000FYFYFYG8=&000FYFYFYH%17=&000FYFYFYD%9B=&000FYFYG80=&000FYFYG8FY=&000FYFYG8G8=&000FYFYG8H%17=&000FYFYG8D%9B=&000FYFYH%170=&000FYFYH%17FY=&000FYFYH%17G8=&000FYFYH%17H%17=&000FYFYH%17D%9B=&000FYFYD%9B0=&000FYFYD%9BFY=&000FYFYD%9BG8=&000FYFYD%9BH%17=&000FYFYD%9BD%9B=&000FYG800=&000FYG80FY=&000FYG80G8=&000FYG80H%17=&000FYG80D%9B=&000FYG8FY0=&000FYG8FYFY=&000FYG8FYG8=&000FYG8FYH%17=&000FYG8FYD%9B=&000FYG8G80=&000FYG8G8FY=&000FYG8G8G8=&000FYG8G8H%17=&000FYG8G8D%9B=&000FYG8H%170=&000FYG8H%17FY=&000FYG8H%17G8=&000FYG8H%17H%17=&000FYG8H%17D%9B=&000FYG8D%9B0=&000FYG8D%9BFY=&000FYG8D%9BG8=&000FYG8D%9BH%17=&000FYG8D%9BD%9B=&000FYH%1700=&000FYH%170FY=&000FYH%170G8=&000FYH%170H%17=&000FYH%170D%9B=&000FYH%17FY0=&000FYH%17FYFY=&000FYH%17FYG8=&000FYH%17FYH%17=&000FYH%17FYD%9B=&000FYH%17G80=&000FYH%17G8FY=&000FYH%17G8G8=&000FYH%17G8H%17=&000FYH%17G8D%9B=&000FYH%17H%170=&000FYH%17H%17FY=&000FYH%17H%17G8=&000FYH%17H%17H%17=&000FYH%17H%17D%9B=&000FYH%17D%9B0=&000FYH%17D%9BFY=&000FYH%17D%9BG8=&000FYH%17D%9BH%17=&000FYH%17D%9BD%9B=&000FYD%9B00=&000FYD%9B0FY=&000FYD%9B0G8=&000FYD%9B0H%17=&000FYD%9B0D%9B=&000FYD%9BFY0=&000FYD%9BFYFY=&000FYD%9BFYG8=&000FYD%9BFYH%17=&000FYD%9BFYD%9B=&000FYD%9BG80=&000FYD%9BG8FY=&000FYD%9BG8G8=&000FYD%9BG8H%17=&000FYD%9BG8D%9B=&000FYD%9BH%170=&000FYD%9BH%17FY=&000FYD%9BH%17G8=&000FYD%9BH%17H%17=&000FYD%9BH%17D%9B=&000FYD%9BD%9B0=&000FYD%9BD%9BFY=&000FYD%9BD%9BG8=&000FYD%9BD%9BH%17=&000FYD%9BD%9BD%9B=&000G8000=&000G800FY=&000G800G8=&000G800H%17=&000G800D ※현재 티스토리 버그로 IE 가 아닌 다른 브라우저에서는 표 내용이 정상 출력되지 않습니다.

Zbot 악성코드

(sample)page.7z 다운로드 ###프로세스 생성실행파일명.exe 2회 생성 후c:\DOC~1\계정명\Appl~1\Maob\uxzi.exe 2회 생성 svshost.exe>rundll32.exe 생성 후 사라짐 ###네트워크senmobert.dlinkddns.com DNS 쿼리 요청 ###레지스트리HKCU\Software\Microsoft\Windows\CurrentVersion\ uxzi.exe 생성  (윈도우 시작시 실행) uwlyipoc 서비스 생성 ###파일 생성실행 파일은 삭제c:\DOC~1\계정명\LOCAL~1\Temp\uwlyipoc.sysc:\DOC~1\계정명\LOCAL~1\Temp\tmp86ab9e96.batc:\DOC~1\계정명\Appl~1\Maob\uxzi.exe ###기타 1.코드는 델파이로 작성되었음2.메일 관련해서 무언가의 동작하는거 같음 3.복사된 uxzi는 38200h부터 저장되는 파일의 끝부분이 다른 값을 가지고 있음.38200h의 첫 4byte는 동일하며 해당 부분은 헤더의 시작을 … Read more

Apache 다중 확장자 업로드 취약점

아파치는 다중 언어의 지원을 위해 MultiViews 옵션을 제공하는데(링크) 이를 악용하여 공격자는 확장자를 속여서 서버 사이드 스크립트의 업로드가 가능하다. .php.bak 확장자로 업로드한 웹쉘 실행 화면 MultiViews를 제거하려면 Directory의 Options에서 -MultiViews를 설정해주면 된다     Options -MultiViews     AllowOverride All     Order allow,deny     Allow from all MultiViews 제거 설정 Apache 2.2부터는 -MultiViews를 명시해주어도 동작하기때문에 … Read more
바로가기