아파치는 다중 언어의 지원을 위해 MultiViews 옵션을 제공하는데(링크) 이를 악용하여 공격자는 확장자를 속여서 서버 사이드 스크립트의 업로드가 가능하다. .php.bak 확장자로 업로드한 웹쉘 실행 화면 MultiViews를 제거하려면 Directory의 Options에서 -MultiViews를 설정해주면 된다 Options -MultiViews AllowOverride All Order allow,deny Allow from all MultiViews 제거 설정 Apache 2.2부터는 -MultiViews를 명시해주어도 동작하기때문에 … Read more
http://technet.microsoft.com/ko-kr/library/dd637706.aspx
http://support.microsoft.com/kb/927521
win2008 check 201510260029.zip 다운로드 ##### 스크립트 Update History ##### 2012-04-25 (v1.1.0)– 각 진단 항목에 대한 권고사항 출력 추가– 6.3 항목 화면 잠금 시간 변수 추가– 6.4 항목 로그 최대 크기 변수 추가– 6.8 항목 진단 방법 수정 (감사 안 함 검색 -> 각 항목별 따로 설정값에 따른 진단) 2012-04-27 (v1.2.0)– 4.2 항목에 대한 점검 추가– … Read more
테스트 환경 : CentOS 5.2 ekrb5-telnet과 telnet이 동시에 켜져 있는 경우 ekrb5-telnet이 적용되서 ekrb5-telnet에 의해 암호화되지 않은 연결이 해제되는 것으로 보인다.
현재 자바 스크립트 악성코드를 분석해보고 있는데 코드들을 상당히 난잡화 해둔 악성코드로 보였다. 무난하게 분석해 나가던 도중에 갑자기 도저히 이해할 수 없는 다음과 같은 코드를 만나고 상당히 많이 당황하였다. ohLgj5=DDrbLO0(‘a1Qe4dG*]6zY^k8b]#&,m8$[x_GD3]Nvj5dsn7[F[8ecu[S34Rlc]4r;iadpDt='[wOrjuux8](/[^xS@0ietrc9p]/g,”)); 위의 코드 중에서 DDrbLO0은 eval 함수를 가리키고 있고 wOrjuux8는 ‘replace’ 문자열을 저장하고 있다. DDrbLO0 = eval; wOrjuux8=’replace’; 처음에는 wOrjuux8의 존재를 눈치 채지 못하고 도저히 eval 함수를 통해 … Read more
Win32.Trojan.Pearmor.416768.pdf 다운로드 (Sample)Win32.Trojan.Pearmor.416768.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!
Win32.FlyStudio.Worm.1289331.pdf 다운로드 (Sample)Win32.FlyStudio.Worm.1289331.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!
http://tuts4you.com/request.php?122 [##_http://kbs3720.tistory.com/script/powerEditor/pages/1C%7Ccfile9.uf@192E9E394F55D39F23837B.png%7Cwidth=%22321%22_##]1번 문제는 라이센스 획득과 관련된 문제로 보인다. (검사 루틴 회피 또는 유효한 라이센스 키 생성) OllyDBG를 실행하고 처음부터 쭉 훑어보면 Keyfile.dat라는 파일을 읽어들이는 부분이 보인다. [##_http://kbs3720.tistory.com/script/powerEditor/pages/1C%7Ccfile3.uf@144D14354F55D3A00F749F.png%7Cwidth=”174″_##]Keyfile.dat라는 파일을 생성하고 실행을하면 정상적인 키파일이 아니라는 메세지가 뜬다. 좀 더 아래에 보면 파일을 읽어들이고 읽어들인 데이터의 길이를 체크하는 부분이 보인다. 키파일은 총 16자의 길이를 가지는 것으로 … Read more
Win32.Xema.Worm.307200.E.pdf 다운로드 (Sample)Win32.Xema.worm.307200.E.7z 다운로드 ※잘못된 내용은 지적해주시면 감사하겠습니다. PDF 파일 : 악성코드 분석 보고서 7z 파일 : 악성코드 샘플 (암호 : sample) ※이 악성코드는 분석 및 학습용으로 공유하는 것이기 때문에 악용을 금합니다!!