| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |
- x64dbg
- 분석
- 사이버안보
- MALWARE
- 랜섬웨어 분석
- CISO 제도 분석
- 보안사고 회고
- L:azarus
- 사이버안보 협약
- 부다페스트 협약
- Malware Tool
- 오래된 지혜
- 랜섬웨어
- VirtualAddress
- 판례평석
- 국제 사이버 범죄
- 블랙바스타
- 독서
- 우크라이나
- 오픈소스 관리체계
- CAN Network
- 릭 릭스비
- 러시아
- 디지털 증거의 증거능력
- Fileless
- Black Basta
- 악성코드
- 악성코드분석
- 오픈체인
- 악성코드 분석
- Today
- Total
목록정보보안 (16)
봔하는 수달
[OSINT] 웹 정찰에 사용되는 OSINT 도구 및 사용실습
얼마전에 웹 서비스 보안에 사용되는 도구들과 OSINT 도구들을 실습해야하는 상황이 생겨서 기록하고자 글을 적는다. 노션 보고서 링크: https://decorous-xenon-b9a.notion.site/30923cb9b7904f6d9722dd0a9163e2cc C&C 서버 확인 C&C 서버(Kali)를 확인하기 위해 ip address 명령어를 통해 확인한다. 해당 명령어를 치게되면 아래와 같이 inet 콘솔에서 해당 IP를 확인 가능하다. 서버 Ping 테스트 테스트 서버와 메일서버와 네트워크상으로 문제가 있는지 확인하기 위해 간단한 Ping 테스트를 통해 네트워크 통신이 원활하게 진행되는것을 확인. RECON-NG recon-ng는 오픈소스 웹 기반 정찰을 빠르고 철저하게 수행할 수 있는 강력한 ..
[ADB] 앱 현재 Activity 정보 획득 방법
사전준비 : Nox, ADB adb connect 127.0.0.1:62001 #NOX Port is 62001 adb devices List of devices attached 127.0.0.1:62001 device adb shell "dumpsys window windows | grep -E 'mCurrentFocus|mFocusedApp'" mCurrentFocus=Window{3975aa7 u0 com.xinhan.smsmanager/com.example.kbtest.BankPreActivity} mFocusedApp=AppWindowToken{f876ca8 token=Token{30bbccb ActivityRecord{f1a7b9a u0 com.xinhan.smsmanager/com.examp..
[법률 동향] CISO 개정안 제도 분석
본문에 앞서 해당 제도 분석은 개인적인 공부를 목적으로 분석을 진행한 것이며 분석한 내용이 틀릴 수 도 있음을 사전에 명시합니다. CISO (정보보호 최고책임자) 정보통신망법 제45조의3제4항 각호에 따른 정보보호 관련 업무에 대한 최종결정권 및 책임, 정보보호 업무 관련 예산 및 인사에 대한 직접적인 권한을 가지는 자. 해당 조항에 따라 다음과 같은 업무를 총괄한다. - 정보보호 계획의 수립 및 시행 및 개선 - 정보보호 실태와 관행의 정기적인 감사 및 개선 - 정보보호 위험의 식별, 평가 및 정보보호 대책 마련 - 정보보호 교육 및 침해사고 모의훈련 계획의 수립 및 시행 CISO 자격 요건 * 시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) 제4항 1. 정보보호 또는 정보기술 분야의 ..
[분석 및 동향]스미싱 피싱 사이트 동향 분석
예전에 보이스피싱이나 스미싱을 하는 범죄자들이 쓰는 피싱사이트를 막기위해서 코드를 짜둔적이 있다. 방식은 그렇게 고도화되어있지는 않았지만 범죄자들이 주로 사용하는 IP 대역에서 국내 기관을 사칭하는 문자열등을 통해서 1차로 검증하고 2차적으로 html에 존재하는 .apk 문자열 등을 통해서 악성코드를 실시간으로 수집을 진행했었는데 어느날 탐지되는 숫자가 줄어들어 직접 원인을 분석하던 도중 신기한 녀석을 발견하여 공유 목적으로 글을 남긴다. 보통 이녀석들의 수법은 문자를 통해서 피해자들에게 사회공학적으로 단축 URL의 접근을 유도한 뒤 APP을 설치하도록 하는데 이때 설치 버튼을 누르게되면 해당 경로의 하위 경로에서 apk 확장자의 파일을 바로 다운로드가 된다. 그런데 오늘 확인된 녀석을 보면 하위 경로가..
[동향] 사이버범죄협약[부다페스트협약]
지난 22년 10월 11일 외교부에서는 사이버범죄협약 가입을 위한 첫 단계로 유럽평의회에 해당 협약에 가입의사가 있다는 가입의향서를 제출하였다. https://www.mofa.go.kr/www/brd/m_4080/view.do?seq=372854&page=1 사이버범죄협약(일명 부다페스트협약) 가입의향서 제출 상세보기|보도자료 | 외교부□ 외교부는 「사이버범죄협약」 가입을 위한 첫 단계로 유럽평의회에 협약 가입의향서*를 제출하였다. * 우리나라가 동 협약에 가입할 의사가 있음을 알리는 유럽평의회 사무총장 앞 외교www.mofa.go.kr 22년도 2월에 사이버보안에 대한 법률 및 협약에 대한 공부를 진행하면서 해당 협약에 관한 국내 법안의 상충과 그에 대한 고찰 보고서를 작성한 이력이 있었는데 그 당시 ..
[2022 RSA Conference 시리즈] Breaking Prometheus Ransomware Crypto Goes Wrong
2022년도 6월 우연한 기회로 해외연수의 기회가 주어졌다. 결론부터 말하자면 학생으로서 본분의 일과 일정이 겹쳐서 대면으로 참석할 수 있는 기회는 포기했지만 정말 운이 좋게도 온라인 티켓으로 대체를 해주셔서 인상적으로 봤던 몇가지를 기록하고자 한다. 오늘은 그 중 가장 인상깊었던 랜섬웨어의 암호 취약점을 통해 복호화하는 세션에 대해서 리뷰하고자한다. https://www.youtube.com/watch?v=PlOjfpXWRyE Breaking Prometheus Ransomware Crypto Goes Wrong Break Ransomware 해당 세션에서는 프로메테우스 랜섬웨어의 암호 취약점을 이용하여 랜섬웨어를 복호화하는 원리와 시연을 확인할 수 있었다. 최초 분석가는 랜섬웨어를 분석하고 간파하기 ..
HWP 악성코드 - 북한 APT Lazarus ‘스타 크루저 작전’
1. 개요 요새 랜섬웨어만 분석을 하다보니 문서형 악성코드에 대한 분석 능력이 떨어지는거 같아서 오래된 샘플에 대해서 분석을 진행하면서 감을 다시 살리고자 해당 샘플을 분석을 진행하였다. 해당 악성코드는 북한의 Lazarus 그룹의 ‘스타 크루저’ 작전에 사용된 APT 공격으로 밝혀졌다. Lazarus는 한글문서에 악성코드를 삽입하여 이메일에 첨부하여 발송하여 공격을 진행한다. 2. 분석 도식도 문서 파일 정보 및 내용 문서 파일은 2018년 10월에 작성되었으며 내용으로는 국가핵심기술 보유인력등에 대한 내용을 다루고있다. SSView를 통해 EPS 파싱(PostScript) BinData영역에 존재하는 압축된 PostScript를 파싱 파싱한 데이터는 압축되어 존재하기 때문에 압축을 해제하기 위한 코드..
x64dbg CreateThread( ) 추적 분석
여러 악성코드를 분석하게되면 네트워크 또는 암호화 루틴에서 좀 더 빠른 기능을 위해 스레드를 생성하는 경우가 많다. 스레드란 프로세스 내에서 실제로 작업을 수행하는 주체이며 모든 프로세스는 한 개 이상의 스레드가 존재하며, 작업하는 스레드가 여러개인것을 멀티 스레드라고 칭한다. 디버깅을 하다보면 하나의 프로세스에 대해서 추적 분석을 진행하게 되지만 동작중에 여러갈래로 스레드가 나뉘게 되면 추적하기가 어렵게된다. 이러한 상황에서 x64dbg의 설정을 한개 만져주게 되면 해당 스레드의 동작과정을 추적 가능하게된다. x64 dbg에서는 여러 이벤트를 탐지가능하지만 이를 중단시키는 기능은 기본적으로 시스템의 Entry Point등을 제외하고는 옵션이 꺼져있다. 간단하게 스레드 진입점 버튼을 체크하여 활성화해주게..