봔하는 수달

지난 22년 10월 11일 외교부에서는 사이버범죄협약 가입을 위한 첫 단계로 유럽평의회에 해당 협약에 가입의사가 있다는 가입의향서를 제출하였다. https://www.mofa.go.kr/www/brd/m_4080/view.do?seq=372854&page=1 사이버범죄협약(일명 부다페스트협약) 가입의향서 제출 상세보기|보도자료 | 외교부□ 외교부는 ｢사이버범죄협약｣ 가입을 위한 첫 단계로 유럽평의회에 협약 가입의향서*를 제출하였다. * 우리나라가 동 협약에 가입할 의사가 있음을 알리는 유럽평의회 사무총장 앞 외교www.mofa.go.kr 22년도 2월에 사이버보안에 대한 법률 및 협약에 대한 공부를 진행하면서 해당 협약에 관한 국내 법안의 상충과 그에 대한 고찰 보고서를 작성한 이력이 있었는데 그 당시 ..

보호되어 있는 글입니다.

2022년도 6월 우연한 기회로 해외연수의 기회가 주어졌다. 결론부터 말하자면 학생으로서 본분의 일과 일정이 겹쳐서 대면으로 참석할 수 있는 기회는 포기했지만 정말 운이 좋게도 온라인 티켓으로 대체를 해주셔서 인상적으로 봤던 몇가지를 기록하고자 한다. 오늘은 그 중 가장 인상깊었던 랜섬웨어의 암호 취약점을 통해 복호화하는 세션에 대해서 리뷰하고자한다. https://www.youtube.com/watch?v=PlOjfpXWRyE Breaking Prometheus Ransomware Crypto Goes Wrong Break Ransomware 해당 세션에서는 프로메테우스 랜섬웨어의 암호 취약점을 이용하여 랜섬웨어를 복호화하는 원리와 시연을 확인할 수 있었다. 최초 분석가는 랜섬웨어를 분석하고 간파하기 ..

https://casenote.kr/%EB%8C%80%EB%B2%95%EC%9B%90/2017%EB%8F%8413263 대법원 2017도13263 - CaseNote casenote.kr 본문에 앞서 저는 법학을 전공하지 않았고 디지털포렌식 관점에서 공부를 위해 판례를 평석한것이므로 본문은 지극히 개인의 의견이며 부족한 점은 지적해주시면 수정하도록 하겠습니다. 판례 내용 법정에서 디지털 증거가 증거능력을 인정받기 위해서는 동일성, 무결성 등이 요구된다. 대상 판례에서는 원심에서 공소외인1)이 수사과정에서 검찰 수사관으로부터 해시(Hash)값을 통해 USB 원본과 복사본의 동일성을 확인한 후 이에 대한 사실확인서에 서명한 점, 그리고 제1심에서 검사가 공소외인이 작성자임을 확인하는 질의 내용에 각각 동의한..

작년 이 맘때 보안업계에서 log4j 취약점때문에 주변 선배들이 밤낮으로 바쁘게 움직였던게 생각이난다. 그 여파가 아직은 계속있지만 벌써 1년이 넘어간 시점에서 다시 한번 오픈소스 취약점에 대해서 얼마나 큰 여파를 줬는지 앞으로 어떻게 대응할지에 생각하기위해서는 이를 회고할 필요가 있기에 이렇게 다시 한번 정리하고자 한다. Log4j란 무엇인가? - log4j의 기능은 웹 서비스 동작 과정에서 일어나는 일련의 모든 기록을 남겨 침해사고 발생 및 이상징후를 점검하기 위해 필수적으로 필요한 기능이다. 무료로 제공되는 오픈소스 프로그램으로 Java 기반의 모든 어플리케이션에서 사용 가능하다. Log4j 보안 취약점 개요 Log4j는 Java기반 오픈소스 유틸리티로 엔터프라이즈 애플리케이션과 웹사이트에서 많이 ..

1. 개요 요새 랜섬웨어만 분석을 하다보니 문서형 악성코드에 대한 분석 능력이 떨어지는거 같아서 오래된 샘플에 대해서 분석을 진행하면서 감을 다시 살리고자 해당 샘플을 분석을 진행하였다. 해당 악성코드는 북한의 Lazarus 그룹의 ‘스타 크루저’ 작전에 사용된 APT 공격으로 밝혀졌다. Lazarus는 한글문서에 악성코드를 삽입하여 이메일에 첨부하여 발송하여 공격을 진행한다. 2. 분석 도식도 문서 파일 정보 및 내용 문서 파일은 2018년 10월에 작성되었으며 내용으로는 국가핵심기술 보유인력등에 대한 내용을 다루고있다. SSView를 통해 EPS 파싱(PostScript) BinData영역에 존재하는 압축된 PostScript를 파싱 파싱한 데이터는 압축되어 존재하기 때문에 압축을 해제하기 위한 코드..

CAN 네트워크란? - 1980년대 독일의 Bosch 사에서 차량 내 ECU들의 양방향 통신을 지원하기 위해 설계된 'serial bus' 통신 방식 - 차량, 항공기, 산업용 제어기 등 다양한 곳에서 사용되며 차량 보안에서 주요한 쟁점 다양한 필드등이 존재하며 필드가 포함하는 정보는 아래와 같다. SOF Arbitration Field Control Field Data Field CRC Sequence DEL ACK DEL EOF ITM SOF(Start Of Frame) : 메시지의 처음을 지시하고 동기화를 위해 사용됨. Arbitration Field : 중재 필드로서 11비트 또는 29비트의 크기를 갖으며 메시지간의 충돌을 조정하는 역할을 수행. Control Field : 2비트의 IDE(IDe..

여러 악성코드를 분석하게되면 네트워크 또는 암호화 루틴에서 좀 더 빠른 기능을 위해 스레드를 생성하는 경우가 많다. 스레드란 프로세스 내에서 실제로 작업을 수행하는 주체이며 모든 프로세스는 한 개 이상의 스레드가 존재하며, 작업하는 스레드가 여러개인것을 멀티 스레드라고 칭한다. 디버깅을 하다보면 하나의 프로세스에 대해서 추적 분석을 진행하게 되지만 동작중에 여러갈래로 스레드가 나뉘게 되면 추적하기가 어렵게된다. 이러한 상황에서 x64dbg의 설정을 한개 만져주게 되면 해당 스레드의 동작과정을 추적 가능하게된다. x64 dbg에서는 여러 이벤트를 탐지가능하지만 이를 중단시키는 기능은 기본적으로 시스템의 Entry Point등을 제외하고는 옵션이 꺼져있다. 간단하게 스레드 진입점 버튼을 체크하여 활성화해주게..