이른 바 shellshock로 알려진 Bash 취약점이 발견된지 며칠지났습니다.


Apple에서도 9월 29일 Mac의 OS X 패치를 공개했습니다.

아쉽게도 자동 업데이트로 적용되지 않고 프로그램을 다운로드 받아 실행 해야만 합니다.


게다가 버전별로 따로 다운로드 받아야 합니다.






애플에서는 보안 위험이 낮다고 생각해 저렇게 배포하는 듯 한데 조금 아쉽네요.




Posted by mstoned7

댓글을 달아 주세요


[Special Report] POS 시스템도 해킹 안전지대 아니다 (월간 안, 2014년 9월호)


http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=22820&dir_group_dist=0





-------


올해는 POS 시스템 악성코드로 상반기를 다 보냈네요.


사실 이 글까지 오게 된건 2013년 11월 발생한 미국 Target 사 해킹에 사용된 악성코드에서 'Korea'라는 문자열을 발견해서 입니다.


"악성코드 내에 Korea' 라는 문자열이 있습니다."

"그래 ? 좀 더 파봐..."


Target 사 공격 악성코드를 보면서 Target 해킹 방식을 파악하고 2014년 4월에는 국내 POS 시스템 관리 업체를 해킹한 일당이 검거도 알려집니다. 해당 악성코드 정보를 얻어 차근차근 따라가보니 바꿔치기 된 파일 등도 알 게 되었습니다.


그러다가 결국 2009년 - 현재까지 주요 POS 시스템 노린 악성코드를 쓰게 되었습니다.



당분간 POS 시스템에서 카드 긁을 때 한번 더 고민해야 하지 않을까 합니다.

보다 안전한 POS 시스템이 되었으면 합니다.






Posted by mstoned7

댓글을 달아 주세요

  1. 잡다한 처리 2014.09.02 09:36 신고  댓글주소  수정/삭제  댓글쓰기

    궁금했던 부분이 이 글로 인해 풀렷네요 ㅎㅎㅎ
    잘봤습니다^^

2014년 2분기 주요 정보보안 소식입니다.




case study는 국내 POS 시스템 관리 업체 서버 해킹 관련 정보입니다.


해당 내용은 월간 안에도 실릴 예정입니다

글은 7월 말 완료되었는데 내부 사정으로 월간 안에는 다음 달에 실릴 예정입니다.


원래 월간 안과 이 자료를 동시에 공개하려 했는데 한달 늦어져 일단 일부 자료만 공개합니다


결론은 국내 POS 시스템 관리 업체 보안은 .... TT 






2014년 2분기 주요 정보보안 소식_공개판_차민석_20140801.pdf



Posted by mstoned7

댓글을 달아 주세요

  1. 개굴개굴왕 2014.08.04 17:19 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요. 블로그 내용이 좋아서♡ 블로그모음 서비스인 블로그앤미(http://blogand.me) 에 등록했습니다. 원하지 않으시면 삭제하겠습니다. 좋은 하루 되세요. ^^

매일 반복되는 샘플 분석 중에는 어디서 본 듯한 샘플을 분석하기 보다 새로운 샘플 분석이 아무래도 더 재미있죠.


뭔가 이상한 샘플이 눈에 띄었습니다.

 

Pdb 정보에는 TroyaN, DayZHack와 같은 문자열이 존재해 의심하기 충분했습니다.





변형을 검색해보니 6개나 있더군요.


그리고, 군과 관련된 문자열, Bot, Zombie 등의 문자열이 나와서 더욱 확실해 졌습니다.




요걸로 페이퍼나 하나 쓸까하는 행복한(?) 상상도 끝...


IDA로 실제 코드를 봤을 때 키로깅에서 많이 사용되는 API가 보였지만 웬지 평범한(?) 백도어와는 달랐습니다.


이 샘플이 이상하다고 느낀 결정적인 사항은 d3d9.dll을 이용하는 코드였습니다.

문득 다이렉트X 3D 버전9 파일이 아닐까 하는 생각이 들더군요.



악성코드에서 웬 다이렉트 X를... ?!


몇가지 정황에서 이건 게임과 관련된게 아닐까하는 의심이 들었습니다.


인터넷 검색을 통해 DayZ라는 게임이 있네요. (....)




뭔가 새로운 악성코드라고 생각했는데 게임 봇이었다니…

약간의 허털감...



어릴 때부터 컴퓨터를 해왔고 게임을 즐겨 했지만 나이가 들면서 게임 할 시간이 없고 요즘 게임은 거의 하지 못해 게임을 잘몰라서 발생한 일입니다.

특히 악성코드와 게임 오토 프로그램 용어가 유사 (Hack, bot, zombie, Troyan ....)하고 입력 부분을 가로채는 기능 등이 존재해 발생하는 헤프닝이기도 합니다.



결론은 악성코드 분석가들이여 게임을 하자 !

(좀.. 이상하네요 ㅋ)




Posted by mstoned7

댓글을 달아 주세요

  1. Codetronik 2014.07.28 14:58  댓글주소  수정/삭제  댓글쓰기

    그래서 제가 보안을 더 잘하기 위해 최신 게임의 트렌드를 파악하고 있죠~!(라고 자기 합리화 중)



- 구글 선임 엔지니어 "안드로이드 보안 앱 까느니, 방탄 조끼 입고 침대에서 나서라"

http://techneedle.com/archives/17503


물론 구글 엔지니어가 "우리 제품 보안에 취약합니다."라고 말할 수는 없을 겁니다.

하지만, 현실을 제대로 보지 못하는 문제가 크네요.

(애써 외면하는 걸로 보이네요.)


현존하는 모바일 악성코드 대부분이 Android 기반입니다.

국내에서는 인터넷 뱅킹 탈취 악성코드가 문제가 심하지만 외국도 각종 사용자가 불편하게 느끼는 광고 앱, 백도어가 출몰하고 있습니다.


게다가 구글 앱을 통해서도 악성 앱이 배포된 사례가 있으니 앱 자체도 마음놓고 설치하기 어렵습니다.


물론 확률의 문제이긴 합니다.

하지만, 확률을 낮추는 환경을 만들고 나서 저런 얘기를 해야 하지 않을까 합니다.


마이크로소프트사가 보안 문제가 윈도우의 발목을 잡을 수 있다고 심각하게 생각한 것 처럼

구글도 계속 이 상태로 가면 안드로이드 보급의 발목을 잡을 수 있을 겁니다.


당장 저부터 보안 생각해서 스마트폰으로 갈아타면 안드로이드가 아닌 아이폰으로 바꾸려고 합니다.

(통신사까지 바꿔야하는 귀찮음이 있습니다만...)









Posted by mstoned7

댓글을 달아 주세요

  1. 벌새 2014.07.12 11:39 신고  댓글주소  수정/삭제  댓글쓰기

    아직 스마트폰이 아니신가 봅니다? 저도 그런데..ㅎ

2014년 6월 14일 wowhacker 세미나에서 발표한 'PE 파일은 시작일 뿐..'입니다.

소개, 짤방 등을 제거했습니다.


제목도 다소 밋밋하게 바꿨습니다.


시간을 잘못봐서 폭주해서 1시간 20분 동안 발표한 자료입니다 ㅋ

시간 관계상 몇몇 악성코드는 빠져있고 대충 넘어간 파일 종류도 많은데 이후 업데이트 예정입니다. 



악성코드 파일 종류_차민석_20140618.pdf



Posted by mstoned7

댓글을 달아 주세요

  1. Codetronik 2014.06.19 08:41 신고  댓글주소  수정/삭제  댓글쓰기

    감사히 잘 보겠습니다

  2. penguin 2014.06.19 14:34  댓글주소  수정/삭제  댓글쓰기

    감사합니다. 잘 볼께요!

  3. 로그에 2014.06.23 14:49  댓글주소  수정/삭제  댓글쓰기

    휴리스틱 오진인 것 같은데...5월30일도 있는 거 봐서...antivir쪽에 빨리좀 해주셨으면...
    Virus or unwanted program 'HEUR/Malware [heuristic]'
    detected in file 'C:\Program Files\V3Lite\ASC\79\fse_file.dll.
    Action performed: Deny access

백신 시리즈입니다.


순서는 백신(Vaccine) -> 백신2 (Vaccine) -> V2Plus -> V3 -> V3+ -> V3+ Neo 입니다.



먼저 1988년 Brain 바이러스 퇴치를 위해 제작된 백신(Vaccine) 프로그램입니다.



1989년 발견된 LBC 바이러스를 퇴치하기 위해 백신 II (Vaccine II)가 제작됩니다.



예루살렘 바이러스(Jerusalem virus)가 발견되면서 파일을 검사 할 수 있는 기능이 추가된 백신2 플러스 (V2Plus) 1.0 입니다.



V2Plus 의 진단법 등을 새롭게 개선한 백신3(Vaccine III, 줄여서 V3) 입니다.

정식버전은 37개 바이러스를 진단/치료 할 수 있었습니다.



1995년 안철수컴퓨터바이러스연구소(헉.. 길다)가 만들어지면서 어셈블리로 제작된 소스코드를 C 언어로 포팅하는 대대적인 작업이 있었습니다. (이때부터 V3.COM 에서 V3.EXE가 됩니다.)



1999년 UI 를 개선한 V3 플러스 네오(Vaccine III Plus Neo, V3 Plus Neo)가 탄생합니다.



이후 DOS 메모리 문제로 컴파일러도 변경되고 엔진도 Flight 에서 TS 엔진이 적용된 V3+ Neo가 나옵니다.

(겉모습은 크게 변한게 없습니다.)


2010년 마지막 도스 버전 V3+ Neo 입니다.

도스 프로그램 주제에(?) 160 MB 에 육박하는 거대한 프로그램입니다.











Posted by mstoned7

댓글을 달아 주세요

  1. 2014.05.22 15:27  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. 하지 2014.05.31 11:39  댓글주소  수정/삭제  댓글쓰기

    하하하...다는 아니더라도...옛날PC통신 때 거는 지워서 없더라도...
    인터넷 시대 버전은 조금 갖고는 있는데...그닦 필요는 없지만 소장용...
    ...
    바이러스 검사하려면...그냥 v3lite 하면 될 것을...
    ...
    ps>윈98이라면 날짜지나면 경고문구나오는 v3대신...
    다른 거 옛날걸로 검사하는 방법도 있는데...
    ...
    ps>work 프롬프트라...한글 설치하면 나오는 기본 디렉토리인가요...
    아니면 작업하시느라...만드신 건지...^^
    아니면 작업용img복원에 걍 되어있어서 거기서 하시는 건지도...^^

  3. lbc바이러스 소스 2014.06.07 21:22  댓글주소  수정/삭제  댓글쓰기

    관리자의 승인을 기다리고 있는 댓글입니다


2014년 1분기 주요 정보보안 소식입니다.


분기별로 자료를 정리하다 보면 늘 빼먹는게 늦게 발견되네요.

그리고 시간과 노력에 비해 페이지 수는 크지 않네요 ...






2014년 1분기 주요 정보보안 소식(공개판)_20140503.pdf


Posted by mstoned7

댓글을 달아 주세요

  1. 2014.05.17 14:43  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. earth 2014.05.17 18:57  댓글주소  수정/삭제  댓글쓰기

    계속 시비와 딴지를 건다면, 그건 좌던,우던,
    언론이 아니라, 공산x+쪽xx+찌xx 뿐 (반대를 위한 반대)
    자기네 편에겐 관대하고, 반대파만 디스하고,
    ,
    와~ 참세o,여성oo 등은 봐주더라도,
    ,
    한~,프~,경~,등, 다시 보게 됐음, 이건 좌 신문도 아니야~ ㅂㅅㅁ,
    ,
    ps>진실 포함된 기사 찾기가 좀 힘드네요
    http://news.naver.com/main/read.nhn?oid=008&aid=0003256961
    http://news.naver.com/main/read.nhn?oid=023&aid=0002742359
    http://news.naver.com/main/read.nhn?oid=088&aid=0000341752
    ,
    ps>이분 사퇴하신다더니 말바꾸신듯, 보소, 어느나라 나리들쇼?
    ,
    http://news.naver.com/main/read.nhn?oid=047&aid=0002055855
    ~ - '새누리당은 기초연금법 처리하지 말라, '배째라'는 식이었다,
    이런 상황에서 우리가 받아낼 게 없다'고 하더라.
    새정치연합이 무언가를 얻어낼 수 있는 상황이 아니었다는 것이다.
    ->
    :그렇다면 기초연금법 처리가 안 된 상태에서 지방 선거를 치렀어야 했다.
    이미 세월호 때문에 모든 이슈가 그 쪽으로 흘러갔고 정세 분석가들도,
    지방 선거에서 세월호 이외의 것들이 쟁점화되리라고 보지 않고 있었다.
    ...통과가 안 됐을시,
    그게 무조건 야당 탓이 되겠나. 야당만 일방적으로 욕 먹는 상황은 아니었다.~


Injection 기법 및 분석법입니다.


숭실대 수업 자료 중 일부로 공개 버전을 만들었습니다.


최근 유행하는 기법은 아직 반영되어 있지 않습니다.

(추후 업데이트 예정입니다.)


* 자료의 일부는 팀 사람들 발표 자료를 복사했습니다 ~



Injection 기법_20140417_공개 버전.pdf






Posted by mstoned7

댓글을 달아 주세요

  1. 질문글 2016.06.13 16:32  댓글주소  수정/삭제  댓글쓰기

    강의글 재미있게 봤습니다.
    injection 기법에 대해서 공부하고있는데
    최근 유행하는 기법에 대해서도 궁금해서 그런데
    혹시 자료 공유가능할까요??

페북 모님으로 부터 패킷을 받았습니다.

(다시 한번 감사합니다.)


fiddler에서 사용하는 saz 이군요.

(실제 파일은 zip 파일입니다.)


1. fiddler 설치


fiddler은 .Net 을 필요로 합니다.

윈도우 7에서는 닷넷 4.x가 포함되어 있으니(저는 별도 설치한 기억이 없으니) fiddler v4 버전을 설치합니다.


http://www.telerik.com/download/fiddler 에서 다운로드 합니다.


회사에서는 대체로 자동화된 시스템에서 샘플이 수집 되어서 패킷을 보는 경우는 많지 않은데 요즘은 fiddler 를 많이 사용하더군요.


몇 번 사용 안 해봐서 아직 익숙하지는 않습니다.



2. saz 열기


[File] -> [Load Archive]로 saz 파일을 엽니다.

그럼 주고 받은 패킷이 화면에 나옵니다.



3. 경유지 찾기


어떤 tistory.com 에 접속했을 때 패킷 기록임을 알 수 있습니다.


흐름을 보니 갑자기 이상한 사이트(www.happy*.co.kr/css/index.html)가 눈에 들어옵니다.




코드도 좀 이상합니다.




이 페이지를 어디서 로드하는지 역으로 하나하나 패킷 내용을 확인합니다.

광고 플러그인 페이지에서 iframe으로 www.happy*.co.kr/css/index.html을 로드하는걸 볼 수 있습니다.






오케이...

티스토리 접속 -> 광고 플러그인 로드 -> 광고 플러그인은 iframe으로 www.happy*.co.kr/css/index.html 로드 라는걸 알 수 있습니다.


4. 배포처 찾기


좀 더 내려가보면 www.car*.net/data/file/b.exe에서 파일을 다운로드 되는걸 확인 할 수 있습니다.


파일도 MZ와 PE 를 포함하고 있으니 PE 파일임을 알 수 있습니다.



배포 된 주소해 파일을 다운로드 하려니 '공격 사이트 보고!'가 가로 막아 버리네요.

(현재는 해당 파일이 삭제되어서 파일이 다운로드 되지 않습니다.)




5. b.exe 뽑아 내기


웹브라우저에서 접근 할 수 없으니 (다른 웹브라우저를 이용하거나 wget으로 다운로드 하면 됩니다만...)

Fiddler에서 파일 다운로드 해보겠습니다.


일단 www.car*.net/data/file/b.exe 요청 부분으로 옮겨갑니다.


파일 저장은 [File] -> [Save] -> [Response] -> [Response Body]로 할 수 있습니다.


http://www.car*.net/data/file/b.exe 를 요청해서 응답하는(Response Body)만 받으면 악성코드 본체만 다운로드 할 수 있습니다.





b.exe 다운로드 창이 뜹니다.




이제 저장하고 (안전을 위해 확장자를 exe_와 같이 바꿔주는 센스!)




*** 결론


패킷이나 이런 부분은 시큐리티 파트 분들이 잘하다보니 저의 툴 사용 방법을 보고 뭘 저렇게 해 ?! 하는 분들도 있을 듯 합니다.

오래된 파일 분석가의 한계... TT

요즘 어린(?) 분석가들은 이런 툴 잘 사용하겠죠 ?!





Posted by mstoned7

댓글을 달아 주세요

  1. 벌새 2014.03.16 21:28 신고  댓글주소  수정/삭제  댓글쓰기

    Fiddler로 파일 추출하는 것은 저 방법이 정석일 것 같습니다.^^

  2. Auditor Lee 2014.03.17 00:55  댓글주소  수정/삭제  댓글쓰기

    이미 패킷 캡처된 거라서 우측 창의 소스를 에디터에 복사&붙여넣기 하고 다른 이름으로 저장하면 됩니다.

    • mstoned7 2014.03.17 09:13 신고  댓글주소  수정/삭제

      패킷과 사용법 다시 한번 감사합니다. safari에서도 제 블로그 지금 차단 중이네요 TT 광고 플러그인도 뺐는데.. 구글에서 아직 제외 안했나 보네요 ㅎㅎ

  3. 애뽀 2016.05.29 00:14  댓글주소  수정/삭제  댓글쓰기

    쿨캣님 fidder이 설치는 되지만 켜지지가 않을땐 어찌해야하나요...