-
오늘 웹쉘 탐지와 관련하여 흥미로운 툴을 봐서 기록에 남깁니다. 웹쉘 탐지와 관련해서 국내에도 많은 솔루션이 나와 있는데 이 툴 또한 꽤나 퍼포먼스도 좋고 잘 탐지하는거 같습니다. 무엇보다 obfuscated 된 파일에 대해서도 탐지를 할 수 있다는 점이 신선하네요. 탐지 방법은 엔트로피를 이용하여 통계적인 방법을 이용해 탐지하는 것으로 보입니다. 다운로드 : https://github.com/Neohapsis/NeoPI 간단하게 제 리눅스 서버에 몇가지 […]
-
최근에 새로운 루틴으로 암호화 하는 형태를 발견하여 분석 하였습니다. 코드를 확인한 결과 기존에 작성했던 스크립트로는 복호화가 되지 않아 조금 수정하였습니다. (기존에 작업한 스크립트 : https://jjoon.net/page/?p=238) 수정한 코드로 작업한 내용입니다. D:\Python Programming\Python Code\Malware\Script Analysis>wget http://wkmf.swim.org/bbs/images/top.gif –2011-04-07 00:06:33– http://wkmf.swim.org/bbs/images/top.gif Resolving wkmf.swim.org (wkmf.swim.org)… 121.189.59.232 Connecting to wkmf.swim.org (wkmf.swim.org)|121.189.59.232|:80… connected. HTTP request sent, awaiting response… 200 OK Length: 74556 […]
-
이번 첼린지는 메모리 덤프에 대한 분석인데, 처음 해보는거라 풀이를 참고했다. 우선 Volatility 툴을 처음 알게되었고 사용법을 어느정도 익히게 된거 같아 나름 뿌듯하다. http://www.honeynet.org/challenges/2010_3_banking_troubles 1. List the processes that were running on the victim’s machine. Which process was most likely responsible for the initial exploit? (2pts) 우선 프로세스 리스트는 Volatility (https://www.volatilesystems.com/default/volatility) 를 이용하여 확인할 수 있다. […]
-
두번째 문제이다. 이번 문제는 평소에 자주 분석하던 유형의 문제라 재밌게 푼거 같다. URL : http://www.honeynet.org/challenges/2010_2_browsers_under_attack 1. List the protocols found in the capture. What protocol do you think the attack is/are based on? (2pts) 전체 패킷이 745개 이며 이중 553개가 TCP 프로토콜이며 이중 126개가 HTTP 프로토콜이다. 따라서 HTTP를 통해 공격이 이루어 졌을것으로 보인다. 확인은 Wireshark에서 […]
-
예전부터 한번 풀어봐야지 하고 생각했던걸 이제서야 풀어보려고 한다. 영어의 압박이 있긴 하지만……. URL : http://www.honeynet.org/node/504 1. Which systems (i.e. IP addresses) are involved? (2pts) 1번 문제는 간단하게 어떤 시스템이 관여되어 있는지 확인하는 문제이다. Wireshark를 통해 Conversations 기능을 이용하여 확인하면 쉽게 확인할 수 있다. 대충 몇몇 패킷을 확인하니 공격자는 98.114.205.102 시스템이며 공격 받는쪽은 192.150.11.111 시스템이다. 2. […]
-
정규식을 작성할때 내가 작성한 정규식이 제대로 매칭 되는지 확인할 필요가 있습니다. 그럴 경우에 유용하게 사용되는 툴이라 기록해 둡니다. http://kodos.sourceforge.net/
-
Bruteforce 용 사전 파일 생성 시 예제 코드 입니다. #!C:\Python27\Python.exe #-*- coding:utf-8 -*- import itertools alpha = '123' ''' 111 112 113 122 123 133 222 223 233 333 ''' for s in itertools.combinations_with_replacement(alpha, 3): output = ''.join(s) print output ''' 123 132 213 231 312 321 ''' for s in itertools.permutations(alpha, 3): output = […]
-
문제 소스는 아래와 같다. /* The Lord of the BOF : The Fellowship of the BOF – dark knight – remote BOF */ #include <stdio.h> #include <stdlib.h> #include <errno.h> #include <string.h> #include <sys/types.h> #include <netinet/in.h> #include <sys/socket.h> #include <sys/wait.h> #include <dumpcode.h> main() { char buffer[40]; int server_fd, client_fd; struct sockaddr_in server_addr; struct sockaddr_in client_addr; int […]
-
우선 문제 소스는 아래와 같다. /* The Lord of the BOF : The Fellowship of the BOF – xavius – arg */ #include <stdio.h> #include <stdlib.h> #include <dumpcode.h> main() { char buffer[40]; char *ret_addr; // overflow! fgets(buffer, 256, stdin); printf(%s\n, buffer); if(*(buffer+47) == '\xbf') { printf(stack retbayed you!\n); exit(0); } if(*(buffer+47) == '\x08') { printf(binary […]
-
지난 1월 14일 ~ 16일 사이 파도콘 CTF 예선이 치뤄졌습니다. 저는 0x0R 팀으로 참가하여 9위로 대회를 종료하였습니다. Now, we notice real ranking of padocon CTF 2011 online. there were some problem about reliable service and linux kernel. but, many team which participated in this competiton noticed us about these problem. and they played and enjoyed […]