안녕들 하시죠 !

저번시간에는 악성코드를 만든 후 카카오톡 설치파일과 합치고, 핸들러를 켜 놨었습니다.

이제 피해자PC에서 악성코드를 실행시키고 들키지않게 프로세스 목록에서 숨겨보겠습니다.

준비가 안되신 분들은 아래의 URL을 따라해보시면 좋겠습니다.

https://hongpossible.tistory.com/36?category=770424 // 1. Veil-evasion을 이용한 백신에 탐지되지 않는 악성코드 만들기

https://hongpossible.tistory.com/37?category=770424 // 2. 악성코드와 정상적인 설치파일 합치기

피해자 PC로 카카오톡 설치파일을 이동 후, 실행시키게되면 공격자PC에서는 세션이 오픈됩니다.

sessions 명령어를 통해 세션을 확인한 후,

sessions -i 1 로 1번세션과 연결을 합니다.

sysinfo로 피해자PC의 사양 확인, pwd로 현재 경로를 확인합니다.

피해자PC에서 작업관리자에 들어가보면 저렇게 대놓고 hongpossible.exe 가 실행되고 있음을 알 수 있습니다.

알아차리지 못하도록 migrate명령어를 이용해 다른 프로세스로 이주( 도망 )해 보겠습니다.

우선 ? 를 입력해 명령어 목록을 보겠습니다.

밑으로 쭉 내려보시면 migrate = Migrate the server to another porcess 라고 되어있는 것 보니 맞습니다.

운영체제가 돌아가는 동안 필수적인 프로세스라 하면 explorer.exe가 있는데요.

ps -S explorer.exe

explorer.exe의 PID가 1996이라고 나옵니다.

이제 migrate 1996 명령어를 통해 몸을 숨기겠습니다.

감쪽같이 사라졌습니다.

오늘은 여기까지입니다 감사합니다 !

안녕들 하시죠 !

이번시간에는 앞서 만든 악성파일을 가지고 카카오톡 설치파일과 합쳐보겠습니다.

악성코드가 없으신 분들은 아래의 URL을 보고 따라해보시면 될 것 같습니다.

https://hongpossible.tistory.com/36?category=770424 // Veil-evasion을 이용한 백신에 탐지되지 않는 악성코드 만들기

자, 우선 Window7에 악성파일 hongpossible.exe 와 가장최신버전 카카오톡 설치파일을 옮겨보겠습니다.

이제 저는 파일 합치는프로그램으로 PowerMerger 와 아이콘 변환 프로그램 reshack을 사용하겠습니다.

프로그램이 없으신 분들께서는 아래에서 다운받아주세요.

PowerMerger_파일합치기.zip

reshack3.6.0.92.zip

압축을 풀고 PowerMerger 폴더로 들어가 실행시키겠습니다.

화살표가 가리키고있는 icon의 '...'을 눌러보시면 프로그램을 합친 후에 보여질 아이콘을 선택할 수 있습니다.

우선 합친 후 다시 카카오톡 아이콘으로 바꿀 것 이기때문에 아무거나 마음에 드는걸로 눌러주겠습니다.

PowerMerger는 1st에 있는 프로그램을 먼저 실행 시키고 바로 이어서 2nd에 있는 프로그램을 실행시킵니다.

목적은 정상적으로 카카오톡 설치파일이 실행되는 것 처럼 보여야 하기때문에 1st 의 '...' 버튼을 누르고 카카오톡 설치파일을 선택해줍니다.

2nd에는 hongpossible.exe 악성코드를 선택하겠습니다.

자, 누가봐도 카카오톡 설치파일이 아닌 것 같은 파일이 하나 만들어졌습니다.

이제 reshack 프로그램을 이용하여 카카오톡 설치파일 아이콘으로 바꿔주겠습니다.

reshack 프로그램을 실행 시켜주신 후에, 아까 PowerMerger로 합친 파일을 끌어서 흰 부분에 넣어줍니다.

그러면 icon 과 icon Group이 나오게 됩니다.

icon -> 1 -> 1040 마우스 우측 버튼을 누른 후에 자원 교체를 누르겠습니다.

새 아이콘 파일 열기 -> 카카오톡 설치파일 선택 -> 열기 -> 교체 순으로 진행하겠습니다.

파일 -> 저장을 선택하겠습니다.

그리고 나서 Merged 폴더에서 F5번을 눌러 새로고침을 누르겠습니다.

자, 원하는 대로 카카오톡 실행파일 아이콘으로 변경이 되었습니다.

이제 KaKaoTalk_Setup.hongpossible.exe 라는 파일명에서 이름바꾸기를 통해 hongpossible를 지우겠습니다.

이제 누가봐도 카카오톡 설치파일처럼 보이네요 !

다음시간에는 제작한 카카오톡 악성코드를 가지고 피해자PC에서의 권한상승, 키스캔 등 여러가지 방법으로 실습 해보겠습니다.

오늘은 여기까지입니다 감사합니다 !

안녕들 하시죠 !

이번시간에는 Veil-evasion을 이용하여 백신에 탐지되지 않는 악성코드를 만들어보겠습니다.

1. Veil-evasion을 이용해 악성코드 제작.

2. Virustotal로 악성코드 검사.

3. 카카오톡 설치파일과 악성코드를 합치고 아이콘수정.

4. 피해자PC에서 악성코드 실행 후, migrate명령어로 프로세스 숨기기.

5.  keyscan, 엑셀 파일 업,다운로드, screenshot, run vnc로 피해자PC 감시.

6. 권한상승, 윈도우 SAM파일에 저장되어있는 패스워드 dump뜨기.

이러한 순서로 진행해보겠습니다.

Veil-Evasion.py를 클릭해 실행시키겠습니다.

41개의 payload를 가지고있는 Veil-evasion이 실행됬네요.

list를 입력해 페이로드를 보겠습니다.

meterpreter는 os에 상관없이 장악한 피씨가 어떤 종류건 간에 공격자가 자주 사용하는 시스템 명령어를 예약시켜놓고있습니다.

그래서 윈도우 명령어를 몰라도 되는 장점이 있습니다.

python/meterpreter/rev_tcp 라고 되어있는 27번을 사용하겠습니다.

c/meterpreter/rev_tcp를 선택해도 되겠지만, C를 사용하면 백신에 걸려버리기때문에 python을 이용해 만들겠습니다.

use 27을 입력하겠습니다.

자, 이제 set LHOST [ 본인 kali ip ], set LPORT [ 임의의 포트 ] 를 입력하고 확인을 위해 info 들어가겠습니다.

잘 입력이 되었네요.

이제 generate를 입력하겠습니다.

위에 hongpossible은 악성코드명,

1 - Pyinstaller ( default ) 는 피해자PC에 파이썬을 깔고 악성코드를 실행시켜주겠다. 라는건데 이것때문에 잡히기도 한답니다.

* 도중에 오류로 vm을 바꿔 진행하여 ip주소가 다르게 나옵니다.

주황색 부분의 악성코드경로를 복사합니다.

Ctrl + Shift + T를 눌러 새 터미널을 띄우고,

cp /usr/share/veil-output/compiled/hongpossible.exe /root/Desktop/ 을 입력해 바탕화면 경로로 악성코드 복사.

안녕들 하시죠 !

오늘은 구글 애드센스 신청에 대해 알아보겠습니다.

간단한 과정이니 걱정 안하셔도 될 것 같습니다.

아래의 URL로 접속해 지금 가입하기를 눌러주세요.

https://www.google.co.kr/adsense/start/#/?modal_active=none

URL입력, 이메일 주소, 아니요 체크 후 넘어가시면 됩니다.

이제 국가선택과 이용약관을 동의 하신후에 계정만들기를 진행하시면 됩니다.

이제 개인정보를 확인하신후 제출 하시면 됩니다.

다음 페이지에서는 어떤 코드가 나와있는데요.

이 코드를 복사 -> 티스토리 html에 코드 삽입 -> '코드를 사이트에 붙여넣었습니다' 체크 -> 완료 순으로 진행해 보겠습니다.

우선, 코드복사를 눌러주세요.

이제 본인 티스토리 계정으로 로그인 후, 꾸미기 -> 스킨편집 -> HTML로 들어가보겠습니다.

복사한 코드를 HTML코드의 head 사이에 넣어야합니다. ex)  <head> 복사한 코드 삽입 </head>

찾기 어려우신분들은 1. HTML코드에 커서를 놓고, Ctrl + F 를 누르신 후에, </head>를 입력하세요.

그다음 2. </head>바로 윗줄에 복사한 코드를 붙여넣기 하시면 됩니다.

완료 되셨으면 3. 오른쪽 윗부분의 저장을 눌러주신후에 구글페이지로 돌아가 '코드를 사이트에 붙여넣었습니다'를 체크하신후 완료버튼을 눌러주세요.

이제 모든과정은 끝났습니다.

얼마가 걸릴지 모르겠지만 금방됬으면 좋겠습니다.

오늘은 여기까지입니다 감사합니다 !

안녕들 하시죠 !

이번시간에는 네트워크 스캐닝을 해보겠습니다.

네트워크 스캐닝 이란?

스캐닝은 네트워크를 통해 제공하고 있는 서비스, 포트, Host 정보 등을 알아내는 것을 의미합니다.

TCP 기반의 프로토콜의 질의( Request ), 응답 ( Response ) 매커니즘.

스캔 프로그램으로는 Nmap, WPScan, Nikto, Netcat 이 있음.

스캐닝시 ICMP, TCP, UDP 프로토콜을 사용합니다.

스캐닝 도구는 서버의 상태, 사양, 취약점 및 각종 정보를 쉽게 탐색합니다.

이러한 도구들이 워낙 막강하다 보니 기업이나 기관에서는 해당 도구의 사용이 곧 해킹이라 생각합니다.

보안 환경이 잘 갖춰진 조직이나 기관은 이러한 도구의 사용을 바로 탐지할 수 있는 장비를 갖추고 있습니다.

자, 이제 제 가상환경에서 스캐닝 실습을 진행해보겠습니다.

피해자 PC : Window 7 ( Wordpress ) 192.168.0.27

공격자 PC : Kali linux 192.168.0.132

오늘 사용할 스캔 도구는 WPScan 입니다.

WPScan

WPScan은 워드프레스 관련 취약점을 점검하는 도구입니다.

WPScan은 워드프레스를 위한 전용 점검 도구로 간단한 명령으로 많은 취약점을 파악합니다.

기존의 취약점을 데이터베이스화하여 사용자에게 취약 정보를 제공하는 장점도 있습니다.

WPScan의 옵션

--url : 해당 url의 워드프레스 사이트를 스캐닝한다.

--username : 해당 사용자 이름으로 Brute Force Attack을 실행한다.

--wordlist : 지정한 워드리스트를 이용하여 패스워드 Brute Force Attack을 실행한다.

--enumerate p : 해당 워드프레스에 설치된 플러그인을 열거한다.

                 u : user name : id 1 ~ 10 까지의 사용자 이름을 열거한다.

                 vp : vulnerable plugins : 취약점이 있는 플러그인만 열거한다.

                 vt : vulnerable themes : 취약점이 있는 테마들만 열거한다.

* Brute Force Attack

무차별 대입 공격이라고도 하며 특정한 암호를 풀기 위해 가능한 모든 값을 대입하는 것을 의미한다.

이와같은 방법으로 허술한 비밀번호는 아주 손쉽게 알아낼 수 있지만 복잡한 비밀번호를 알아내기에 엄청난 시간이 들어갈 수 있다.

자, 이제 WPScan p 옵션을 사용해 설치되어있는 플러그인을 열거해보겠습니다.

wpscan --url http://192.168.0.27/wordpress --enumerate p

아래와 같이 버전 정보가 나오네요.

스크롤을 조금 내려보게되면,

33가지의 취약점이 있다고 알려주네요. 그밑을 보니 취약점 표준 코드 CVE도 보입니다.

사용자 정보를 스캔하기 전,

먼저 기존에 테스트해봤던 계정들을 전부 삭제한 후, wordpress 관리자페이지에서 hongpossible 계정을 추가했습니다.

wordpress 관리자페이지에서 계정을 추가하면 비밀번호가 자동으로 암호화 해서 저장이 됩니다.

자, 이제 아까 작성한 명령어에서 맨뒤에 p 만 u로 바꿔주시면 됩니다.

wpscan --url http://192.168.0.27/wordpress --enumerate u

헐

이렇게나 쉽게 유저 아이디를 얻을 수 있다니 스캔은 정말 강력한거 같습니다.

자, 이제 hongpossible 유저에게 단순 반복 작업인 Brute Force Attack으로 패스워드를 획득해 볼 건데요, 

조금 빠르게 진행하기 위해 20개의 쓰레드를 사용했습니다.

Brute Force Attack을 위한 Wordlist는 구글에도 많고 본인이 직접 제작하실 수도 있습니다.

처음에 7천개가 넘는 Wordlist로 진행하다보니 시간도 오래걸리고 정신건강에 좋지 않은것 같아, 단어 수를 줄이고 패스워드를 포함시켰습니다.

Kali linux /root/Desktop/ 경로에 wordlist.txt 파일을 넣고 진행한 명령어 입니다.

wpscan -u 192.168.0.27/wordpress --threads 20 -wordlist /root/Desktop/wordlist.txt --username hongpossible

성공적으로 암호화된 패스워드가 hong123이라는 것을 알아냈습니다.

오늘은 여기까지입니다 감사합니다 ! 

참고서적 이상한 「웹해킹 입문」 프리렉(2016) p111~120

안녕들 하시죠 !

이번시간에는 네트워크 해킹에 대해 알아보겠습니다.

아래에는 McAfee Labs에서 공개한 2017년 네트워크 해킹 Top 8 입니다.

Top 8

1. 브라우저 공격

2. 브루트포스 공격

3. 디도스 공격

4. 웜 공격

5. 멀웨어 공격 ( 피싱 메일, 악성 페이지, 악성 광고 )

6. 웹 공격 ( XSS 등 )

7. 스캔 공격

8. 기타 공격 ( APT, 물리공격, 내부공격 )

네트워크 해킹 이란?

네트워크 상에서 발생되는 해킹을 의미.

보안의 기본 요소에 따라 기밀성, 무결성, 가용성의 침해를 받는다.

- 내부의 자산을 파악하기 위해 훔쳐 보는 네트워크 스캐닝 같은 행위 ( 기밀성 )

- 정상적인 통신을 강제로 끊고 공격자가 세션을 갈취하는 (  세션하이재킹 ) 등의 행위. ( 기밀성, 무결성 )

- 외부에서 네트워크 통신을 이용해 서비스가 정상 작동을 하지 못하도록 하는 행위 ( Dos ) ( 가용성 )

ㆍ 기밀성

- 스니핑 ( Sniffing )

- '킁킁 거리다'의 의미로 네트워크 흐름의 중간에서 도청, 감시 등의 공격을 하는 행위.

- 패스워드 등의 데이터를 통신하는 과정에서 중간에 도청하여 확인 할 수 있는 위협이 될 수 있음.

공격 예

크리덴셜 스터핑 ( Credential Stuffing ) : 공격자가 이미 확보한 크리덴셜(로그인 정보 등 개인 신상과 관련해 암호화한 정보)을 다른 

                                                   계정들에 마구 대입하는(stuffing) 방식으로 이용자 정보를 침해하는 것.

피해 사례 : 2018년 6월 23일 ~ 27일 우리은행 고객정보 해킹 사건

뉴스 URL : https://www.boannews.com/media/view.asp?idx=70843

ㆍ 무결성

- 스푸핑 ( Spoofing )

- '변조시키다'의 의미로 사용자가 원하는 행위를 속여 비정상적인 행동을 하는 행위.

- 통신 경로 조작 등을 이용해 정상적인 행동을 비정상적인 행동으로 강제 변환 시킬 수 있음.

공격 예

- DNS 스푸핑 : DNS를 변조하여 정상적인 URL을 조회하였으나 공격자가 만든 페이지로 이동하게 만드는 공격 ( 피싱 사이트 )

- ARP 스푸핑 : ARP를 이용하여 Mac 주소를 속이는 공격.

ㆍ 가용성

- Dos 공격

- Denial of Service의 약자로 서비스 거부 공격을 수행하여 서버나 시스템이 동작하지 못하도록 공격하는 행위.

공격 예

- SYN Flood 공격 : SYN 패킷을 이용하여 네트워크 트래픽 용량을 초과 시켜 정상 접근이 어렵도록 하는 공격.

- HTTP Flood 공격 : HTTP 프로토콜 중 GET 또는 POST 메소드를 이용하여 웹 페이지 접근 한도를 초과 시키는 공격.

다음시간에는 스캐닝, Flood공격 등등 을 직접 실습해볼 계획입니다.

오늘은 여기까지입니다 감사합니다 !

참고서적 「K Shield Jr. 기술보안 운영」

안녕들 하시죠 !

이번시간에는 보안의 3요소( 기밀성, 무결성, 가용성 )에 대해 알아보겠습니다.

ㆍ 기밀성 ( Confidentiality )

- 정보를 오직 인가된 사용자에게만 허가.

- 개인정보나 지적 재산권 등 가치 있는 정보.

- 기업보유 핵심기술 / 민원인들에 대한 개인정보.

- 비밀스럽게 유지되고있으며 특정 인물만 볼 수 있는 기밀정보를 생각하시면 편할 것 같습니다.

ㆍ 무결성 ( Integrity )

- 부적절한 정보 변경이나 파기 없이 정확하고 완전하게 보존.

ㆍ 가용성 ( Availability )

- 시기적절하면서 신뢰할 수 있는 정보로 접근과 사용.

- 구매한 아이폰을 1년 365일 그 언제라도 수리받고 사용할 수 있다면 가용성이 좋은거겠죠.

이번에는 보안의 3요소의 훼손에 대해 알아보겠습니다.

ㆍ 기밀성 훼손

- 업데이트 서버 해킹 : 정상적인 관리자가 아닌 외부 해커에 의해 서버 접근.

- 관리자 PC 해킹 : 데이터베이스 접근 ID와 암호 노출.

- 내부의 자산을 파악하기 위해 훔쳐보는 스캐닝 같은 행위.

- 네트워크 통신 경로의 중간에 개입하여 도청하는 행위.

ㆍ 무결성 훼손

- 정상적인 업데이트 파일이 아닌 악성코드가 포함된 파일로 교체된 것은 무결성 위배.

- 악성코드에 의해 시스템을 장악당하고 임의로 파일들을 바꿔버린다면 무결성이 깨진거겠죠.

ㆍ 가용성 훼손

- 개인정보 유출 사고만 해당하기 때문에 가용성의 위배는 발생하지 않음.

- 가용성 훼손의 대표적 공격은 서비스 거부 ( Dos ) & 분산 서비스 거부 ( DDos ) 이다. 

  과부하로인해 시스템을 사용 불가능하게 만든다.

보안의 3요소는 주요 분야에 따라 우선순위가 변화할 수 있습니다.

예를 들어, 금융회사의 경우 금전 데이터의 무결성 훼손을 최대 우선으로 적용. 

거래 금액의 손실은 절대 불가 하기때문입니다.

오늘은 여기까지입니다 감사합니다 !

참고서적 「K Shield Jr. 정보보안 기초」

안녕들 하시죠 !

오늘은 크로스사이트 리퀘스트 변조에 대해 알아보겠습니다.

크로스사이트 리퀘스트 변조 ( CSRF ) 란?

ㆍ 희생자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 웹 사이트에 요청하도록 만드는 공격.

ㆍ 조작된 Request를 웹 어플리케이션에 전송하는 공격.

ㆍ CSRF가 적용되려면 수정/삭제하는 액션에서 사용자를 구분하는 파라미터 값이 존재하지 않아야 함.

크로스사이트 리퀘스트 변조의 원인과 결과

ㆍ 사용자 입력 값에 대한 적절한 필터링 및 인증에 대한 유효성 검증이 미흡하기 때문에 발생.

ㆍ 서버 내의 파일 변경 및 서버 다운 등의 위험 존재.

CSRF와 XSS의 차이

ㆍ CSRF는 인증된 사용자가 정상적인 Request를 보내 서버에서 실행되는 반면.

ㆍ XSS는 공격자가 작성한 악성 스크립트가 이용자( 클라이언트 )에서 실행.

실습절차

- 일반 사용자 계정으로 CSRF 스크립트가 삽입된 관리자 유도 글 작성

ㆍ 관리자가 해당 글을 읽도록 적절한 제목을 통해 유도.

ㆍ 게시글 등록 시 프록시 툴을 사용하여 request 메시지 확인.

ㆍ 관리자가 해당 글을 읽으면 새로운 문의 글이 자동으로 등록되는 내용의 CSRF 스크립트 포함.

ㆍ master 계정으로 로그인 하고 해당 글을 클릭하여 공격이 정상적으로 실행되는지 확인.

자, 이제 실습을 해볼텐데요 각자 본인 환경에 맞춰서 진행하시면 될 것 같습니다.

저는 제 실습환경에서 사용자로 로그인을 해보겠습니다.

로그인 후에 QnA게시판으로 이동하겠습니다.

일반적인 글을 올려보고, 프록시 툴을 이용하여 request 메시지를 확인해보겠습니다.

raw 데이터를 좀더 확대해봤습니다.

위에서부터 확인해보자면,

name="board_id" 는 게시판이름

name="member_seq" 는 회원 고유번호

name="category" 는 질문 유형

name="title" 는 제목

name="contents" 는 문의내용

name="upload_image";filename="" 는 파일선택하여 업로드하는 부분이라는 것을 확인했습니다.

그럼 이제 문의내용에 CSRF 스크립트를 삽입해 보려고 하는데요, 그전에 의미를 알고가겠습니다.

자, 이제 관리자로 로그인하여 문의글을 클릭해보겠습니다.

문의내용에 아까 작성한 스크립트는 나오지 않네요.

하지만 QnA내용을 보면 아래와같이 성공적으로 CSRF 성공 메시지가 뜹니다.

오늘은 여기까지입니다 감사합니다 !