해킹-보안 (97) 썸네일형 리스트형 MALSPAM 패킷 분석 ி MALSPAM 실제 사례 분석 ※ MALSPAM은 스팸 메일을 통한 Malware 감염을 일컫는다. 특정 사용자가 아래의 스팸 메일에 첨부된 링크를 열람하여 MALSPAM에 감염된 상황이다. 해당 사건에서 시간별로 피해자와 악성코드 유포지의 IP, 악성 파일, C&C 서버를 알아낸다. 침해 사고 과정에서 발생한 이벤트는 pcap 파일에 저장되어 있다. 해당 pcap 파일과 멀웨어 샘플은 아래 사이트에서 제공하고 있다. https://www.malware-traffic-analysis.net/2017/04/26/index.html 샘플 압축 파일 비밀번호는 infected이다. 네트워크 분석 도구 ① Wireshark(Window) ② NetworkMiner(Window) ③ Xplico(Linux) .. 스팸 메일 확인 방법 최근 신종 코로나 관련한 피싱 메일이 널리 확산되고 있다. 구글은 매일 검열되는 피싱 메일 1억여 개 중 코로나 피싱 메일이 하루에 1천 8백만여 개나 된다고 한다. 여기서 피싱 메일이란 개인 정보 유출 등의 피해를 주는 악성 메일이다. 우리 귀에 익숙한 용어는 아마도 스팸 메일일 것이다. 스팸은 불필요하게 전송되는 광고성 메일을 일컫는 것인데 최근에는 저 두 용어 의미를 굳이 구분 지어서 사용하지 않는 것 같다. 그렇다면 수신한 메일이 스팸 메일인지 어떻게 확인할까? 첫 번째로 보낸 사람의 메일 주소를 확인하는 방법이다. 많이 사용하는 네이버 메일을 기준으로 설명하겠다. 우선 메일 주소를 확인해서 실제 해당 기관에서 보낸 메일인지 알아본다. 예를 들면 정부24에서 사용하는 메일은 gov.kr라는 도메인.. MSFVenom을 이용하여 이미지 파일에 악성코드 주입하기 드로퍼 - 실행 시 바이러스를 불러오는 실행 파일이다.이미지 파일에 악의적인 실행 파일을 심으면 단순히 사진 파일을 열어보는 것만으로도 악성코드가 실행될 수 있다. 특히 이미지 뷰어를 통해서 사진이 실제로 보여지므로 일반 사용자 입장에서는 정상적인 파일이라고 착각하기 쉽다. ி 실습 시나리오 구성은 윈도우7에서 공격자 웹서버(kali)에서 제공하는 악성 이미지 파일을 다운받도록 한다. 그 후 kali에서 윈도우7의 세션을 획득한다. 윈도우7 사용자가 이미지 파일을 여는 순간 익스플로잇 코드가 실행되어 윈도가 칼리리눅스 포트로 알아서 접속해준다. 이러한 방식을 Reverse Shell이라고 한다. 앞으로 진행할 내용을 간단하게 정리하자면 msfvenom으로 악성코드가 담긴 exe를 만들고 Umbrella를.. 윈도우 Nessus 취약점 점검 주의! 절대 실제 운영중인 시스템에 허가 없이 진행하지 않는다. Nessus 스캔 과정에서 대상 시스템에 상당히 많은 부하를 유발하기 때문에 서버가 다운 될 수도 있다. 이 도구를 관리자의 허락 없이 이용해서는 안된다. 필자는 VMware에 메타스플로잇테이블을 대상으로 점검하였다. 이제 해당 시스템을 대상으로 취약점을 진단하기 시작하는데 시간이 꽤 오래 소요된다. 도구가 실행되면서 Vulnerabilities에서 취약한 항목이 표시된다. 취약점의 단계는 5가지로 Critical, High, Medium, Low, Info 등이 있는데 Critical 제일 위험한 취약점이다. 위 단계는 위험한 순서대로 나열한 것이다. 시스템 점검이 끝난 후 취약점 리스트를 확인해보니 제법 위험한 항목들이 많이 발견되었다... 메타스플로잇 피보팅(pivoting) 공격 mysql -u root show databases; ls; 앞에 실행할 문구를 적고 뒤에 정상적인 명령어인 ls를 입력하면 앞의 DB를 조회하는 명령이 실행된다. 여기서 비정상적인 명령어라는 것은 명령어가 잘 못 됐다는게 아니라 메타스플로잇으로 상대 정보를 스캔하거나 공격하는 의도를 가졌다는 의미에 가깝다. 이제 시스템 셸에서 DB의 목록을 조회하고 DB의 테이블을 알아내어 계정 정보를 확인해보자. 왼쪽 내용은 아까 언급한 예시의 명령이랑 똑같다. 왼쪽의 SQL 쿼리문은 DB 목록을 조회하는 것이며 DB 목록 중에 시나리오의 목표였던 dvwa라는 DB가 출력되었다. 오른쪽 내용은 dvwa에서 사용하는 테이블을 알아낸다는 뜻이다. use dvwa; - dvwa 데이터베이스를 연결한다. show table.. 메타스플로잇(Metasploit)을 활용한 취약점 공격 \x31\xc0\xb0\x31\xcd\x80... Payload 대상 시스템에 실행시키려고 하는 공격 코드를 말한다. Meterpreter 미터프리터(Meterpreter)는 메타스플로잇에서 제공하는 세션 연결 기능이다. 해킹 공격이 성공하면 원격에서 대상 시스템의 내부 정보를 수집하고 원격으로 명령을 수행할 수 있다. 미터프리터는 DLL 인젝션을 사용하여 실행 중인 다른 프로세스에 특정 DLL 파일을 강제로 주입한다. 또한 메모리를 이용하여 동작하기 때문에 디스크에도 흔적이 남지않아 공격자를 추적하기 어렵다. Nmap Nmap은 호스트나 서비스 포트 정보를 수집하는 보안 스캐너 프로그램이다. 이 도구를 사용하면 특정 네트워크 대역의 호스트를 스캔하여 사용중인 호스트를 조회할 수 있고 운영중인 서버에서 .. MS-Office의 DDE 기능을 악용한 악성코드 ி DDE(Dynamic Data Exchange) DDE는 사용자 편의를 위해 만들어진 기능으로서 응용 프로그램 간 데이터 전송을 위해 사용한다. 마이크로소프트에서 만든 프로그램인 워드(Word), 엑셀(Excel), VisualBasic 등 다양한 응용 프로그램에서 DDE를 쓴다. 예를 들어 워드 파일을 열람할 때 엑셀 파일에서 데이터를 가져오는 것도 DDE를 통해서 이루어진다. 이러한 기능을 가진 DDE가 실제 어떤 방식으로 악용되는지 알아보겠다. ி DDE를 악용한 사례 DDE를 이용한 악용 사례 중 상당 부분이 MS 워드를 사용한다. 우선 MSword에서 DDE를 쓰려면 삽입 탭에 > [빠른 문서 요소] > [필드]에 들어간다. 필드를 Formula로 선택하고 확인한다. 이제 글 문서에 !수식의.. VMware에 BeeBox 설치하기 ி bee-box란 웹 애플리케이션에서 자주 발생하는 취약점을 구축한 환경을 bWAPP이라고 한다. 풀어서 buggy Web Application이라고도 하는데 이때 buggy란 버그의 형용사로서 말 그대로 웹 애플리케이션에 버그, 곧 취약점을 뜻한다. 1 ··· 7 8 9 10 11 12 13
