13 Security Lab

Calling Convention ? ; 함수 호출 규약 호출자(caller)와 피호출자(callee) 간의 함수의 인자를 전달하는 방식에 대한 규약을 정의 함수 호출 규약은 아키텍처마다 다를 수 있음 (예: x86, ARM, x86-64, MIPS 등) 같은 아키텍처 내에서도 다양한 이유로 다양한 호출 규약을 가질 수 있음 프로그래밍 언어에 따라, 컴파일러의 구현에 따라 함수 호출 규약이 다르게 정의되거나 구현 Calling Convention 종류 함수 호출 규약은 4가지 기준으로 그 종류가 나뉜다 Parameter 전달 방법 스택 프레임 사용해서 parameter 전달, 레지스터 사용해서 parameter 전달 Parameter 전달 순서 함수명( param1, param2, param3, ......

Nmap Network Mapper ; Open source network scanner Nmap은 패킷 을 전송 하고 응답을 분석하여 컴퓨터 네트워크 에서 호스트 와 서비스 를 발견하는 데 사용 Nmap은 IP 패킷을 사용하여 네트워크에 연결된 모든 장치를 식별하고 실행중인 서비스 및 운영 체제에 대한 정보를 제공하는 네트워크 검색 도구입니다. Nmap의 특징 호스트 탐지 : 네트워크 상에서 컴퓨터들을 확인한다. 예를 들어 ping 응답이나 특정포트가 열린 컴퓨터들을 나열한다. 포트 스캔 : 하나 혹은 그 이상의 대상 컴퓨터들에 열린 포트들을 나열한다. 버전 탐지 : 응용프로그램의 이름과 버전 번호를 확인하기 위해 원격 컴퓨터의 서비스를 확인 한다. OS 탐지 : 원격으로 OS와 네트워크 장치의 하드웨..

Mimikatz? 메모리에서 해시, PIN, Kerberos 티켓, PW 등을 찾아내 탈취하는 도구. C를 배우고 Windows 보안을 실험하기 위해 만든 도구라고 설명하고있다. mimikatz 가능한 다른 유용한 기능으로는 Pass-the-Hash, Pass-the-Ticket, Golden tickets 등이 있다. 네트워크 내에서 공격자가 쉽게 활용 할 수 있도록 도구를 제공한다. mimikatz 개발자 Benjamin Delpy가 개발하였다. 효율적/공격적 Security Tool로써 침투 테스트 용도로 사용한다. 미미캐츠는 사용하기 어렵지 않으며, mimikatz 1.0에는 메타스플로잇(Metasploit)의 일부로 미터프리터 스크립트가 번들로 제공된다. 새로운 mimikatz 2.0 또한 메타..

Among the scripting tools provided by IDA pro flare, there is idb2pat.py that creates a signature. The script is considered to work in python2, so it does not work properly in python3. In the case of the most recent version, ida pro 7.5, since python3 is the default version, a script error occurs in the normal execution method. Method 1. Set config USE_PYTHON2 * IDA's install path: path/to/ida_i..

IDA Pro를 통해서 대량 분석을 위해 자동 분석 또는 커맨드라인으로 처리하는 방법을 정리한다. ▶ About IDA Pro Batch mode options IDA Pro 설치 경로 내 실행파일과 종류 IDA Pro 에는 GUI 버전의 실행파일과 커맨드라인 버전의 실행파일이 있다. x86 gui : ida.exe x86 cli : idat.exe x64 gui : ida64.exe x64 gui : idat64.exe 각 프로그램은 분석 대상 바이너리의 아키텍처(x86, x64 등) 또는 gui, cli 를 의미하지만 내부적인 동작에는 차이가 없다. 다만 당연히 화면처리 여부에 따라서 속도차이가 발생하므로, 커맨드라인 처리를 위해서는 cli 모드를 쓰는게 나을듯하다. (GUI 모드도 인자 주면 동일하..

DBI (Dynamic Binary Instrumentation) printf("test %s", buf); 등과 같이 특정 시점에서의 변수값 등을 확인하거나 프로그램의 행위를 조사하는 일을 Instrumentation 라고 부른다 바이너리 분석을 할때 각종 모니터링 툴들을 켜고 악성코드를 실행하여 행위를 분석하거나, 런타임에 코드를 후킹하여 데이터를 조사 또는 변경하는 방법으로 분석한다. 비교 DBA vs. DBI DBA (Dynamic Binary Analysis) = Dynamic Program Analysis = Dynamic Analysis 프로그램 런타임에 바이너리를 분석한다. 소프트웨어를 실제 또는 가상프로세서에서 프로그램을 실행함으로서 바이너리를 분석하는 방법이다. Dynamic Analy..

Windows How to Debug Child Process ? 윈도우즈에서 자식프로세스를 디버깅하기 위해서는 디버거로 자식프로세스로 따라가주어야 한다. WinDbg의 경우에는 별도의 설정 없이 이것이 가능하지만, OllyDbg, x64Dbg에서는 Child Process 생성 후 Pending 하고 디버거 Attach 하고 디버깅을 진행하게 된다. 그럼 왜 이런 차이가 발생할까? WinDbg (The Windows Debugger) WinDbg 에서 디버깅 할때 자식프로세스를 CreateProcess 하게될 때 인자로 Debug flag 를 함께넘긴다. docs.microsoft.com/ko-kr/windows/win32/procthread/process-creation-flags?redirected..

윈도우즈 서비스 프로그램 디버깅하는 방법에 대해서 요약한다. Windows 서비스 프로그램은 Windows 실행파일은 맞지만 실행되는 방식이 exe, dll과는 조금 다르다. 서비스 바이너리를 디버깅 할 때 어떻게 다른지 알아보고, 디버깅하는지 요약해본다. Windows 서비스 ? 리눅스의 데몬과 그 개념이 유사하며, 백그라운드로 실행되는 프로세스이다. 지속적으로 백그라운드에서 실행시킬 프로그램을 윈도우즈 세션으로 실행시킬 수 있다. 서비스는 컴퓨터가 부팅될 때 자동으로 실행되고, 잠시 멈추거나 재시작 할수있다. 또 유저 인터페이스에는 나타나지 않는다. 보통 서비스들은 svchost.exe를 통하여 DLL로 메모리에 로드되어 실행된다. EXE 형태로 독립적인 프로세스로 동작하는 서비스와, 다른 DLL서비..

md5: 4a56896b83369002371e16f1b9df9f8c Reyptson Ransomware 랜섬웨어 기능 외에 ThunderBird 메일 내 연락처 목록을 탈취하여 스팸메일을 발송하는 기능을 수행한다. Reyptson Ransomware 감염 시 아래 팝업 윈도우 출력 열어 보면 아래와 같은 함수 종류들을 쓰고있다 User ID PW 정보들을 찾는다 Mozilla Thunderbird 설치 여부를 확인한다. 아래와 같이 Thunderbird 메일 계정을 찾는 것을 알 수 있다. Decrypt 함수 아래는 감염 제외 경로 이다. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 private string[] excluidas = new string[] { "c:\\windows"..

대상 파일: 085ea96239c20acd94ce3660931c4b58 .Net 내부에 인코딩 된 .net PE를 갖고있고, 디코딩 후 이미지교체를 통해 PE로딩 기법을 사용 PE 이미지 로더 / 이미지 드롭핑 / PE 이미지 교체 ILSpy로 먼저 살펴 보고자 했으나, 난독화의 정보가 심하고, 코드로 봐도 수상한 점을 찾을 수 없는 파일이다. CFF Explorer 를 통해서 PE 정보를 살펴 보면 VersionString 에 닷넷 v2.0.50727 임을 알 수 있다. CFFExplorer 섹션 확인섹션형태도 겁나 양호해서 내가 알고 있던 크립터로 되어있는 건 아닌 듯 하다. DnSpy로 클래스뷰를 확인하면 아래와 같다.. hadmara, hadmara.exe 가 보이면서 어느정도 윤곽이 잡힌다. 디..