13 Security Lab

Wireshark HTTPS 분석방법

Maj0r Tom — Tue, 15 Mar 2022 19:37:56 +0900

Wireshark HTTPS Decryption
Wireshark TLS Decryption
Wireshark SSL Decryption

Wireshark HTTPS 분석방법 이해에 대해서 다룬다.

SSL 통신 및 HTTPS 송수신 데이터를 복호화 분석하는 방법 정리한다.

Wireshark 에서 이를 복호화해서 평문형태로 보여주는 기능을 지원한다.

Decryption 방법

Wireshark는 적절한 키가 제공되면 TLS Decryption 가능. 지원 가능한 방법은 아래 두가지이다.

RSA 개인 키를 사용한 복호화. . . . 1)
세션별 비밀키 로그 파일( #Usingthe (Pre)-Master Secret ). . . . 2)

Wireshark TLS Decryption 문서참고
https://wiki.wireshark.org/TLS#tls-decryption

Edit > Preferences.. 선택

Protocol > TLS 선택,

RSA key 방식

RSA keys list 에서 선택, 서버의 Private Key (pem key) 를 넣어주면 된다.

서버의 PrivateKey를 가지고 있고, 서버가 RSA공개키 방식을 사용하는 경우 사용가능 (서버관리자 또는 테스트 분석에 사용가능할 듯)

# https_ssl.key
-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQCmhjzTShoeFYLg
...
+ci6O0z5TLaxlFJxlBRJcv2AvLjp+dAC8XtabW1HwL0xXkdkNontZmiVUXwkEdRv
cFcv8m+/swQeAcpUi/qsQZY=
-----END PRIVATE KEY-----

*클라이언트 인증서나 인증 기관(CA) 인증서가 아님에 주의

RSA Key를 이용하는 경우 제한사항

Diffie Hellmann (DHE) ciphers 를 이용하는 경우 안됨

Elliptic-curve Diffie–Hellman (ECDHE)

RSA

New TLS 1.3 protocol 이상은 안됨 (TLS 1.2 버전 이하)
- TLS 1.3 이상을 지원하지 않는 것이 아니라 TLS1.3 프로토콜 상 RSA 키를 사용할 수 없음

만약 TLS1.3 or DHE를 사용한 상태에서 Private RSA Key를 사용한 Decryption을 시도한다면?
Wireshark TLS Decryption TLS Debug file log 를 보면 MasterKey를 찾을 수 없어 실패했다는 로그가 찍힌다.

How to check what SSL/TLS protocols are enabled in Apache configuration?
[ CentOS/RHEL-based distributions ]
> grep SSLProtocol /etc/httpd/conf.d/ssl.conf
SSLProtocol +TLSv1.2
[ Debian/Ubuntu-based distributions ]
> grep -ir SSLProtocol /etc/apache2/*
/etc/apache2/mods-available/ssl.conf:SSLProtocol +TLSv1.2 +TLSv1.3

*OpenSSL 1.1.1 부터 TLS1.3 공식 릴리즈에 반영 (OpenSSL 1.0.1 부터 TLS1.2 반영)

# Apache Version
apache2 -version

# Output
Server version: Apache/2.4.41 (Ubuntu)
Server built: 2020-04-13T17:19:17

# OpenSSL Version
openssl version

# Output
OpenSSL 1.1.1f 31 Mar 2020

강제로 TLS 특정버전 사용하게 하는 세팅

[ Apache ]

/etc/apache2/mods-available/ssl.conf

#   The protocols to enable.
#   Available values: all, SSLv3, TLSv1, TLSv1.1, TLSv1.2
#   SSL v2  is no longer supported

# SSLProtocol all -SSLv3 # 주석처리 하고 작성
SSLProtocol -all +TLSv1.2 # 지원되는 프로토콜 전부(all)을 제외하고 TLSv1.2 추가
# 결국 TLSv1.2만 사용하도록 강제함

[ XAMPP ]

/opt/lampp/etc/httpd.conf

# line 488
# Virtual hosts
Include etc/extra/httpd-vhosts.conf

/opt/lampp/etc/extra/httpd-vhosts.conf

# Non-SSL or http hosts                                                                                                                                                                                                            
<VirtualHost *:80>                                                                                                                                                                                                                 
       DocumentRoot "/opt/lampp/htdocs/"                                                                                                                                                                                           
       ServerName localhost                                                                                                                                                                                                        
                                                                                                                                                                                                                                   
</VirtualHost>                                                                                                                                                                                                                     
                                                                                                                                                                                                                                   
<VirtualHost *:80>                                                                                                                                                                                                                 
       DocumentRoot "/opt/lampp/htdocs/test/"
       ServerName test.local.com
</VirtualHost>

# SSL or https Hosts
<VirtualHost *:443>
       DocumentRoot "/opt/lampp/htdocs/test/"
       ServerName test.local.com
       SSLEngine on
       SSLCertificateFile "/home/username/Documents/https_ssl.crt"
       SSLCertificateKeyFile "/home/username/Documents/https_ssl.key"
       #SSLProxyProtocol -all +TLSv1.2
       SSLProtocol -all +TLSv1.2
       SSLCipherSuite AES256-SHA
</VirtualHost>

*AES256-SHA : TLS_RSA_WITH_AES_256_CBC_SHA

tlsv1.2 설정 후 통신패킷 확인

CipherSuite RSA_AES_256_CBC_SHA 적용 확인

Test Apache

# Test Apache for TLS 1
curl -I -v --tlsv1 --tls-max 1.0 https://www.example.com/

# Test Apache for TLS 1.1
curl -I -v --tlsv1.1 --tls-max 1.1 https://www.example.com/

# Test Apache for TLS 1.2
curl -I -v --tlsv1.2 --tls-max 1.2 https://www.example.com/

# Test Apache for TLS 1.3
curl -I -v --tlsv1.3 --tls-max 1.3 https://www.example.com/

세션별 비밀키 방식

(Pre)-Master-Secret log filename 에서 키로그 파일 선택

키로그 파일을 생성하는 방법

키로그 파일을 생성하는 방법 1 환경변수

환경변수에서 SSLKEYLOGFILE 경로를 설정 (Key: "SSLKEYLOGFILE", Value: "키로그파일 생성 될 경로")

*SSLKEYLOGFILE
The key log file is a text file generated by applications such as Firefox, Chrome and curl when the SSLKEYLOGFILE environment variable is set. To be precise, their underlying library (NSS, OpenSSL or boringssl) writes the required per-session secrets to a file.
SSLKEYLOGFILE 은 환경 변수가 설정 되면 Firefox, Chrome 및 curl과 같은 응용 프로그램에서 생성되는 텍스트 파일 입니다. 정확히 말하면 기본 라이브러리(NSS, OpenSSL 또는boringssl)가 필요한 세션별 비밀을 파일에 기록합니다.

키로그 파일을 생성하는 방법 2 Powershell로 설정

PS > SetX SSLKEYLOGFILE "$(get-location)\ssl.log"
Verify that the variable has been set in a separate powershell window (SetX does not apply to the current window).

PS > Get-ChildItem ENV: | findstr SSLKEYLOGFILE
SSLKEYLOGFILE                  C:\Users\rj\Desktop\ssl.log

키로그 파일을 생성하는 방법 2 어플리케이션 옵션으로 설정

"C:\Program Files\Google\Chrome\Application\chrome.exe" --ssl-key-log-file=%USERPROFILE%\sslkey.log

키로그 파일 생성이 안되는 경우 해결 방법

1) (stackoverflow.com article) You MUST be sure chrome totally be closed. And then reopen a fresh new chrome instance. Chrome has a default options let chrome run in background enabled.
Double check your taskbar of windows or processes lists to make sure there's no chrome instance exists.
That's why --ssl-key-log-file don't working, chrome stills alive after you click exit button.

2) (Wireshark Docs) SSLKEYLOGFILE필요에 따라 경로를 변경하고 Chrome용으로 바꿉니다 firefox. chrome이 메커니즘은 Safari, Microsoft Edge 및 기타 TLS 라이브러리(Microsoft SChannel/Apple SecureTransport )가 이 메커니즘을 지원하지 않기 때문에 작동하지 않습니다. 이 메커니즘은 웹 브라우저 이외의 애플리케이션에서도 작동하지만 애플리케이션에서 사용하는 TLS 라이브러리에 따라 다릅니다.

Decrypted TLS Example

Decrypted TLS packet in Wireshark

Reference

hxxps://wiki.wireshark.org/TLS#tls-decryption

hxxps://accedian.com/blog/how-to-decrypt-an-https-exchange-with-wireshark/

hxxps://unit42.paloaltonetworks.com/wireshark-tutorial-decrypting-https-traffic/

apache.tutorials24x7.com/blog/how-to-enable-tls-1-2-and-tls-1-3-in-apache-web-server

hxxps://www.lesstif.com/software-architect/curl-ssl-tls-version-113346985.html

hxxps://wiki.openssl.org/index.php/TLS1.3#Groups

hxxps://blog.didierstevens.com/2020/12/14/decrypting-tls-streams-with-wireshark-part-1/

What "Calling Convention" means?

Maj0r Tom — Sun, 20 Feb 2022 20:48:50 +0900

Calling Convention ?

; 함수 호출 규약
호출자(caller)와 피호출자(callee) 간의 함수의 인자를 전달하는 방식에 대한 규약을 정의

함수 호출 규약은 아키텍처마다 다를 수 있음 (예: x86, ARM, x86-64, MIPS 등)
같은 아키텍처 내에서도 다양한 이유로 다양한 호출 규약을 가질 수 있음
프로그래밍 언어에 따라, 컴파일러의 구현에 따라 함수 호출 규약이 다르게 정의되거나 구현

Calling Convention 종류

함수 호출 규약은 4가지 기준으로 그 종류가 나뉜다

Parameter 전달 방법
스택 프레임 사용해서 parameter 전달, 레지스터 사용해서 parameter 전달
Parameter 전달 순서
함수명( param1, param2, param3, ....) 에서 어떤 parameter부터 먼저 전달 할 것인가?
함수 리턴 값 전달 방법
함수 리턴 값을 어디에 저장해서, 돌려줄 것인가?
함수 호출간 사용했던 stack frame을 정리하는 방법
함수 사용이 끝난후에, 사용했던 stack frame을 공간을 누가 정리할 것인가?

e.g.
void __stdcall add( int a, int a );
int __cdcl add(int a, int b);

호출 규약	스택 정리	인수전달	이름규칙
__cdecl	호출원	오른쪽 먼저	_함수명
__stdcall	함수	오른쪽 먼저	_함수명@인수크기
__fastcall	함수	오른쪽 먼저 (ECX, EDX가장 먼저)	@함수명@인수크기
thiscall	함수	오른쪽 먼저 (this 포인터는 ecx레지스터로 전달)	C++이름 규칙을 따름

__cdecl

c언어는 기본적으로 cdecl 방식

리턴 값 : eax에 리턴값 저장
(리턴 값이 4 < x < 8byte 경우 : 상위 4바이트 edx / 하위 4바이트는 eax)
stack frame 정리 방법
caller(호출한 함수)가 callee(호출된 함수)의 stack frame 공간을 정리함
add esp, (total parameter size)

※ cdecl에서 callee의 스택프레임을 caller가 정리 이유
: 가변인자 함수(파라메터 개수 제한 x, e.g. printf( ) ) 때문
printf( "a=%d, b=%d, c=%d, d=%d", n1,n2,n3,n4 )
printf("a=%d, b=%d", n1,n2)

__stdcall

C lang은 기본적으로 cdecl 방식, stdcall 방식으로 컴파일 시 함수명 앞에 '_stdcall' 키워드를 붙인다

( 윈도우에서 사용하고 있는 표준 호출 규약. windows API는 stdcall을 따른다 )

e.g ret 8 (RETN + POP 8)

리턴 값 : eax에 리턴값 저장
(리턴 값이 4 < x < 8byte 경우 : 상위 4바이트 edx / 하위 4바이트는 eax)
stack frame 정리 방법
callee(호출된 함수)가 자신의 stack frame 공간을 정리함

# stack frame 정리하는 어셈 코드 : ret 커맨드 사용
Name Decoration
func --> _func@파라메터 총 합

__fastcall

( critical한 성능을 요구하는 일부 함수에서 사용. 윈도우 커널의 함수)
Parameter 전달 방법
레지스터 사용해서 파라메터 전달
: 처음 2개의 파라메터는 스택을 사용하지 않고, ecx와 edx 를
사용해서 전달.
리턴 값: eax에 리턴값 저장
(리턴 값이 4 < x < 8byte 경우 : 상위 4바이트 edx / 하위 4바이트는 eax)

stack frame 정리 방법: callee(호출된 함수)가 자신의 stack frame 공간을 직접 정리함

예외사항 (Saved-Register)

아래의 디스어셈블리 코드에서, ESI 레지스터에는 ShoWindow와  UpdateWindow에 파라메터로 전달되어질  hWnd 값이 들어가 있다.
push   eax                        ; nCmdShow
push   esi                         ; hWnd
call     ds:ShowWindow
push   esi
call     ds:UpdateWindow
mov   eax, 1
pop    esi
retn

이 때 만약 첫 번째로 호출되어지는 ShowWindow 함수 내부에서 ESI 레지스터의 내용을 바꾸어 놓았다면
이 ESI 레지스터를 사용하고자 했던 UpdateWindow 함수에서는 전혀 엉뚱한 결과를 얻게 될 것이다
(엉뚱한 hWnd 값이 UpdateWindow에 전달되었으므로)

우리가 사용하는 Windows의 컴파일러들은 이러한 문제를 피하기 위해 Saved- Register 를 사용하여
함수들간의 레지스터 사용의 충돌을 피하고 있다. 아래 표는, 32 bit Windows를 기준으로 한 값이다.

Caller saved register, Callee saved register 는 중간에 변경될 수 없다.
모든 함수는 main( ) 에서 호출되기 때문에, callee saved register를 백업해야 하고,
main( )도 main_crc_Startup( ) 에 의해서 호출되기 때문에 callee가 된다.
(함수 호출규약의 caller, callee는 함수 호출 시점에 따라 변경되지만, 여기서의 caller, callee의 의미는 다르다)

정리를 하면, main( )를 비롯한 프로그래머가 작성한 모든 함수는 callee savaed register를 백업하고,
시스템 함수는 caller saved register를 백업함.

Caller saved register
(Caller가 save해야 하는 레지스터)
EAX, ECX, EDX
(eax, ecx, edx는 caller가 백업 받아 놓고, callee가 마음대로 eax, ecx, edx
를 사용할 수 있다)
Callee saved register
(Callee가 save 해야 하는 레지스터)
EBX, ESI, EDI, EBP
(ebx, esi, edi, ebp는 callee가 백업 받아 놓고, caller가 마음대로 ebx, esi,
edi, ebp를 사용할 수 있다)
  - ebp는 함수 prolog 과정을 통해 SFP(Saved Frame Pointer)라는 값으
     로 스택프레임이 저장이 된다.

* Callee는 Callee saved register를 사용하려 할 경우 반드시 백업을 하고
  사용해야 하며 함수 복귀 전 다시 값을 복원해야 함
  (Callee 입장에서는 Caller가 해당 레지스터를 사용했는지 알지 못하므로
   무조건 백업을 수행 후 사용해야 함)

레퍼런스

hxxps://blog.naver.com/PostView.naver?blogId=tjdghkgkdl&logNo=10117639381
hxxps://blog.naver.com/PostView.naver?blogId=tjdghkgkdl&logNo=10117777106

nmap Scan OS version information

Maj0r Tom — Tue, 16 Mar 2021 20:03:34 +0900

Nmap
Network Mapper ; Open source network scanner

Nmap은 패킷 을 전송 하고 응답을 분석하여 컴퓨터 네트워크 에서 호스트 와 서비스 를 발견하는 데 사용

Nmap은 IP 패킷을 사용하여 네트워크에 연결된 모든 장치를 식별하고 실행중인 서비스 및 운영 체제에 대한 정보를 제공하는 네트워크 검색 도구입니다.

Nmap의 특징

호스트 탐지 : 네트워크 상에서 컴퓨터들을 확인한다. 예를 들어 ping 응답이나 특정포트가 열린 컴퓨터들을 나열한다.
포트 스캔 : 하나 혹은 그 이상의 대상 컴퓨터들에 열린 포트들을 나열한다.
버전 탐지 : 응용프로그램의 이름과 버전 번호를 확인하기 위해 원격 컴퓨터의 서비스를 확인 한다.
OS 탐지 : 원격으로 OS와 네트워크 장치의 하드웨어 특성을 확인 한다.

Nmap core process

Nmap의 주요 용도는 세 가지 핵심 프로세스로 나눌 수 있다.

1 프로그램은 네트워크에서 활성화 된 모든 IP에 대한 자세한 정보를 제공하고 각 IP를 검색 할 수 있습니다. 이를 통해 관리자는 IP가 합법적 인 서비스에서 사용되고 있는지 외부 공격자가 사용하고 있는지 확인할 수 있습니다.

2 Nmap은 네트워크 전체에 대한 정보를 제공합니다. 라이브 호스트 및 열린 포트 목록을 제공하고 연결된 모든 장치의 OS를 식별하는 데 사용할 수 있습니다. 이는 지속적인 시스템 모니터링과 침투 테스트의 중요한 부분에서 중요한 도구가됩니다. 예를 들어, Nmap은 Metasploit 프레임 워크 와 함께 사용 하여 네트워크 취약성을 조사한 다음 복구 할 수 있습니다.

3 Nmap은 개인 및 비즈니스 웹 사이트를 보호하려는 사용자에게도 귀중한 도구가되었습니다. 특히 집에서 웹 사이트를 호스팅하는 경우 Nmap을 사용하여 자신의 웹 서버를 스캔하는 것은 본질적으로 해커가 사이트를 공격하는 데 사용하는 프로세스를 시뮬레이션하는 것입니다. 이러한 방식으로 자신의 사이트를 "공격"하는 것은 보안 취약성을 식별하는 강력한 방법입니다.

OS 스캐닝

OS 스캐닝은 Nmap의 가장 강력한 기능 중 하나. 스캔을 사용할 때 Nmap은 Fingerprint를 통해 TCP 및 UDP 패킷을 특정 포트로 보낸 다음 Response data를 분석. 이 Response 가 운영 체제 관련 응답 DB 시그니처와 비교하고 호스트의 OS (및 버전)에 대한 정보를 출력한다.

Nmap의 가장 잘 알려진 기능 중 하나는 TCP / IP 스택 지문을 사용한 원격 OS 감지. Nmap은 일련의 TCP 및 UDP 패킷을 원격 호스트로 보내고 응답의 거의 모든 비트를 검사한다. TCP ISN 샘플링, TCP 옵션 지원 및 주문, IP ID 샘플링, 초기 창 크기 검사와 같은 수십 가지 테스트를 수행 한 후 Nmap은 결과를 nmap-os-db 2,600 개 이상의 알려진 OS 지문 데이터베이스와 일치하는 경우 OS 세부 정보를 출력한다.

Nmap이 머신의 OS를 추측 할 수없고 조건이 양호한 경우 (조건을 예를 들면 적어도 1개 이상 열린 포트와 하나의 닫힌 포트가 발견) Nmap은 알고있는 경우 지문을 제출하는 데 사용할 수있는 사이트를 제공한다.

OS Detection -> 어쨌든 프로세스 중에 수집 된 정보를 사용하는 다른 시도할 수 있는 발판이 된다. 그중 하나가 TCP Sequence Predictability Classification 이다.

> nmap -O [target IP]

OS Detection 관련 옵션

-O (OS 감지 활성화)
위에서 설명한대로 OS 감지를 활성화합니다. 또는 -A다른 것들과 함께 OS 감지를 활성화 하는 데 사용할 수 있습니다 .

--osscan-limit (유망한 대상으로 OS 감지 제한)
하나 이상의 열린 TCP 포트와 하나의 닫힌 TCP 포트가 발견되면 OS 감지가 훨씬 더 효과적입니다. 이 옵션을 설정하면 Nmap은이 기준을 충족하지 않는 호스트에 대해 OS 감지를 시도하지 않습니다. 이는 특히 -Pn많은 호스트 에 대한 스캔에서 상당한 시간을 절약 할 수 있습니다 . -O또는로 OS 감지가 요청 된 경우에만 중요 -A합니다.

--osscan-guess; --fuzzy(OS 탐지 결과 추측)
Nmap이 완벽한 OS 일치를 감지 할 수없는 경우, 때때로 거의 일치를 가능성으로 제공합니다. Nmap이 기본적으로이 작업을 수행하려면 일치가 매우 가까워 야합니다. 이러한 (동등한) 옵션 중 하나는 Nmap 추측을 더 공격적으로 만듭니다. Nmap은 여전히 불완전한 일치가 인쇄 될 때 알려주고 각 추측에 대한 신뢰 수준 (백분율)을 표시합니다.

--max-os-tries (대상에 대한 최대 OS 감지 시도 횟수 설정)
Nmap이 대상에 대해 OS 감지를 수행하고 완벽하게 일치하는 것을 찾지 못하면 일반적으로 시도를 반복합니다. 기본적으로 Nmap은 조건이 OS 지문 제출에 유리한 경우 5 번 시도하고 조건이 좋지 않은 경우 두 번 시도합니다. 더 낮은 --max-os-tries값 (예 : 1)을 지정하면 잠재적으로 OS를 식별 할 수있는 재 시도를 놓칠 수 있지만 Nmap 속도가 빨라집니다. 또는 조건이 좋을 때 더 많은 재 시도를 허용하도록 높은 값을 설정할 수 있습니다. Nmap OS 데이터베이스에 제출하고 통합하기 위해 더 나은 지문을 생성하는 것을 제외하고는 거의 수행되지 않습니다.

대신에 -A 를 쓰면 OS Detection을 포함해서 유용할 법한 정보들을 한번에 출력해준다

Examples

EXAMPLES:
  nmap -v -A scanme.nmap.org
  nmap -v -sn 192.168.0.0/16 10.0.0.0/8
  nmap -v -iR 10000 -Pn -p 80

미미카츠 mimikatz 통해서 RDP ID Password 알아내기

Maj0r Tom — Tue, 16 Mar 2021 19:52:20 +0900

Mimikatz?

메모리에서 해시, PIN, Kerberos 티켓, PW 등을 찾아내 탈취하는 도구. C를 배우고 Windows 보안을 실험하기 위해 만든 도구라고 설명하고있다.
mimikatz 가능한 다른 유용한 기능으로는 Pass-the-Hash, Pass-the-Ticket, Golden tickets 등이 있다. 네트워크 내에서 공격자가 쉽게 활용 할 수 있도록 도구를 제공한다.

mimikatz 개발자 Benjamin Delpy가 개발하였다. 효율적/공격적 Security Tool로써 침투 테스트 용도로 사용한다.

미미캐츠는 사용하기 어렵지 않으며, mimikatz 1.0에는 메타스플로잇(Metasploit)의 일부로 미터프리터 스크립트가 번들로 제공된다. 새로운 mimikatz 2.0 또한 메타스플로잇으로 통합되었다.

mimikatz Windows 버전 (32/64 비트)에 따라 x64또는 Win32, 두 가지 유형으로 제공된다.
Win32 버전은 64 비트 프로세스 메모리 (e.g. lsass.exe )에 액세스 할 수 없지만 Windows 64 비트에서 32bits 미니 덤프를 열 수 있다. mimikatz 기능들이 관리자 권한 또는 SYSTEM 토큰을 필요로한다. 그리고 UAC 수준을 신경써서 실행 할 필요가 있다.

mimikatz 동작 구조

mimikatz 크리덴셜 탈취를 위해 Windows SSO(single-sign-on) 기능을 악용.

윈도우 10 이전까지 윈도우는 기본적으로 WDigest라는 기능이 사용되었다. 이는 암호화된 암호를 메모리에서 로딩 & 복호화하기 위한 비밀 키를 로딩한다. WDigest는 기업이나 정부 네트워크에서 대규모의 사용자를 인증하기 위한 유용한 기능이었지만, mimikatz 메모리에서 암호를 추출하기 위해 사용되었다.

2013년에 MS가 윈도우 8.1에서 이 기능을 비활성화할 수 있도록 했으며, 윈도우 10에서는 비활성화를 기본 설정으로 만들었다. 하지만 여전히 Windows 에는 "WDigest" 가 포함되어있어 관리자 권한을 얻은 공격자들은 간단히 이 기능을 활성화해서 mimikatz 를 실행할 수 있다.

Mimikatz는 Benjamin Delpy (@gentilkiwi)가 C로 코딩 한 Windows x32 / x64 프로그램으로 Windows 자격 증명 (및 개념 증명) 추가 기능을 제공하는 두 가지 선택적 구성 요소는 mimidrv (Windows 커널과 상호 작용하는 드라이버)와 mimilib (AppLocker 우회, 인증 패키지 / SSP, 암호 필터 및 WinDBG 용 sekurlsa)입니다. Mimikatz는 특정 작업을 수행하고 LSASS 프로세스와 상호 작용하기 위해 관리자 또는 SYSTEM이 필요하며 종종 디버그 권한이 필요합니다 (요청 된 작업에 따라 다름). Mimikatz.exe는 거기에 언급 된 모든 기능을 포함하거나 적어도 포함해야한다.

Mimikatz & Credentials:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest “UseLogonCredential”(DWORD)

계정정보를 알아오기 위해 많이 사용하는 mimikatz 툴은 원래 윈도우10에서 실행이 불가했지만 2018년 2월에 업데이트되어 이용이 가능하다

mimikatz Command

log
privilege::debug


sekurlsa::logonpasswords
sekurlsa::tickets /export

sekurlsa::pth /user:Administrateur /domain:winxp /ntlm:f193d757b4d487ab7e5a3743f038f713 /run:cmd



kerberos::list /export kerberos::ptt c:\chocolate.kirbi kerberos::golden /admin:administrateur /domain:chocolate.local /sid:S-1-5-21-130452501-2365100805-3685010670 /krbtgt:310b643c5316c8c3c70a10cfb17e2e31 /ticket:chocolate.kirbi

blog.gentilkiwi.com/mimikatz

공캐키 RSA 구조 알아보기 .der .pem

Maj0r Tom — Fri, 5 Mar 2021 18:23:03 +0900

Asymmetric Encryption

공개키 (public-key cryptography)

사전에 비밀 키를 나눠가지지 않은 사용자들이 안전하게 통신할 수 있도록 한다. 공개 키 암호 방식에서는 공개 키와 비밀 키가 존재하며, 공개 키는 누구나 알 수 있지만 그에 대응하는 비밀 키는 키의 소유자만이 알 수 있다.

공개키 암호학 방식에서 키 생성은 Trap door one way function에 기반을 둔다.

한 방향으로 계산이 쉬우나 다른 방향으로의 계산이 어렵다는 것을 이용한 방식이다.

키를 생성하는데 두 가지의 방법이 존재한다.

소인수분해

첫 번째로 소인수분해를 이용한 키 생성 방법이 있다.

p가 11이고 q가 13일때 N을 구하는 건 간단히 11x13 = 143 간단하게 구할 수 있지만 143을 소수인 p와 q를 구하려면 전자보다 어려워지는 것을 이용한 것이다.

이산대수

두 번째로 이산대수를 이용한 방법이 존재한다.

g, p, y가 주어져도 해당 x값을 구하는건 어려운 점을 이용한 방법이다.

공개키 암호방식

RSA 키 생성

RSA Key Generation

1. 서로 다른 큰 소수 p, q를 선택한다.

2. n = p * q

3. φ(n) => 오일러 Totient 함수, n보다 작은 자연수 중에서 n과 서로 소인 자연수의 개수를 구한다.

φ(n) = (p-1)(q-1)

4. φ(n)보다 작고 φ(n)과 서로소인 임의의 자연수 e를 선택한다.

gcd(e, φ(n)) = 1 (1 < e < φ(n) 만족하는 e를 선택)

5. 확장 유클리드 호제법을 이용해서 e mod φ(n) = 1인 d를 구한다.

공개 키(Public Key) : (N, e)
개인 키(Private Key) : d

기호	의미
p, q	매우 큰 서로 다른 소수
n	p*q의 합성수
gcd(a, b)	a와b의 최대 공약수
φ(n)	오일러 Totient함수로, φ(n)은 n보다 작은 자연수 중에서 n과 서로 소인 자연수의 개수
a mod n	모듈러 연산으로, a를 n로 나누었을 때 나머지 값
a≡ r mod n	a와 r은 n으로 나누었을 때 그 나머지가 같음 (a와 r은 합동)
e	n과 함께 공개되는 공개키로 암호화 지수에 사용
d	공개되지 않는 개인키로 복호화 지수에 사용
M	평문으로 공개키를 이용하여 암호화
C	암호문으로 개인키를 이용하여 복호화
KU	공개키로 KU= {e, n}으로 표기
KR	개인키로 KR= {d, n}으로 표기

RSA 공개 키, 개인 키 구하기

예를들어 p가 11이고 q가 3이라고 하자.
1. N = p * q를 구한다. => n = 33

2. φ(n)=(p-1)(q-1)를 계산한다. => (11-1)(3-1) = 20

3. φ(n)보다 작고 φ(n)과 서로소인 임의의 자연수 e를 선택한다. => e = 3 선택

이 때 20와 서로소 이면서 소수인 3을 선택한다. e = 3
ed = 1 mod (p-1)(q-1)에서 ed = 1 mod 20이 된다.

따라서 d = 7이다. (e가 3이므로)

공개 키 (N, e) : (33, 3)
개인 키 d : 7

Cipher Text 만들기

Plain Text 복호화 하기

RSA 암호화 기법에서의 지수 처리

RSA 에서 모듈러 연산을 하기 위해서, 지수 연산을 많이 하게 됩니다. 암호화, 복호활할 때, 각각 쓰이게 되는데요, 이를 실수 연산을 한 뒤에 모듈러 연산을 하게 되면 메모리와 연산 속도에서 현저히 떨어지게 됩니다. 이를 조금더 쉽고 빠르게 연산하기 위해서 알고리즘이 존재합니다. 모듈러 하는 값의 바이너리 값을 이용해서 연산을 하는 방식입니다.

알고리즘을 연산 예제

ab mod n 의 연산을 하고자 할 때, 아래의 알고리즘을 이용하면 간단하게 연산을 수행할 수 있다.

여기서 b는 바이너리 형태로 존재한다. 즉, b는 bkbk-1…b0 로 표현된다.

위의 알고리즘을 이용하는 예제는 다음과 같다. ab mod n 연산에서 a=7, b = 560 =1000110000, n=561 라고 하면 아래와 같은 형태로 연산이 이루어진다.

RSA 키 파일 포맷

RSA Public Key를 표현하는 format 은 DER format 과 PEM format 이 있다. PKCS#1 표준에서는 RSA Key를 ASN.1 방식으로 표현하라고 규정하고 있다. (*ASN : Abstract Syntax Notation)

.DER (Distinguished Encoding Rule)
DER format은, ASN.1 구조에 맞추어 DER encoding한 것
2개 INTEGER 값의 SEQUENCE 로 표시

.PEM (Privacy-enhanced Electronic Mail)
Base64로 인코딩 된 ASCII text file
Header(--BEGIN PUBLIC KEY-- ) 와 Footer(---END PUBLIC KEY--)를 사용하고, ASCII Text형식으로 표현된다.
PEM은 DER format 이 binary 형식으로 되어 있기 때문에, Base64로 인코딩 함으로서 ASCII text 형식으로 변환한 것

.PEM = (Header) + base64_encode(.DER) + (Footer)

원래는 secure email에 사용되는 인코딩 포멧이었는데 더이상 email쪽에서는 잘 쓰이지 않고 인증서 또는 키값을 저장하는데 많이 사용된다.
-----BEGIN XXX-----, -----END XXX----- 로 묶여있는 text file을 보면 이 형식으로 인코딩 되어있다고 생각하면 된다.
(담고있는 내용이 무엇인지에 따라 XXX 위치에 CERTIFICATE, RSA PRIVATE KEY 등의 키워드가 들어있다)

//PEM PrivateKey Example

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

OpenSSL RSA 키생성 커맨드

//private key
openssl genrsa -out private.pem 1024
//public key
openssl rsa -in private2.pem -pubout -out publickey.pem

Public-Private key syntax

Publickey와 Private 키 표준 구조체 정의

// RSA Public Key syntax
RSAPublicKey ::= SEQUENCE {
    modulus           INTEGER,  -- n
    publicExponent    INTEGER   -- e
}

// RSA Private Key syntax
RSAPrivateKey ::= SEQUENCE {
    version           Version,
    modulus           INTEGER,  -- n
    publicExponent    INTEGER,  -- e
    privateExponent   INTEGER,  -- d
    prime1            INTEGER,  -- p
    prime2            INTEGER,  -- q
    exponent1         INTEGER,  -- d mod (p-1)
    exponent2         INTEGER,  -- d mod (q-1)
    coefficient       INTEGER,  -- (inverse of q) mod p
    otherPrimeInfos   OtherPrimeInfos OPTIONAL
}

PrivateKey를 PEM 포맷으로 출력한 결과와 Private 키에서 각 오프셋별 의미하는 값의미 (n, e, d, p, q)

> openssl asn1parse -in key.pm

Open SSH Key - > RSA PEM Key Example (by oddbit.com)

# python 2 based
import base64
import struct

# get the second field from the public key
keydata = "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQD7EZn/BzP26AWk/Ts2ymjpTXuXRiEWIWnHFTilOTcuJ/P1HfOwiy4RHC1rv59Yh/E6jbTx623+OGySJWh1IS3dAEaHhcGKnJaikrBn3ccdoNVkAAuL/YD7FMG1Z0SjtcZS6MoO8Lb9pkq6R+Ok6JQjwCEsB+OaVwP9RnVA+HSYeyCVE0KakLCbBJcD1U2aHP4+IH4OaXhZacpb9Ueja6NNfGrv558xTgfZ+fLdJ7cpg6wU8UZnVM1BJiUW5KFasc+2IuZR0+g/oJXaYwvW2T6XsMgipetCEtQoMAJ4zmugzHSQuFRYHw/7S6PUI2U03glFmULvEV+qIxsVFT1ng3pj lars@tiamat.house"
keydata = keydata.split()[1]
keydata = base64.b64decode(keydata)


parts = []
while keydata:
    # read the length of the data
    dlen = struct.unpack('>I', keydata[:4])[0]

    # read in <length> bytes
    data, keydata = keydata[4:dlen+4], keydata[4+dlen:]

    parts.append(data)

e_val = eval('0x' + ''.join(['%02X' % struct.unpack('B', x)[0] for x in parts[1]]))
n_val = eval('0x' + ''.join(['%02X' % struct.unpack('B', x)[0] for x in parts[2]]))

print(e_val)
print(n_val)

from pyasn1.type import univ

pkcs1_seq = univ.Sequence()
pkcs1_seq.setComponentByPosition(0, univ.Integer(n_val))
pkcs1_seq.setComponentByPosition(1, univ.Integer(e_val))

from pyasn1.codec.der import encoder as der_encoder

print '-----BEGIN RSA PUBLIC KEY-----'
print base64.encodestring(der_encoder.encode(pkcs1_seq))
print '-----END RSA PUBLIC KEY-----'

pycrypto (pycryptodome) RSA Example

from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_OAEP
import binascii

keyPair = RSA.generate(1024)

pubKey = keyPair.publickey()
print("Public key:  n=", hex(pubKey.n))
print("Public key:  e=", hex(pubKey.e))
pubKeyPEM = pubKey.exportKey()
print(pubKeyPEM.decode('ascii'))

print("Private key:  n=", hex(pubKey.n))
print("Private key:  d=", hex(keyPair.d))
privKeyPEM = keyPair.exportKey()
print(privKeyPEM.decode('ascii'))

msg = b'A message for encryption'
encryptor = PKCS1_OAEP.new(pubKey)
encrypted = encryptor.encrypt(msg)
print("Encrypted:", binascii.hexlify(encrypted))

decryptor = PKCS1_OAEP.new(keyPair)
decrypted = decryptor.decrypt(encrypted)
print('Decrypted:', decrypted)

gmpy2 (GMP & MPIR python)

import gmpy2
from gmpy2 import mpz

bit_count = 1024
rand_state = gmpy2.random_state(42)

def generate_prime(bits):
    temp = gmpy2.mpz_rrandomb(rand_state, bit_count)
    return gmpy2.next_prime(temp)

# Setting up the encryption
#
p = generate_prime(bit_count)
q = generate_prime(bit_count)
assert(p != q)

n = gmpy2.mul(p, q)
phi = gmpy2.mul(p-1, q-1)

print("p:", p)
print("q:", q)
print("n:", n)
print("phi:", phi)

# Key Generation
#
# Choose 1 < e < phi such that gcd(e, phi) = 1
# e will be our Public Key
#
# Choose d the multiplicative inverse of e in Z/phi
# d will be our Secret Key
e = gmpy2.mpz_random(rand_state, phi)
while (e <= 1 or gmpy2.gcd(e, phi) != 1):
    e = gmpy2.mpz_random(rand_state, phi)
assert(e > 1)
assert(gmpy2.gcd(e, phi) == 1)

d = gmpy2.invert(e, phi)
assert(d != 1)
assert(gmpy2.t_mod(e*d, phi) == 1)

print("PK(e):", e)
print("SK(d):", d)


# Encryption and Decryption
#
m = mpz(123456789101112131415)
c = gmpy2.powmod(m, e, n)
m_rec = gmpy2.powmod(c, d, n)

print("Original message:", m)
print("Ciphertext:", c)
print("Recovered message:", m_rec)

레퍼런스

Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1
tools.ietf.org/html/rfc3447

samsclass blog -RSA Key Format
samsclass.info/141/proj/pCH-RKF.htm

ASN.1 JavaScript decoder
lapo.it/asn1js/

CONVERTING OPENSSH PUBLIC KEYS
blog.oddbit.com/post/2011-05-08-converting-openssh-public-keys/

cryptobook.nakov
cryptobook.nakov.com/asymmetric-key-ciphers/rsa-encrypt-decrypt-examples

Public Key Cryptography: RSA
mathybit.github.io/crypto-rsa

IDA Pro IDB2PAT for python3

Maj0r Tom — Thu, 4 Mar 2021 23:27:30 +0900

Among the scripting tools provided by IDA pro flare, there is idb2pat.py that creates a signature.

The script is considered to work in python2, so it does not work properly in python3.

In the case of the most recent version, ida pro 7.5, since python3 is the default version, a script error occurs in the normal execution method.

Method 1. Set config USE_PYTHON2

* IDA's install path:  path/to/ida_install/python/use_python2
* The 'IDAUSR' directory:
   +  ~/.idapro/python/use_python2 (on Linux/OSX)
   + %APPDATA%\Hex-Rays\IDA Pro\python\use_python2 (on Windows)

Create a file called "use_python2" under the install path and make it run as python2. Make the file recognized as a configuration file when ida pro is loaded.

Method 2. Porting to suit python3

It works correctly if the following modifications are reflected.

line 38
    iter(itertools.count(start).__next__, end)
line 259
    sig += ".." * (32 - (len(sig) // 2))
line 296
    for ref_loc, ref in refs.items():
line 417
    filename = ask_file(1, name, "Enter the name of the pattern file")
line 467
    f.write(b"\r\n")
    f.write(b"---")
    f.write(b"\r\n")
line 474
    f.write(b"\r\n")
    f.write(b"---")
    f.write(b"\r\n")

IDA Pro FLARE git github.com/fireeye/flare-ida/blob/master/python/flare/idb2pat.py

IDA Pro Command-line Analysis

Maj0r Tom — Wed, 3 Mar 2021 23:49:15 +0900

IDA Pro를 통해서 대량 분석을 위해 자동 분석 또는 커맨드라인으로 처리하는 방법을 정리한다.

▶ About IDA Pro Batch mode options

IDA Pro 설치 경로 내 실행파일과 종류

IDA Pro 에는 GUI 버전의 실행파일과 커맨드라인 버전의 실행파일이 있다.

x86 gui : ida.exe
x86 cli : idat.exe
x64 gui : ida64.exe
x64 gui : idat64.exe

각 프로그램은 분석 대상 바이너리의 아키텍처(x86, x64 등) 또는 gui, cli 를 의미하지만 내부적인 동작에는 차이가 없다.
다만 당연히 화면처리 여부에 따라서 속도차이가 발생하므로, 커맨드라인 처리를 위해서는 cli 모드를 쓰는게 나을듯하다. (GUI 모드도 인자 주면 동일하게 동작함)

IDA Pro 로 분석 idb 파일 만들기

ida pro 분석 데이터 포맷인 .idb 파일과 어셈블리 분석 결과인 .asm 파일이 만들어진다.
idb : 파일은 바이너리를 분석하고 나서 저장하면 생기는 ida pro의 고유 분석데이터 포맷으로 IDA pro가 분석한 파일의 분석결과에 대한 정보를 담고 있다. 바이너리 별로 분석한 결과가 각각 idb 파일에 저장된다.

asm : 바이너리 코드를 디어셈블리한 어셈블리 코드 텍스트파일, 텍스트 파일 형태로서 함수 별 코드 정보를 담고 있다

idat.exe –A –B {full path to  the file you want to analyze}

"-B": Batch mode. IDA generates "idb" and "asm" file automatically
"-A": Autonomous mode.

스크립트를 통해서 데이터 추출하기

IDA Pro 실행파일(ida.exe)에 인자로 스크립트경로를 주어서 실행한다.
위에서 생성한 idb 파일도 입력인자로 같이 전달한다.

idat.exe -A -S"C:\Path\test_script.py foo bar" "C:\Path\mydatabase.idb"

"-S": Executes a script file when the database is opened

테스트 idc 코드

import idc
import idascript
 
print "Hello world from IDAPython\n"
for i in xrange(1, len(idc.ARGV)):
    print "ARGV[%d]=%s" % (i, idc.ARGV[i])

idc.Exit(0)

IDA Pro FLIRT (Function Signature ) 생성하기

(FLIRT: Fast Library Identification and Recognition Technology)

*시그니처 적용 시 IDA 더미 이름으로 명명 된 함수만 자동으로 이름을 바꿀 수 있습니다. 즉, 사용자가 임의로 함수의 이름을 바꾸고 해당 함수가 나중에 sig를 적용하면 함수의 이름이 변경되지 않습니다. 따라서 분석 초기에 적용하는 것이 유리합니다.

방법1. idb2pat 활용

ida.exe -S"[idb2pat.py파일경로]" [idb파일경로]

"-A" 옵션 없이 실행해야 프로그램 로드 및 초기분석 과정 후에 스크립트가 실행된다.

정상적으로 진행되면 IDA Dialogue 출력창에서 스크립트 실행결과 확인할 수 있다.
아래와 같은 진행이 확인 되지 않으면 보통 뭔가 문제가 생겨서 정상적으로 진행되지 않은 것이다.

idb2pat.py

방법2. Lib 포맷 파일로 부터 추출

이 방법은 시그니처를 만들 정적 라이브러리 파일(*.lib) 이 필요하다.

pcf.exe [lib file path]

lib file 이 위치한 경로에 pat 파일이 생성된다.

여러개로 생성된 pat 파일을 하나의 시그니처로 유지하려면 내용을 복사 붙여넣기해서 이어붙여 저장하면된다.

.pat 파일

생성 된 .pat 파일은 텍스트 파일이어서 내부에 시그니처: 오프셋: 함수 이름정보 등이 들어가있다.

pattern .pat

Sinature 파일 생성하기 (.sig)

IDA 플러그인 프로그램 중에 sigmake 를 통해서 sig 파일을 생성한다.

sigmake [.pat파일경로] [.sig파일경로]
// .pat파일경로는 변환할 pat파일경로
// .sig파일경로는 생성 될 파일명 또는 경로

Signature COLLISIONS Error

같은 패턴을 가지는 함수가 2개 이상있을경우 아래와 같은 충돌 에러 메시지가 나온다.

잘못된 것은 아니고 어떤것을 패턴의 함수이름으로 할것인지를 선택해주면된다.

[file path] : modules/leaves: 1/123, COLLISIONS: 1

See the documentation to learn how to resolve collisions.

시그니처 파일의 확장자 exc 내용을 보면 아래와 같이 적혀있다.

첫번쨰 라인을 지워주고, 저장한다. 그리고 다시실행하면 정상적으로 sig파일이 생성된다.

;--------- (delete these lines to allow sigmake to read this file)

; add '+' at the start of a line to select a module

; add '-' if you are not sure about the selection

; do nothing if you want to exclude all modules

sig파일을 Signatures window 또는 Shift+f5 눌러서 불러오는 것보다 자동으로 로드 될 수 있는 방법 찾아봤으나, 지정된 일부 시그니처만 자동으로 적용되는것으로 보인다.

ida pro 에서 제공하는 함수 LoadSigFile로 스크립트 또는 명령으로 불러올 수 있고 자동화 로드 리스트를 만들 수 있을 것 같다.

IDA Pro 바이너리 호출관계 그래프로 생성하기

GDL 문법 기반으로 그래프를 표현하여 텍스트파일로 생성한다.

GDL(Graph Description Language) : CFG를 표현하기 위한 Graph Description Language
GDL의 구성
CFG 전체를 대표하는 graph
각 basic block을 나타내는 node
basic block들 간의 관계를 나타내는 edge

그래프 생성 코드 Example

import idc

cur = idc.MinEA()
end = idc.MaxEA()

path = idc.GetIdbPath().rsplit('.')[0]+ '.gdl'

idc.GenCallGdl(path, 'Call Gdl', idc.CHART_GEN_GDL)
idc.Message('Gdl file has been saved to {}\n'.format(path))

바이너리 호출 그래프 출력 결과

Windows 사용자 계정 관리 cmd 그리고 Powershell 로 처리하기

Maj0r Tom — Wed, 24 Feb 2021 22:15:07 +0900

Windows 사용자 계정 추가 활성화 삭제 cmd powershell 로 수행하기

로컬 사용자 계정 만들기

1. 시작 > 설정 > 계정 을 선택한 다음 가족 및 다른 사용자를 선택합니다. 일부 에디션의 Windows에서는 다른 사용자가 표시됩니다.
2. 이 PC에 다른 사용자 추가를 선택합니다.
3. 이 사람의 로그인 정보를 가지고 있지 않습니다.를 선택하고 다음 페이지에서 Microsoft 계정 없이 사용자 추가를 선택합니다.
4. 사용자 이름, 암호, 암호 힌트를 입력하거나 보안 질문을 선택하고 다음을 선택합니다.

다른 계정 만들기

로컬 사용자 계정을 관리자 계정으로 변경
1. 시작 >설정 > 계정 을 선택한 다음, 가족 및 다른 사용자에서, 계정 소유자 이름을 선택한 다음, 계정 유형 변경을 선택합니다.
2. 계정 유형에서 관리자를 선택한 다음,확인을 선택합니다.
3. 새 관리자 계정으로 로그인합니다.

CMD(Command Prompt) vs. Powershell

cmd.exe is the default command-line interpreter for Windows.
PowerShell is a task automation and configuration management framework from Microsoft.

Command prompt (cmd.exe)

net user [<UserName> {<Password> | *} [<Options>]] [/domain]
net user [<UserName> {<Password> | *} /add [<Options>] [/domain]]
net user [<UserName> [/delete] [/domain]]

계정 정보 출력
net user [UserName]

계정 추가
net user [UserName] [pw] /add

계정 삭제
net user [UserName] /del

계정 활성화/비활성화
net user [UserName] /active:yes
e.g. net user guest /active:yes
net user [UserName] /active:no

관리자 권한 부여
net localgroup administrators [UserName] /add

Remote Desktop Users Group
net localgroup Remote Desktop Users UserLoginName /add

Powershell.exe

계정 정보 출력
Get-LocalUser -Name "[UserName]"
Get-LocalUser -SID S-1-5-21-9526073513-1762370368-3942940353-500

계정 추가
New-Local User -Name [username] [Option]
New-LocalUser -Name "John" -Description "Test User" -NoPassword
$ password = Read-Host -AsSecureString
New-LocalUser -Name "John" -Description "Test User with Password" -Password $ password

계정삭제
Remove-LocalUser -Name "[UserName]"

계정 활성화/비활성화

Activate
방법1 Enable-LocalUser -Name "[UserName]"
방법2 Get-LocalUser -Name "[UserName]" | Enable-LocalUser
e.g. Get-LocalUser -Name "Administrator" | Enable-LocalUser

Deactivate
방법1 Disable-LocalUser -Name "[UserName]"
방법2 Get-LocalUser [UserName] | Disable-LocalUser
e.g. Get-LocalUser Guest | Disable-LocalUser

관리자 권한 부여
Add-LocalGroupMember -Group Administrators -Member [UserName]
관리자 그룹 보기
Get-LocalGroupMember -Group "Administrators"

Remote Desktop Users Group
Add-LocalGroupMember -Group “Remote Desktop Users” -Member [UserName]

숨겨진 계정 생성하기

net user [UserName$] /add
이렇게 하면 net user 명령으로는 UserName$ 이 나오지 않음 (실제로 $는 숨겨진 계정을 의미)

로그인 화면에서는 UserName$ 이 보인다.

net localgroup administrators [UserName$] /add
여기서는 net localgroup administrators 명령으로 UserName$ 가 보인다.

net user guest$ /add 하면 기존 guest 계정과는 별도로 숨겨진 일반계정이 생성 (이름만 guest)

추가한 후에 net start

+새 관리자 계정 생성 및 섀도우 계정 생성, 새 관리자 정보를 섀도우 계정에 복사, 새로 생성 된 관리자 계정 삭제, 섀도우 계정 만 남기기, 원격 로그인시 섀도우 계정은 인증되지 않았으며 하나만 수행 할 수 있습니다.
대상을 입력하고 원격 로그인 인증을 설정. 이 섀도우 계정 -> 레지스트리 만 찾을 수있다고 함

Create a local user or administrator account in Windows 10
support.microsoft.com/en-us/windows/create-a-local-user-or-administrator-account-in-windows-10-20de74e0-ac7f-3502-a866-32915af2a34d

docs.microsoft.com/en-us/powershell/module/microsoft.powershell.localaccounts/new-localuser?view=powershell-5.1

DBI(Dynamic Binary Instrumentation) 겉핥기로 알아보기

Maj0r Tom — Tue, 23 Feb 2021 23:21:15 +0900

DBI (Dynamic Binary Instrumentation)

printf("test %s", buf); 등과 같이 특정 시점에서의 변수값 등을 확인하거나 프로그램의 행위를 조사하는 일을 Instrumentation 라고 부른다 바이너리 분석을 할때 각종 모니터링 툴들을 켜고 악성코드를 실행하여 행위를 분석하거나, 런타임에 코드를 후킹하여 데이터를 조사 또는 변경하는 방법으로 분석한다.

비교 DBA vs. DBI

DBA (Dynamic Binary Analysis) = Dynamic Program Analysis = Dynamic Analysis

프로그램 런타임에 바이너리를 분석한다.
소프트웨어를 실제 또는 가상프로세서에서 프로그램을 실행함으로서 바이너리를 분석하는 방법이다.
Dynamic Analysis 는 Static Analysis 에 비해 효과가 좋은편이나 테스트를 위한 충분한 테스트 커버리지가 가능해야한다.

Static binary instrumentation : 프로그램이 실행되기 전에 object code, executable code를 재작성하는 단계에서 수행
Dynamic binary instrumentation : 런타임 단계에서 수행

DBI (Dynamic Binary Instrumentation)

바이너리를 런타임(실행되고 있는동안) 코드를 삽입하여 동작 분석한다.
코드를 삽입하여 동작을 분석하는 행위가 instrumentation
DBA 의 방법 중 하나로서 DBI 가 있다고 이해하였다.

비교 SI vs. BI

SI (Source Instrumentation)

소스 코드 수준에서 하는 행위
소스 계측은 개발자와 도메인 전문가가 실행중인 응용 프로그램에 대한 테스트 시나리오를 작성하기 위해 테스트중인 소스를 선택적으로 계측하는 프로세스입니다. 소스 계측을 활용하는 테스트를 구현하는 것을 Expectation Testing이라고합니다.

BI (Binary Instrumentation)

바이너리 수준에서 하는 행위
BI 중에서도 바이너리 실행 중에 조사하는 것을 DBI 라 부른다. 바이너리가 어떤 함수들을 호출하는지, 또 인자값은 무엇인지 등을 조사하는 것.

바이너리 분석을 할때 각종 모니터링 툴들을 켜고 악성코드를 실행하여 행위를 분석하거나, 런타임에 코드를 후킹하여 데이터를 조사 또는 변경하는 방법으로 분석한다.

DBI의 프로젝트

Frida
PIN
DynamoRio
Dyninst
Bochs
Valgrind

DynamoRIO

Frida DBI

Frida가 중요한 이유는 IOS ANDROID 같은 환경에서는 로컬 디버깅이 제한되지만 Frida를 사용하면 로컬 디버깅하는 것 처럼 동적 분석이 가능

FRIDA 는 scriptable 한 DBI 프레임워크 (vala 라는 특이한 프로그래밍 언어로 작성)

DBI 를 위한 주 조작은 자바스크립트를 통해서 하며, C/S 구조로 동작하게 된다.
즉 처음에 바이너리에 프레임워크 라이브러리를 인젝션하여 파이프를 만들어 놓고, 그 파이프를 통해서 명령을 주고 받으면서 바이너리 조사를 할 수 있도록 되어 있다. 물론 C/S 를 사용하지 않고 그냥 PIN 처럼 내부적으로 동작하도록 할 수도 있다.

Frida는 Python 기반의 프로그램입니다. 물론 Core 부분은 C와 Google V8 Engine으로 작성됬지만 대체로 Python library를 많이 사용하고, 여러가지 언어를 이용하여 스크립트를 작성할 수 있으나(바이너리 조작은 자바스크립트로 해야 한다) Python 이 가장 단순하고 좋은 듯 하다.

하지만 제작자는 발표 등을 할 때 node.js 를 많이 사용하는 모습을 보여주고 있다. FRIDA 의 가장 큰 장점은 다양한 플랫폼을 지원한다는 것이다. PIN 과는 달리 ARM 아키텍쳐를 지원하므로 Android, IOS 앱에도 적용이 가능하다. 또한 64 bit 에서도 정상적으로 동작한다.

또한, 컴파일이 필요없는 스크립트 언어로 작성이 가능하다는 것도 매력적이다. 코드 수정이 빈번한 경우 매번 컴파일을 하는 것만큼 귀찮은 것은 없기 때문이다.

Frida 제공기능

특정함수에 연결해 함수후킹
함수추적관점 실행중인 앱디버깅
실시간 트래픽 스니핑 및 암호해독

파이썬기반의 라이브러리 + 커맨드라인, 네이티브앱 후킹 통한 분석가능
대상: 윈도우즈 맥, 리눅스 IOS 안드로이드 QNX
다양한 플랫폼에서 후킹을 할수 있는 플랫폼 / 파이썬틀에 인젝션할 코드를 자바스크립트로 작성가능 파이썬으로 실행할수있음

Frida windows example)

from __future__ import print_function
import frida
import sys

def on_message(message, data):
    print("[%s] => %s" % (message, data))

def main(target_process):
    session = frida.attach(target_process)

    script = session.create_script("""

    // Find base address of current imported jvm.dll by main process fledge.exe
    var baseAddr = Module.findBaseAddress('Jvm.dll');
    console.log('Jvm.dll baseAddr: ' + baseAddr);

    var SetAesDeCrypt0 = resolveAddress('0x1FF44870'); // Here we use the function address as seen in our disassembler

    Interceptor.attach(SetAesDeCrypt0, { // Intercept calls to our SetAesDecrypt function

        // When function is called, print out its parameters
        onEnter: function (args) {
            console.log('');
            console.log('[+] Called SetAesDeCrypt0' + SetAesDeCrypt0);
            console.log('[+] Ctx: ' + args[0]);
            console.log('[+] Input: ' + args[1]); // Plaintext
            console.log('[+] Output: ' + args[2]); // This pointer will store the de/encrypted data
            console.log('[+] Len: ' + args[3]); // Length of data to en/decrypt
            dumpAddr('Input', args[1], args[3].toInt32());
            this.outptr = args[2]; // Store arg2 and arg3 in order to see when we leave the function
            this.outsize = args[3].toInt32();
        },

        // When function is finished
        onLeave: function (retval) {
            dumpAddr('Output', this.outptr, this.outsize); // Print out data array, which will contain de/encrypted data as output
            console.log('[+] Returned from SetAesDeCrypt0: ' + retval);
        }
    });

    function dumpAddr(info, addr, size) {
        if (addr.isNull())
            return;

        console.log('Data dump ' + info + ' :');
        var buf = addr.readByteArray(size);

        // If you want color magic, set ansi to true
        console.log(hexdump(buf, { offset: 0, length: size, header: true, ansi: false }));
    }

    function resolveAddress(addr) {
        var idaBase = ptr('0x1FEE0000'); // Enter the base address of jvm.dll as seen in your favorite disassembler (here IDA)
        var offset = ptr(addr).sub(idaBase); // Calculate offset in memory from base address in IDA database
        var result = baseAddr.add(offset); // Add current memory base address to offset of function to monitor
        console.log('[+] New addr=' + result); // Write location of function in memory to console
        return result;
    }
""")
    script.on('message', on_message)
    script.load()
    print("[!] Ctrl+D on UNIX, Ctrl+Z on Windows/cmd.exe to detach from instrumented program.\n\n")
    sys.stdin.read()
    session.detach()

if __name__ == '__main__':
    if len(sys.argv) != 2:
        print("Usage: %s <process name or PID>" % __file__)
        sys.exit(1)

    try:
        target_process = int(sys.argv[1])
    except ValueError:
        target_process = sys.argv[1]
    main(target_process)

Windows 부모프로세스가 생성하는 자식프로세스 디버깅 따라가기

Maj0r Tom — Tue, 23 Feb 2021 15:48:41 +0900

Windows How to Debug Child Process ?

윈도우즈에서 자식프로세스를 디버깅하기 위해서는 디버거로 자식프로세스로 따라가주어야 한다.

WinDbg의 경우에는 별도의 설정 없이 이것이 가능하지만, OllyDbg, x64Dbg에서는 Child Process 생성 후 Pending 하고 디버거 Attach 하고 디버깅을 진행하게 된다.

그럼 왜 이런 차이가 발생할까?

WinDbg (The Windows Debugger)

WinDbg 에서 디버깅 할때 자식프로세스를 CreateProcess 하게될 때 인자로 Debug flag 를 함께넘긴다. docs.microsoft.com/ko-kr/windows/win32/procthread/process-creation-flags?redirectedfrom=MSDN

DEBUG_PROCESS 0x00000001
The calling thread starts and debugs the new process and all child processes created by the new process. It can receive all related debug events using the WaitForDebugEvent function.
A process that uses DEBUG_PROCESS becomes the root of a debugging chain. This continues until another process in the chain is created with DEBUG_PROCESS.
If this flag is combined with DEBUG_ONLY_THIS_PROCESS, the caller debugs only the new process, not any child processes.

x64Dbg

An open-source x64/x32 debugger for windows

그에 반해 다른 디버거는 CreateProcess 할 때 debug flag가 인자로 넘어가지 않는다.

찾아보니 x64Dbg 에서 기본옵션으로 child process 디버깅 을 붙이는 옵션을 제공하지 않았다.

그러면 Windbg 를 써야할까 ? 대안은 플러그인을 쓰는것이다.

Actually child process debugging isn't supported directly, but through a plugin by DbgChild

관련 플러그인 github.com/David-Reguera-Garcia-Dreg/DbgChild

DbgChild는 자식 프로세스를 디버깅하기위한 standalone 도구입니다 (auto attach). DbgChild는 디버거 플러그인과 함께 사용할 수 있습니다. 현재 DbgChild는 x86 / x64 x64dbg 디버거용 플러그인을 지원합니다.

13 Security Lab

Wireshark HTTPS 분석방법

Wireshark HTTPS DecryptionWireshark TLS Decryption Wireshark SSL Decryption

Decryption 방법

RSA key 방식

RSA Key를 이용하는 경우 제한사항

강제로 TLS 특정버전 사용하게 하는 세팅

Test Apache

세션별 비밀키 방식

키로그 파일을 생성하는 방법

키로그 파일을 생성하는 방법 1 환경변수

키로그 파일을 생성하는 방법 2 Powershell로 설정

키로그 파일을 생성하는 방법 2 어플리케이션 옵션으로 설정

키로그 파일 생성이 안되는 경우 해결 방법

Decrypted TLS Example

Reference

What "Calling Convention" means?

Calling Convention ?

Calling Convention 종류

__cdecl

__stdcall

__fastcall

예외사항 (Saved-Register)

nmap Scan OS version information

Nmap Network Mapper ; Open source network scanner

Nmap의 특징

Nmap core process

OS 스캐닝

OS Detection 관련 옵션

미미카츠 mimikatz 통해서 RDP ID Password 알아내기

Mimikatz?

mimikatz 동작 구조

mimikatz Command

공캐키 RSA 구조 알아보기 .der .pem

공개키 (public-key cryptography)

소인수분해

이산대수

RSA 키 생성

RSA 공개 키, 개인 키 구하기

Cipher Text 만들기

Plain Text 복호화 하기

RSA 암호화 기법에서의 지수 처리

알고리즘을 연산 예제

RSA 키 파일 포맷

OpenSSL RSA 키생성 커맨드

Public-Private key syntax

IDA Pro IDB2PAT for python3

Method 1. Set config USE_PYTHON2

Method 2. Porting to suit python3

IDA Pro Command-line Analysis

▶ About IDA Pro Batch mode options

IDA Pro 설치 경로 내 실행파일과 종류

IDA Pro 로 분석 idb 파일 만들기

스크립트를 통해서 데이터 추출하기

테스트 idc 코드

IDA Pro FLIRT (Function Signature ) 생성하기

방법1. idb2pat 활용

방법2. Lib 포맷 파일로 부터 추출

.pat 파일

Sinature 파일 생성하기 (.sig)

Signature COLLISIONS Error

IDA Pro 바이너리 호출관계 그래프로 생성하기

Windows 사용자 계정 관리 cmd 그리고 Powershell 로 처리하기

로컬 사용자 계정 만들기

다른 계정 만들기

CMD(Command Prompt) vs. Powershell

Command prompt (cmd.exe)

Powershell.exe

숨겨진 계정 생성하기

DBI(Dynamic Binary Instrumentation) 겉핥기로 알아보기

DBI (Dynamic Binary Instrumentation)

비교 DBA vs. DBI

DBA (Dynamic Binary Analysis) = Dynamic Program Analysis = Dynamic Analysis

DBI (Dynamic Binary Instrumentation)

​ 비교 SI vs. BI

SI (Source Instrumentation)

BI (Binary Instrumentation)

DBI의 프로젝트

Frida DBI

Frida 제공기능

Wireshark HTTPS Decryption
Wireshark TLS Decryption
Wireshark SSL Decryption

Nmap
Network Mapper ; Open source network scanner

비교 SI vs. BI