가끔 대용량 파일을 생성하여 테스트할 경우가 종종 있는데 그 때마다 어떻게 큰 파일을 만들지 고민한 적이 많았었는데 한 번은 개발자 부장님께서 알 수 없는 명령어로 뚝딱 만들어 주던 기억이 나서 이리저리 검색을 통해 방법을 알아 냈습니다..

바로 fsutil dd 란 명령어입니다.

윈도우는 fsutil, 리눅스는 dd 라는 명령어를 이용하여 생성할 수 있습니다.

  - 사용방법
  fsutil file createnew [filename] [filesize]
    ex) fsutil file createnew test 102400
          --> test 란 이름으로 1MB 의 파일이 생성된다.

  dd if=/dev/zero of=[위치 및 파일명] bs=[filesize] count=[반복횟수]
    ex) dd if=/dev/zero of=/root/test.txt bs=100M count=1
         --> text.txt 란 이름으로 100MB 의 파일이 생성된다.
         count가 2일 경우 200MB 가 생성된다.



 ※ 주의할 점은 fsutil의 경우 동일한 파일명이나 폴더가 존재할 경우 에러가 나며, dd 는 덮어쓰기가 됩니다.

간단하지만 모르면 불편하기 때문에 테스트를 많이 하시는 분들은 꼭 알아두면 유용한 명령어인거 같습니다.


저작자표시

'할롬::컴터 > 정보보안' 카테고리의 다른 글

명령어를 사용하여 윈도우 이벤트 로그 지우는 방법  (0) 2012.06.11
윈도우 명령어로 작업 스케줄 설정하기  (0) 2012.03.13
OllyDBG를 이용한 UPX 언패킹  (6) 2011.11.21
Outlook 실행 시 mcou.dll 오류문제 해결방법  (1) 2011.10.20
[보안상식] 윈도우 무한 재부팅 원인 확인 및 해결 방법  (0) 2011.09.16



악성코드 유포 시 기본적인 스크립트 형태가 아닌 Space 와 TAP 키를 이용하여 소스코드의 내용을 은폐하는 악성코드가 등장했습니다. 1월경 발견됐는데 전 언제 샘플을 구하나 했는데 드뎌 구했습니다~ㅋ 그럼 해당 악성코드에 대해서 한 번 살펴 보도록 하겠습니다.

해당 기법은 2008년 빌리 호프만이 Blackhat 보안 컨퍼런스에서 발표한 적이 있으며 그 당시에는 단순히 아이디어였으나 그것을 현실화한 코드가 발견되었다는 사실에 주목할 필요가 있습니다.

당시 발표 자료는 아래 링크에서 다운받으실 수 있습니다.
http://www.blackhat.com/presentations/bh-usa-08/Hoffman/Hoffman-BH2008-CircumventingJavaScript.ppt




 위 자료를 살펴보면 특정 문자열의 이진코드값을 Space와 TAB 키를 이용하여 내용을 표시하도록 하여 스크립트 내용을 감추도록 하는 방법입니다.




그럼 코드를 살펴 보겠습니다.
실제 유포사이트의 js 파일내에 스크립트가 삽입되어 있으며 박스 부분이 실제 악성스크립트 입니다. 줄 바꿈을 안해놔서 찾기가 힘들었습니다.






보기 쉽게 줄바꿈을 하자 중간 부분에 빈 공간이 보입니다. 바로 저 부분이 Dehydrate a String 을 이용한 부분입니다.






공백 표시를 해보니 TAB 키와 Space 키 흔적이 보이네요..






아래 코드를 살펴보면 while문과 for문을 돌려서 유니코드 값을 tmp 에 저장하고 있으며, fromCharCode 함수를 이용하여 유니코드를 문자열로 반환하도록 하고 있습니다.

while(s.charAt(curr) != '\n') {
        var tmp = 0;
        for (var i=6; i>=0 ; i-- ){
            if (s.charAt(curr) == ' '){
                tmp = tmp | (Math.pow(2,i));
            }
            curr++;
        }
        r.push(String.fromCharCode(tmp));
}

document.write로 tmp 값을 확인 해 보니 iframe 태그를 이용하여 특정 사이트의 페이지를 호출하도록 되어 있습니다.




URL 인코딩으로 되어 있는 부분을 다시 디코딩 해보았습니다. 특정 사이트의 index.html을 호출하도록 되어 있네요.. 아직 유포중이라 모자이크 처리 했습니다.




추가 분석은 나중에 하고 어쨌든 새로운 공격 방법을 볼 수 있어서 좋네요~








저작자표시

'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 검색도우미 :: CloverPlus  (0) 2012.12.21
[악성코드분석] 윈도우 시스템 파일을 위장한 악성코드 분석  (0) 2012.04.13
[악성코드분석] 원격 조정가능한 악성파일  (0) 2012.01.25
[악성코드분석] 시스템 파일 변조를 통한 온라인 게임 계정유출 악성코드  (0) 2012.01.02
[악성코드분석] 검색도우미 :: Onbar  (2) 2011.12.05




통합진보당 공식 홈페이지가 20일 새벽 해킹당했다. 홈페이지 초기 화면은 북한 인공기 수십 장과 '김 위원장 사망 소식에 오열하는 북한 주민'이라는 자막이 붙은 사진으로 바뀌었다.  오열하는 북한 주민 사진에 이정희 통합진보당 공동대표 얼굴이 합성됐으며, 통합진보당 명칭도 통합종북당으로 바뀌어 게시됐다. 통합진보당 측은 이를 의도된 해킹으로 규정했다.

[기사 원문 보기]
















저작자표시

'할롬::컴터 > 보안이슈' 카테고리의 다른 글

기술만 좋으면? '사람타고' 들어오는 악성코드  (0) 2012.11.09
국민은행 피싱 사이트 주의  (2) 2012.09.18
[A5칩 탈옥성공] “아이패드2 탈옥 OK“…10개월만에 성공  (0) 2012.01.25
윈도우 2시간 마다 재부팅 되는 현상  (3) 2011.09.05
[정보] 무료 압축프로그램 반디집  (0) 2011.08.05





캔을 이용한 와이파이 증폭기네요..
제작 방법이 아주 상세하게 나와있어요~ (내용물을 마셔서 빈 캔으로 만드는 것까지 ㅋㅋ)

저도 한 번 해볼려고 웰치스 캔 하나 구했네요~ 집에다 설치 해야겠습니다.ㅋ
제작 방법은 아래 링크로 가시면 됩니다. 동영상까지 친절하게 가르쳐줍니다.

http://www.wikihow.com/Make-a-Wi-Fi-Booster-Using-Only-a-Beer-Can






저작자표시

'할롬::하루' 카테고리의 다른 글

스타 맵핵 찾다 낚시 당하다..  (0) 2011.11.23
서울 시민으로써 한 표 던지고 왔습니다.  (0) 2011.10.26
미친 날씨..  (0) 2011.07.28




  예전부터 아이폰 탈옥을 하고 싶었지만, 선뜻 내키지 않아 망설였었는데 큰 맘 먹고 탈옥이란걸 해봤습니다. 나중에 또 다시 탈옥할 일이 생길까봐 포스팅 해봅니다.




 1. SHSH 백업

탈옥하기 전 백업은 필수죠..
SHSH 백업은 Tinyumbrella를 사용해야 합니다.

Tinyumbrella는 JAVA 가 설치 되어야 사용이 가능 합니다.
  - http://www.java.com

JAVA 가 설치가 되었다면 자신의 OS에 맞는 Tinyumbrella를 다운 받습니다.
  - http://thefirmwareumbrella.blogspot.com




윈도우 기준으로 작성했구요 글 작성 시점의 최신버전은 5.10.06 입니다.
다운 받은 Tinyumbrella 를 실행합니다.



① : 아이폰을 연결 시 왼쪽 상단에 자신의 기기정보가 나타납니다.
② : Advanced 탭으로 이동합니다.
③ : 백업파일을 저장할 위치를 지정하고 (기본으로 설정되어 있지만, 좀 더 안전하게 보관하고자 전 다른 드라이브에 저장 하였습니다.) 체크박스 부분처럼 3 개만 체크를 합니다.
④ : Save SHSH 버튼을 클릭하면 백업이 됩니다.

Genaral 탭으로 이동하면 백업 된 내용을 확인 할 수 있습니다.







 2. redsn0w 탈옥 툴 다운 및 설치 진행

redsn0w 를 이용하여 탈옥을 할 수 있으며 아래와 같은 기기만 지원이 됩니다.

IOS 5.0.1 탈옥 지원 기기
 - iPhone 4 (GSM - CDMA)
 - iPhone 3GS
 - iPod touch 4G
 - iPod touch 3G
 - iPad 1
※ iPhone4S 와 iPad2 사용자는 해당 되지 않습니다.

 - Redsn0w 최신버전 다운받기 (현재 최신버전은 0.9.10.b4 입니다.)

a. 다운받은 redsn0w를 실행 합니다.



b. Jailbreak 버튼을 클릭합니다.



c. DFU 모드 진입 전 아이폰의 전원을 끄고 Next 버튼을 클릭합니다.



d. DFU 모드로 진입하는 방법을 순서대로 따라하면 됩니다.
    1. 전원버튼을 3초간 누릅니다.
    2. 전원버튼을 누른 상태에서 홈버튼을 10초간 누릅니다.
    3. 홈버튼을 누른 상태에서 전원버튼을 때고 15초간 누릅니다.





e. DFU 모드로 성공적으로 진입하면 설치가 시작됩니다. 설치가 완료되면 Install Cydia 항목에 체크 하고 진행합니다.




f. 아이폰이 리부팅 되면 [Done!] 화면이 나오고 설치가 완료 됩니다. 이제 아이폰에서 추가 설치 화면이 나오고 그 후에 파인애플 이미지가 나오는데 완료가 되면 자동으로 리부팅 됩니다. 아이폰에서 Cydia 어플이 보이면 성공적으로 탈옥이 된 겁니다.


다음엔 Cydia 필수 어플에 대하여 포스팅 하겠습니다.



저작자표시

'할롬::아이폰' 카테고리의 다른 글

[아이폰소식] iPhone 4S, iPad 2 탈옥 소식이 들려옵니다.  (0) 2012.01.09
[아이폰] IOS 5 :: 사진편집 기능  (0) 2011.10.17
[아이폰] IOS 5 :: 미리 알림 기능  (4) 2011.10.14
[아이폰] 아기다리 고기다리 던 :: IOS 5 업뎃  (0) 2011.10.14





 최근 발견 된 악성파일 감염 시 외부 서버로 접속을 시도하는 백도어 역할을 하며 연결이 되면 외부에서 원격 조정이 가능한 형태의 악성파일입니다.

해당 악성파일은 프린터 관련 프로세스인 sploosv.exe에 로드되어 외부로 접근을 시도하며, 추가로 plugin 폴더가 생성되어 특정 행위 시 해당 폴더에 플러그인이 설치가 됩니다.

토탈 바이러스 검사 결과 모든 백신에서 탐지가 되지 않는 것으로 보아 악성파일이 활개를 치지 않을까 추정됩니다.




 악성파일 정보

 파일명 : common.conf
 파일크기 : 25MB




 생성파일 정보

 C:\Program Files\common Files
 C:\Program Files\common Files\common.conf
 C:\Program Files\common Files\plugin
 C:\Program Files\common Files\plugin\plugin_FileExplorer_C.dll
 C:\Program Files\common Files\plugin\plugin_Process_C.dll
 C:\Program Files\common Files\plugin\plugin_Register_C.dll
 C:\Program Files\common Files\plugin\plugin_ScreenCapture_C.dll




 설치위치 정보

 C:\Program Files\common Files\




 감염증상

 sploovs.exe 프로세스에 로드되어 주기적으로 외부로 접근을 시도하며, 연결이 되면 외부에서 원격조정이 가능한 상태가 됩니다. 또한 tcpmon.dll 파일을 감염시켜 프린터가 되지 않는 현상이 발생합니다.




 해결방법

 sploovs.exe 프로세스를 죽인 후 생성된 파일을 삭제 합니다. 또한 tcpmon.dll 파일을 원본파일과 교체한 후 프린터 드라이버를 재설치 하셔야 합니다.



저작자표시

'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 윈도우 시스템 파일을 위장한 악성코드 분석  (0) 2012.04.13
[악성코드분석] 드디어 Dehydrating a String 코드 샘플을 구하다.  (0) 2012.02.28
[악성코드분석] 시스템 파일 변조를 통한 온라인 게임 계정유출 악성코드  (0) 2012.01.02
[악성코드분석] 검색도우미 :: Onbar  (2) 2011.12.05
[악성코드분석] ws2help.dll 시스템파일 변조를 통한 계정유출 악성코드 (2011.11.19)  (4) 2011.11.23



드디어 아이폰4S와 아이패드2 기기 탈옥이 가능해졌습니다~
저도 집에가서 언능 해보고 싶네요 ㅋ


[기사원문보기]


아이패드2와 아이폰4S 사용자들이 iOS5.0.1 기반 단말기를 탈옥할 수 있게 됐다. '그린포이즌 압생트(GreenPois0n Absinthe)'라는 해킹툴을 통해서다.

 
 영국 지디넷은 23일(현지시각) 한 해커그룹이 아이패드2와 아이폰4S를 탈옥할 수 있는 소프트웨어를 공개했다고 보도했다.

 
 탈옥한 단말기는 애플이 허용하지 않은 프로그램 코드나 애플리케이션(이하 '앱')을 실행할 수 있게 된다. 앱스토어에 공식 등록되지 않은 앱이나 불법복제한 유료 앱을 설치해 쓸 수 있고 운용체계(OS)가 개방하지 않은 특수 기능을 이용한 탈옥기기 전용 앱도 작동시킬 수 있다.

 
 기존 탈옥툴은 A4 프로세서를 품은 아이폰4, 아이패드, 아이팟터치까지만 적용됐다. A4 프로세서의 취약점이 알려져있었기 때문에 새 iOS 버전이 나오더라도 금방 업그레이드할 수 있었지만 A5칩을 탑재한 기기에 적용할 수 없었다. iOS 사파리 브라우저의 PDF리더 취약점을 이용한 웹기반 탈옥툴 '제일브레이크미' 3.0 버전은 아이패드2를 탈옥할 수 있었지만 iOS5 환경을 지원하지 못했다.
 
 
 


▲ 지난주 팟2g가 공개한 iOS5.0.1버전의 탈옥한 아이패드2가 정상 가동되는 모습.
 
 
iOS용 그린포이즌 압생트는 iOS5와 iOS5.0.1 버전이 돌아가는 아이패드2와 아이폰4S 단말기를 탈옥할 수 있다. 맥과 윈도 환경에서 사용 가능하다.
 
 
 보도에 따르면 iOS용 해킹툴을 만들어 공개한 '크로닉데브팀'은 "A5칩을 탑재한 아이패드2와 아이폰4S를 탈옥하기 위해 '취약점의 취약점'을 어처구니없을 정도로 복잡하게 조합해서" 탈옥툴을 개발한 것이라고 주장했다. 지난주 크로닉데브팀 소속 해커 팟투지(pod2g)는 탈옥에 성공한 기기 작동 영상을 먼저 시연한 바 있다.

 
 다른 크로닉데브팀 소속 해커 조슈아 힐은 공식블로그에 "새 단말기가 출시될 때마다 탈옥을 위한 우리의 끝없는 싸움은 점점 더 어려워져간다"며 "A5 기기용 탈옥툴이 사용한 iOS 취약점의 세부 내용은 아직 결정하지 않았지만 내년 열리는 컨퍼런스를 통해 공개할 것"이라고 썼다.

 
 이번 탈옥툴이 등장한 시기는 A5를 탑재한 아이패드2가 출시된지 10개월, 아이폰4S가 시판된지 4개월만이다.

 
 힐은 지난달 어떤 해킹툴을 선보인 뒤 1주일만에 1천만건이 넘는 오류 보고를 받았다고 밝혔다. 이에 크로닉데브팀은 A4와 A5단말기를 위한 탈옥툴 개발이 가능한 취약점을 찾도록 고무됐다고 설명했다.

 
 또 힐은 "팀이 실제로 A5기기를 탈옥할 수 있는 소프트웨어를 개발하기로 확정한 시기는 아이폰4S가 출시된 지난해 10월부터"라며 "그 결과 A5 탈옥에 대한 요청은 밤새 기하급수적으로 늘어났다"고 덧붙였다.

저작자표시

'할롬::컴터 > 보안이슈' 카테고리의 다른 글

국민은행 피싱 사이트 주의  (2) 2012.09.18
[뉴스] 통합진보당 해킹, '헥티비즘 전초전'  (0) 2012.02.21
윈도우 2시간 마다 재부팅 되는 현상  (3) 2011.09.05
[정보] 무료 압축프로그램 반디집  (0) 2011.08.05
네이트닷컴 개인정보 유출 여부 확인  (0) 2011.07.29




MS에서 2012년 1월 11일정기 보안 업데이트 공지가 나왔습니다.

 <영향받는 소프트웨어>

- Windows XP 서비스 팩3
- Windows XP Professional 64-bit 서비스 팩2
- Windows Server 2003 서비스 팩2
- Windows Server 2003 64-bit 서비스 팩2
- Windows Server 2003 서비스 팩2 Itanium
- Windows Vista 서비스 팩2
- Windows Vista 64-bit 서비스 팩2
- Windows 7 서비스 팩0, 1
- Windows 7 64-bit 서비스 팩0, 1
- Windows Server 2008 서비스 팩2
- Windows Server 2008 64-bit 서비스 팩2
- Windows Server 2008 64-bit 서비스 팩2 Itanium
- Windows Server 2008 R2 64-bit 서비스 팩0, 1
- Windows Server 2008 R2 64-bit 서비스 팩0, 1 Itanium

 <요약>

Windows 커널 취약점으로 인한 커널 보안 기능 우회 문제, Windows 개체 포장기의 취약점으로 인한 원격 코드 실행 문제, Windows CSRSS의 취약점으로 인한 권한 상승 문제, Windows Media의 취약점으로 인한 원격 코드 실행 문제, Microsoft Windows의 취약점으로 인한 원격 코드 실행 문제, SSL/TLS의 취약점으로 인한 정보 유출 문제, AntiXSS 라이브러리의 취약점으로 인한 정보 유출 문제점을 보완한 Microsoft 2012년 1월 정기 보안 업데이트를 발표하였습니다.

 <상세정보>


[MS12-001] Windows 커널 취약점으로 인한 커널 보안 기능 우회
 이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점은 공격자가 소프트웨어 응용 프로그램에서 SafeSEH 보안 기능을 우회할 수 있도록 합니다. 그런 후 공격자는 다른 취약점을 이용하여 구조적 예외 처리기가 임의 코드를 실행하도록 할 수 있습니다. Microsoft Visual C++ .NET 2003을 사용하여 컴파일한 소프트웨어 응용 프로그램만 이 취약점을 악용하는 데 이용될 수 있습니다.

[MS12-002] Windows 개체 포장기의 취약점으로 인한 원격 코드 실행
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 실행 파일과 동일한 네트워크 디렉터리에 있는 포함된 패키지 개체를 포함하는 합법적인 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 로그온한 사용자와 동일한 권한을 얻을 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

[MS12-003] Windows CSRSS(Client/Server Runtime Subsystem)의 취약점으로 인한 권한 상승 문제
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점 1건을 해결합니다. 이 보안 업데이트의 심각도는 지원 대상인 모든 Windows XP, Windows Server 2003, Windows Vista 및 Windows Server 2008 에디션에 대해 중요입니다. 지원 대상인 Windows 7 및 Windows Server 2008 R2 에디션은 이 취약점의 영향을 받지 않습니다.

이 취약점으로 인해 공격자가 영향을 받는 시스템에 로그온한 후 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다. 그런 후 공격자는 영향을 받는 시스템을 완전히 제어하고 프로그램을 설치할 수 있으며, 데이터를 보거나 변경하거나 삭제할 수 있고, 모든 사용자 권한을 갖는 새 계정을 만들 수 있습니다. 이 취약점은 중국어, 일본어 또는 한국어 시스템 로캘로 구성된 시스템에서만 악용될 수 있습니다.

[MS12-004] Windows Media의 취약점으로 인한 원격 코드 실행 문제
이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 2건을 해결합니다. 사용자가 특수하게 조작된 미디어 파일을 열면 이러한 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 이러한 취약점 중 하나를 성공적으로 악용한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

[MS12-005] Microsoft Windows의 취약점으로 인한 원격 코드 실행 문제
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이 취약점은 사용자가 악성의 내장형 ClickOnce 응용 프로그램이 들어 있는 특수하게 조작된 Microsoft Office 파일을 열 경우 원격 코드가 실행되도록 할 수 있습니다. 취약점 악용에 성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.

[MS12-006] SSL/TLS의 취약점으로 인한 정보 유출 문제
이 보안 취약점은 SSL 3.0 및 TLS 1.0의 공개된 취약점을 해결합니다. 이 취약점은 프로토콜 자체에 영향을 미치며 Windows 운영 체제와는 관련이 없습니다. 이 취약점은 공격자가 영향 받은 시스템에서 제공된 암호화된 웹 트래픽을 가로챌 경우 정보가 노출되도록 할 수 있습니다. TLS 1.1, TLS 1.2, 그리고 CBC 모드를 사용하는 모든 암호 그룹은 영향을 받지 않습니다.

[MS12-007] AntiXSS 라이브러리의 취약점으로 인한 정보 유출 문제
이 보안 업데이트는 비공개적으로 보고된 Microsoft AntiXSS(사이트 간 스크립팅 방지) 라이브러리의 취약점 1건을 해결합니다. 이 취약점은 공격자가 AntiXSS 라이브러리의 삭제 기능을 사용하여 웹 사이트에 악성 스크립트를 제공할 경우 정보가 유출되도록 할 수 있습니다. 이러한 정보 노출의 결과는 정보 자체의 특성에 따라 좌우됩니다. 이 취약점으로 인해 공격자가 직접 코드를 실행하거나 해당 사용자 권한을 상승시킬 수는 없지만 영향을 받는 시스템의 손상을 악화시키는 데 사용할 수 있는 정보를 생성할 수 있습니다. AntiXSS 라이브러리의 삭제 모듈을 사용하는 사이트만 이 취약점의 영향을 받습니다.

 <참조사이트>
한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms12-jan
영문 : http://technet.microsoft.com/en-us/security/bulletin/ms12-jan


저작자표시

'할롬::컴터 > 보안업데이트' 카테고리의 다른 글

[업데이트] Microsoft 보안 업데이트 (2012.12.12)  (0) 2012.12.14
[업데이트] Microsoft 보안 업데이트 (2012.11.14)  (0) 2012.11.15
[업데이트] Microsoft 긴급 보안 업데이트 (2011.12.30)  (0) 2012.01.05
[업데이트] Microsoft 보안 업데이트 (2011.11.9)  (0) 2011.11.14
[업데이트] Microsoft 보안 업데이트 (2011.10.12)  (0) 2011.10.17



 소개

최근 Qualys Security Labs 보안전문가 Sergey Shekya 이 발표한 Slow HTTP DoS 공격은 정상적인 요청을 웹 서버가 요청을 느리게 읽도록 해서 서버가 반응할 수 없도록 만들어 버리는 공격이라고 소개하고 있습니다. 다시 말해, 웹 서버를 다운 시키기 위해 다수의 좀비 PC를 만들지 않아도 된다는 말이죠..

소개는 대충 이정도로 하고, 어떻게 동작하는지 테스트를 해보았습니다.



 준비물

 - Slow HTTP DoS 공격을 하기 위한 준비물
1. Apache 웹 서버
2. SlowHTTPTest tool (작성중인 시점에 최신버전은 1.3 버전입니다.)
3. 공격 시도할 리눅스 서버



 인스톨

# wget http://slowhttptest.googlecode.com/files/slowhttptest-1.3.tar.gz
# tar zxvf slowhttptest-1.3.tar.gz
# cd slowhttptest-1.3
# ./configure
# make;make install



 테스트

# slowhttptest -c 1000 -B -i 100 -r 300 -s 10240 -u hxxp://192.168.xx.xx -x 20
Detailed options :

-a start start value of ranges-specifier for range header test
-b bytes limit of range-specifier for range header test
-c number of connections limited to 1024
-H, B, or R specify to slow down in headers section or in message body.
            -R enables range test
-g generate statistics in CSV and HTML formats, pattern is slow_xxx.csv/html,
   where xxx is the time and date
-i seconds interval between follow up data in seconds, per connection
-l seconds test duration in seconds
-o file custom output file path and/or name, effective if -g is specified
-r connections per second connection rate
-s bytes value of Content-Length header, if -B specified
-t verb custom verb to use
-u URL target URL, the same format you type in browser, e.g https://host:port
-v level verbosity level of log 0-4
-x bytes max length of follow up data






위 명령어를 실행 하면 어떤 옵션을 사용하고 있는지 정보가 나오며 설정된 옵션 값으로 서버에 공격을 시도하고 있습니다. 대략적인 옵션 값을 보면, 공격 타입은 Slow Body 타입이고 최대연결 수를 1000, 헤더길이는 10240으로 초당 연결을 300, 240초 동안 5초 간격으로 수행하도록 되어 있습니다.








위의 이미지에서 정상호출과 비정상호출의 차이점을 확인 할 수 있으며, 공격 시 웹 페이지에 접속 시도하면 응답시간이 느려 페이지 로딩 시간이 길어지며, 결국 페이지가 응답하지 않는 것을 볼 수 있습니다.

 
 

 
실제 테스트하는 영상을 보시면 이해가 더 빠르실 거 같아 관련 영상 링크 합니다.
 












저작자표시

'할롬::컴터 > 해킹' 카테고리의 다른 글

[웹해킹] 플래시로 쉽게 보는 XSS/CSRF  (2) 2012.11.15
[소개]WarGame 사이트 xcz.kr  (0) 2012.11.15
[웹해킹] XSS (Cross Site Scripting)  (2) 2011.09.21
[War Game] 문제풀이 형식 사이트 www.neroa.com  (0) 2011.07.14
모의해킹 데모 사이트 demo.testfire.net  (1) 2011.07.14

드뎌 아이폰4S와 아이패드2 완탈 소식이 여기저기서 들려오는군요~ ㅋㅋ

혹시 낚시글이지 않을까 우려속에 저도 @pod2g 트윗을 검색해봤습니다.



트윗에 올라온 글입니다.

첫번째는 일주일 안에 릴리즈 될거라고 그러고,
두번째로 올린 글에는 5.0.1로 업그레이드 하라고 하네요..

이미 작년 크리스마스 선물로 4S 와 iPad 2 사용자를 제외한 A4 기기에 대하여
5.0.1 완탈이 나왔기 때문에 이 번에도 거의 확정적이라 할 수 있을 거 같습니다.

많은 분들이 완탈을 기다리셨을 거라 생각됩니다.
A5 기기 사용자에겐 사막의 오와시스와도 같은 소식이 아닐까 싶네요~~ㅋㅋ




저작자표시

'할롬::아이폰' 카테고리의 다른 글

[탈옥] 아이폰4 IOS5 완탈 Step by Step..  (0) 2012.01.27
[아이폰] IOS 5 :: 사진편집 기능  (0) 2011.10.17
[아이폰] IOS 5 :: 미리 알림 기능  (4) 2011.10.14
[아이폰] 아기다리 고기다리 던 :: IOS 5 업뎃  (0) 2011.10.14





 Microsoft 에서 긴급 보안 업데이트 공지가 나왔습니다.

.NET Framework 취약점을 보완한 업데이트이며 권한상승 문제가 발생할 수 있기에 업데이트를 꼭 하시기 바랍니다.

<요약>

취약점으로 인한 권한 상승 문제를 발생시킬 수 있으며, 아래의 버전을 포함한 소프트웨어에 영향을 줍니다.

Microsoft .NET Framework 1.1 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4


<영향을 받는 소프트웨어>

Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems
Windows 7 for x64-based Systems Service Pack 1

Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1



<참조사이트>

한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms11-100
영어 : http://technet.microsoft.com/en-us/security/bulletin/ms11-100






저작자표시

'할롬::컴터 > 보안업데이트' 카테고리의 다른 글

[업데이트] Microsoft 보안 업데이트 (2012.11.14)  (0) 2012.11.15
[업데이트] Microsoft 보안 업데이트 (2112.1.11)  (0) 2012.01.11
[업데이트] Microsoft 보안 업데이트 (2011.11.9)  (0) 2011.11.14
[업데이트] Microsoft 보안 업데이트 (2011.10.12)  (0) 2011.10.17
[업데이트] Adobe Flash Player 다중 취약점 업데이트 권고 (2011.09.22)  (0) 2011.09.23



인터넷이 발달되면서 해킹 기법도 다양하고 기발한 방법들이 많이 나오는 것 같습니다.
최근엔 Space와 Tab키를 이용하여 악성스크립트를 보이지 않도록 하는 방법이 나와서 소개 합니다.
저도 언능 샘플을 구해서 보고싶네요~


<출처> 울지않는벌새


최근 중국발 온라인 게임 계정 탈취를 목적으로 하는 악성코드 유포시 기존에 사용하던 자바 스크립트(JavaScript) 방식과는 다르게 Space와 Tab키를 이용하여 외형적으로 코드가 보이지 않도록 제작된 부분이 확인이 되고 있습니다.

해당 악성 스크립트에 대해 이미 보안 블로그에서 정보를 공개하였으며, 저와 같은 초보자를 위해 해당 악성 스크립트를 단순 무식하게 풀어보는 방법에 대해 살펴보도록 하겠습니다.

샘플에 사용된 스크립트는 이번 주말 모 언론사 웹 사이트에서 유포되는 것이며, 위와 같이 스크립트 내부가 어떠한 정보도 없이 공란(Blank)으로 처리가 되어 있는 것을 확인할 수 있습니다.

눈에 보이지 않는 공란 영역을 초보자가 이해하기 쉽게 숨겨진 부분을 표시해보면 그림과 같이 Space 키와 Tab 키로 입력한 정보가 포함되어 있는 것을 확인할 수 있습니다.

Dehydrate(숨겨진)된 문자열을 Hydrate(표시)하기 위해서는 Space 키는 "1", Tab 키는 "0"으로 표시하여 7 Bit 단위의 2진수로 표시를 하라고 안내되어 있습니다.

1차적으로 2진수로 작성된 수를 7 Bit 단위로 쪼개서 스크립트를 구성하면 위와 같은 모양을 갖추게 됩니다.
 
해당 "1100100 1101111 1100011 1110101 1101101 1100101 1101110 1110100 0101110 1110111 1110010 1101001 ~ (중략) ~ 1110011 1100011 1110010 1101001 1110000 1110100 0100101 0110011 1000101 0100010 0101001 0101001 0111011" 2진수 Binary 값을 다시 10진수 Decimal 값으로 변환을 하시기 바랍니다.

참고로 해당 스크립트 변환을 위해서는 변환툴을 반드시 이용하시기 바라며, 수동으로 무식하게 하시면 많이 힘듭니다.

변환이 완료되면 그림과 같은 형태를 갖추게 되며, 마지막으로 Malzilla 분석툴을 이용하면 다음과 같은 최종적으로 불러오는 악성 스크립트 주소 cc.js 파일을 확인할 수 있습니다.

참고로 cc.js 파일에 대하여 nProtect 보안 제품에서는 Script-JS/W32.Agent.CJV (VirusTotal : 1/43) 진단명으로 진단하며, 해당 악성 스크립트는 다음과 같은 추가적인 악성 파일을 실행시킵니다.

  • h**p://ojy**.com/css/ac/board.html
  • h**p://ojy**.com/css/ac/vvv.html
  • h**p://ojy**.com/css/ac/hhh.html
  • h**p://ojy**.com/css/ac/fff.html
  • h**p://ojy**.com/css/ac/ac1230.swf (avast! : SWF:CVE-2011-2140-A [Expl])
  • h**p://ojy**.com/css/ac/h6.html (Kaspersky : Exploit.HTML.CVE-2011-1255.a)
  • h**p://ojy**.com/css/ac/fff.html
  • h**p://ojy**.com/css/ac/h8.html
  • h**p://ojy**.com/css/ac/Applet.html
  • h**p://ojy**.com/css/ac/cc.html
  • h**p://ojy**.com/css/ac/Applets.jar (AhnLab V3 : JAVA/Jorik)
  • h**p://ojy**.com/css/ac/e.avi (Microsoft : Exploit:Win32/CVE-2011-2140.A)
  • h**p://ojy**.com/css/ac/s.exe (MD5 : d90ccc137ba09276d6800942bc732b88)

참고로 최종 파일(s.exe)에 대하여 BitDefender 보안 제품에서는 Trojan.Generic.KD.500437 (VirusTotal : 13/42) 진단명으로 진단되고 있습니다.

해당 악성 스크립트는 접속한 사용자가 Adobe Flash Player, Oracle JRE 프로그램이 설치된 환경에서 취약점을 가진 버전을 사용할 경우 자동으로 감염시키도록 구성되어 있으며, 최종적으로 ws2help.dll 시스템 파일을 변조하여 온라인 게임을 비롯한 특정 웹 사이트 계정 정보를 탈취하는 악의적인 동작을 합니다.

특히 ws2help.dll 시스템 파일의 백업 파일도 변조하여 백신 프로그램을 통한 치료를 어렵게 하고 있으며, 잘못 치료를 할 경우 시스템 부팅이 이루어지지 않는 문제가 발생하므로 반드시 Windows CD를 통해 복구를 해야 합니다.

참고로 해당 악성코드 감염시 가장 유사성이 강한 부분은 해당 링크 내용을 참고하시기 바랍니다.

이번 사례와 같이 웹 사이트 관리자가 숨겨진 악성 스크립트를 찾을 때 숨게 노출되지 않도록 하기 위해 점점 교묘하게 진화하고 있다는 점에서 주의가 요구되며, 개인 사용자들은 이런 악성코드에 근본적으로 감염되지 않기 위해서는 백신 프로그램에 의존하기 보다는 윈도우 보안 패치를 포함한 각종 소프트웨어의 최신 버전을 사용하는 습관이 중요하겠습니다.

저작자표시

'할롬::컴터 > 악성코드소식' 카테고리의 다른 글

[분석툴] JSUNPACK :: JavaScript Unpack 사이트  (0) 2011.10.05
[악성코드소식] ws2help.dll 변종 악성코드로 인한 부팅 장애 발생  (0) 2011.07.06
[악성코드소식] 시스템 파일 변조하는 악성스크립트 주의~!  (0) 2011.06.24



특정 사이트에 접속 시 배너 광고를 통한 감염이 이루어지고 있으며, 감염 시 온라인 게임 계정 및 문화상품권 사이트 계정이 유출됩니다. 카스퍼스키 보안 제품에서는 Trojan.Scrip.Iframer 으로 진단하고 있습니다.
 


[악성코드분석] ws2help.dll 시스템파일 변조를 통한 계정유출 악성코드 (2011.11.19)




위와 같이 배너 광고에 악성스크립트가 삽입되어 있는 것을 확인 할 수 있으며, 해당 스크립트를 디코딩하면 공격자 사이트의 yg.html 에 접속하여 악성파일을 설치하도록 되어 있습니다. 감염 형태는 Adobe Flash Player 취약점을 이용하고 있으며 알약, V3 등 국내 보안 제품을 무력화하여 악성파일을 설치합니다.
 



위의 URL을 직접 호출 할 경우 보안 제품이 있어도 감염이 되는군요..ㅡㅡㅋ



 URL 정보

hxxp://66.xxx.xx.218/yg/yg.html
  └ hxxp://119.xxx.xxx.24/yg/t.html
         └ hxxp://119.xxx.xxx.24/yg/done.swf
  └ hxxp://119.xxx.xxx.24/yg/g.html
  └ hxxp://119.xxx.xxx.24/yg/j.html
  └ hxxp://119.xxx.xxx.24/yg/e.html
         └ hxxp://119.xxx.xxx.24/yg/body.swf
최종파일 : _.exe


 생성파일 정보

C:\WINDOWS\system32\ws2help.dll - 악성파일
C:\WINDOWS\system32\ws2help.dll.(영문+숫자1자리랜덤).tmp - 원본파일
C:\WINDOWS\system32\ws2helpxp.dll - 원본파일




윈도우 시스템 파일인 ws2help.dll 원본을 ws2helpxp.dll 로 백업을 하고 있으며, 최초 감염 시 ws2help.dll.4e.tmp 파일이 임시로 원본파일을 대신하고 있습니다.




또한, 해당 프로세스가 종료된 후 재 실행 되면 ws2helpxp.dll 파일이 원본 파일을 대신하고 있으며, 악성파일인 ws2help.dll 은 iexplorer.exe 프로세스에 삽입되어 계정유출 행위를 하고 있습니다.










 계정유출 관련 사이트

1. 온라인게임
- 한게임
- 피망
- 넥슨
- 엔씨소프트
- 엔도어즈
- 와이디온라인 : 엔돌핀
- 블리자드
- 넷마블

2. 그 외 사이트
- 해피머니








제거 방법

악성코드 제거 방법은 가장 간단하게 전용백신을 통하여 제거를 할 수 있습니다. 안철수연구소 및 하우리에서 전용백신을 제공하고 있으니 해당 프로그램을 다운받아 감염여부를 검사하시면 됩니다. 검사 후 재부팅을 해야 정상적으로 제거가 되며 C:\Windows\system32 폴더 안의 ws2helpxp.dll , ws2help.dll.(영문+숫자1자리랜덤).tmp 파일을 삭제 하시면 됩니다.

안철수연구소 전용백신
하우리 전용백신





저작자표시

'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 드디어 Dehydrating a String 코드 샘플을 구하다.  (0) 2012.02.28
[악성코드분석] 원격 조정가능한 악성파일  (0) 2012.01.25
[악성코드분석] 검색도우미 :: Onbar  (2) 2011.12.05
[악성코드분석] ws2help.dll 시스템파일 변조를 통한 계정유출 악성코드 (2011.11.19)  (4) 2011.11.23
[악성코드분석] 검색도우미 :: truepod  (0) 2011.11.21





국내에서 제작되어져 포털사이트에서 특정 키워드를 검색 시 상단에 광고 툴 바가 생성되며 특정 쇼핑몰 접속 시 광고주 사이트가 새창으로 노출되는 onBar 프로그램에 대하여 살펴보겠습니다.


카스퍼스키 보안제품에서는 Trojan-Downloader.Win32.Adload.cg
ik 명으로 진단하고 있습니다.



생성파일 정보

C:\Program Files\onBar\onbar.zip - 압축파일
C:\Program Files\onBar\onbar.dll - 메모리 상주 / BHO 등록
C:\Program Files\onBar\onuninstall.exe - 프로그램 삭제
C:\Program Files\onBar\onupdate.exe - 시작프로그램 등록



레지스트리 정보

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
="C:\Program Files\onBar\onupdate.exe"

시작프로그램으로 등록이 되어 자동 실행시 버전 확인 후 실행 되도록 하고 있습니다.





onbar.dll 파일이 메모리에 상주하고 있으며, BHO로 등록되어 있는 것을 확인 할 수 있습니다. 





onbar.dll 파일이 메모리에 상주하고 있으며, BHO로 등록되어 있는 것을 확인 할 수 있습니다. 사용자가 인터넷 익스플로러를 실행하여 특정 포털사이트 접속 시 상단 광고 바가 생성되어 다양한 광고를 노출시킵니다.







특정 키워드 검색 시 새창으로 광고 사이트가 추가적으로 팝업되고 있습니다.







제거 방법

[제어판] -> [프로그램 추가/제거] 에서 onBar 를 삭제하시면 됩니다.









저작자표시

'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 원격 조정가능한 악성파일  (0) 2012.01.25
[악성코드분석] 시스템 파일 변조를 통한 온라인 게임 계정유출 악성코드  (0) 2012.01.02
[악성코드분석] ws2help.dll 시스템파일 변조를 통한 계정유출 악성코드 (2011.11.19)  (4) 2011.11.23
[악성코드분석] 검색도우미 :: truepod  (0) 2011.11.21
[악성코드분석] 검색도우미 :: SponsorMatch  (0) 2011.10.31
 


스타 맵핵을 구하기 위해 네이버에서 검색을 했더니 죄다 낚시글 뿐인데 그 중에 이렇게도 낚시하는구나.. 라고 생각이 드는 글이 있어 소개 해볼까 합니다.




해당 글을 클릭했더니 갑자기 다른 페이지로 리다이렉트 되더군요.. 뭔가 찜찜하긴 했지만 댓글을 보니 괜찮은 것 같았습니다.

 


파일을 다운 받아서 실행해보니 다운로드 매니저 파일이더군요.. 역시 낚였습니다. 해당 파일을 다운로드 할 경우 다수의 제휴 프로그램들이 설치가 됩니다.

- 설치되는 제휴프로그램
  : 이지온 검색도우미
  : 위즈서치
  : 야후 시작페이지 변경
  : WallTab
  : FineTop
  : 알리미
  : 모딘스마트




[정보] 디스크매니아, 알약코리아에서 제공하는 프로그램 설치 시 주의할 점


정신을 차리고 리다이렉트 된 주소를 확인 해보니 예전 제가 포스팅 했던 자료공유 사이트였습니다.ㅋㅋ 다른 사람들 낚이지 말라고 블로그에 댓글을 써줄려고 했더니 클릭도 안되고 써지지도 않더라구요. 그래서 소스를 보니 블로그 이미지를 어디서 주워와서는 내용만 추가한게 아니겠습니까 ㅋㅋ





참 어이가 없었습니다. 이렇게도 낚는구나 라는 생각이 들더라구요.. 껍데기만 가지고 와서는 내용만 추가하고.. 자세히 보지 않으면 속을 수 밖에 없네요~ 댓글까지..









저작자표시

'할롬::하루' 카테고리의 다른 글

빈 캔을 이용한 와이파이 Booster 만들기  (0) 2012.02.01
서울 시민으로써 한 표 던지고 왔습니다.  (0) 2011.10.26
미친 날씨..  (0) 2011.07.28

티스토리툴바