AWS 인스턴스를 생성하고 GUI 환경으로 접속하기 위해서는 VNC Viewer가 필요하다. 각 OS 환경에 맞는 Viewer를 우선 다운 받자. 아마존 클라우드 서버 호스팅 | Amazon Web Services Amazon Elastic Compute Cloud(Amazon EC2)는 700개가 넘는 인스턴스, 그리고 최신 프로세서, 스토리지, 네트워킹, 운영 체제 및 구매 모델의 옵션과 함께 워크로드의 요구 사항에 가장 잘 부합할 수 있도록 aws.amazon.com Download VNC Viewer | VNC® Connect Control VNC® enabled computers with VNC® Viewer. www.realvnc.com AWS EC2 인스턴스를 하나 만들었다면 먼저 ssh 접..

포맷 스트링 공격은 데이터의 형태와 길이에 대한 불명확한 정의로 인한 문제점 중 '데이터 형태에 대한 불명확한 정의'로 인한 것으로, 포맷 스트링을 이용하여 버퍼 오버플로우와 같이 메모리에 셸을 띄워 놓고, ret 값을 변조하여 관리자 권한을 획득하는 것이다. 결국 포맷 스트링과 버퍼 오버플로우는 함수 실행시 ret 값을 변조하는 방법만 다를 뿐 기본 개념은 같다고 볼 수 있다. 포맷 스트링 공격은 데이터 형태나 길이가 명확하게 정의되어있지 않아서 생기는 문제점이다. 예를 들어 char *buffer = "wishfree\n%x\n"; print(buffer) 라고 한다면 wishfree가 저장된 이후 메모리에 존재하는 값까지 나타내어지게 된다. 즉, esp가 위치한 메모리 값을 읽어드린다. 이러한 포맷..

버퍼오버플로우 공격을 막기위해 스택에서 쉘코드가 실행되는 것을 방지하는 Non-Executable Stack 기법이 있다. RTL은 이것을 무력화 시키는 공격 방법으로 스택에 있는 ret 주소를 실행 가능한 임의의 주소(libc 영역의 주소)로 돌려 원하는 함수를 실행하게 만드는 기법이다. 메모리에 적재된 공유 라이브러리는 스택에 존재하는 것이 아니므로 Non-Executable Stack 을 우회하는 것이 가능하다. libc 영역에서 셸을 실행할 수 있는 함수인 system, execve, execl 등을 이용할 수 있다. RTL 공격을 사용해 root권한을 탈취해보자. bugfile.c int main(int argc, char *argv[]) { char buffer[10]; strcpy(buffe..

heap영역은 동적할당되는 메모리 공간들을 제어하는 곳이다. BSS(Block Started by Symbol)이라고 불리며 스택과 정반대로 메모리의 하위 주소에서부터 상위 주소로 증가하는 형태다. 이를 활용해 root 권한을 탈취한다. heap-bugfile.c #include #include #include #include #include #define ERROR -1 int fucntion(const char *str){ printf("function 포인터에 호출되는 정상적인 함수\n", str); return 0; } int main(int argc, char **argv){ static char buf[16]; static int(*funcptr)(const char *str); if(argc..

스택 영역의 버퍼 사이즈를 초과시키는 데이터를 삽입해 다른 영역을 오염시키는 BoF(BufferOverFlow)취약점을 이용한다. bugfile로 RET 영역까지 데이터를 덮어씌우고 eggshell 코드가 실행시키도록 하여 root 권한을 탈취하자. 환경 : redhat6.2 eggshell.c EGG, RET을 환경변수로 설정하여 bash 새로 실행시키는 코드이다. 이 코드의 목적은 /bin/sh 을 root권한으로 열어주는 Shellcode를 주입시키는 것인데, 이 코드를 EGG라는 환경 변수에 저장하고, RET에는 스택 주소를 넣어 root권한을 탈취하게 된다. #include #include #include #define DEFAULT_OFFSET 0 #define DEFAULT_ADDR_SIZE..

침투 시나리오 정리스피어피싱 침투 - 거점 PC 관리자 권한 탈취 - AD 서버 장악 - SSH 터널링 - VPN 통로 PC 확인 - 사설망 침투  MITRE ATT&CK Matrix attacker ippublic mail server ipAD server iphealth checkingmail server 접속metasploit를 활용해 악성 pdf파일 생성ㅎ배괴.STEP2. 다음 메타스플로잇 스크립트를 제작해 주세요.--- /tools/gen_PDF.rc -------------------------------------use exploit/windows/fileformat/adobe_pdf_embedded_exeset payload windows/meterpreter/reverse_tcpset L..

파일 행위 분석 인터넷에서는 총 세개를 다운받음. ) 총 세개 파일을 인터넷에서 받았다. 두 악성파일은 같은 해시값을 가진다. TIMESTAMP EVENT 아티팩트 DESCRIPTION --------------------------------------------------------------------------------------------- 2015-06-22 11:27:58 다운로드 MFT C:\Users\admin\Downloads\Party_Photo.zip 2015-06-22 11:28:09 압축해제 MFT C:\Users\admin\Downloads\Party_Photo\ 2015-06-22 11:28:09 파일생성 MFT C:\Users\admin\Downloads\Party_Pho..

시나리오 #1 mft 분석 이전 시나리오 #1에서 svcnet의 악성 실행파일이 있었다. 이 시나리오에서 수집한 mft파일을 csv로 추출하기 위해 다음과같은 명령어를 사용한다. File Name정보를 생성날짜를 기준으로 오름차순하여 정렬한다. svcnet이 다운받아졌던 시간과 경로이다. svcnet이 다운받아졌던 시간보다 더 이전에 보면 zone.Identiier가 있다. 이것은 이후 여러가지 이미지가 생성됐다. 그런데 jpg인줄알았던게 알고보니 마지막에 exe로 수상한 실행파일이 다운받아졌다. 그래서 이걸 실행시켰더니 svcnet.exe가 나타났겠구나 유추 할 수 있다. pf확장자는 prefetch 파일이다. 어떠한 실행파일을 실행시켰을 때 흔적을 남기는 파일이다. [pf내에 들어가는 내용] 응용프로..