전체 글 (136) 썸네일형 리스트형 35. Maze ransomware 최근 LG의 데이터를 훔쳤다고 핫(?)해진 Maze 랜섬웨어를 분석해보았다. 사실 랜섬웨어가 랜섬웨어이기 때문에.. 크게 다른 점은 없어보인다. OS Windows 7 Name Maze ransomware md5 4e2554b448424859b508433e6c4a043718343febc7894a849f446dd197b47d1e Maze 랜섬웨어 샘플에서는 특별한 패킹이나 프로텍터는 존재하지 않았다. 약간 특이한점은 실제로 사용하는 함수를 애초에 불러와놓은 상태로 가져다 쓰는 것이 아니라 아래 그림처럼 JMP 코드를 통해서 사용할 함수를 그때그때 변수를 통해 실행한다는 점이었다. 더해서, 사용할 함수와 같은 것들을 점프해서 쓰는 코드 또한 그냥 박혀있는게 아니라 프로그램 내 특정 디코딩 루틴을 통해서 디코.. 04. Detecting Fake 4G Base Stations (Blackhat USA 2020) 얼마전 Blackhat USA 2020이 개최되었다. 그 중 LTE, 5G 취약점 관련한 내용으로 EFF Threat Lab에서 "Detecting Fake 4G Base Stations in Real Time"의 제목으로 발표가 있었다. 해당 발표는 허위 기지국을 실시간으로 탐지하는 방법에 관한 내용이다. 전체 발표 자료는 아래 URL을 통해 확인 가능하다. https://i.blackhat.com/USA-20/Wednesday/us-20-Quintin-Detecting-Fake-4G-Base-Stations-In-Real-Time.pdf 이전까지, 허위 기지국을 탐지하는 방법은 대략적으로 App-based, Sensor-based 등이 있었다. 여기서 얘기하는 내용은 App-based 보다는 Sens.. 03. Guide to LTE Security NIST 문서 중 Guide to LTE Security 부분에서 LTE 위협 부분을 번역, 정리한 것 4.1 General Cybersecurity Threats LTE 인프라 구성요소(MME, eNodeB 등)는 범용 하드웨어, 펌웨어 및 소프트웨어 위에서 실행(USRP, srsLTE등)될 수 있으며 범용 운영체제(Ubuntu 등)에 퍼져있는 이미 알려진 소프트웨어 취약점에 노출될 수 있음. 혹은 사용되는 소프트웨어에 존재하는 취약점에 노출될 수 있음. 비록 범용 프로그램일지라도 customization이 많이 이루어진 상태이겠지만, 그럼에도 이미 잘 알려진 시스템 혹은 범용 하드웨어의 경우에는 식별되기 쉬움. 따라서, 이미 잘 알려진 취약점에 대한 패치가 이루어져야하고 구성 자체가 적절히 이루어져야.. 02. IP Geolocation, IP Tracking(OSINT) 무선 통신이 2G에서 3G, LTE를 거쳐 5G로 오면서 무선통신에 대한 위협도 당연히 증가했다. 그 중 대표적이고 가장 접근하기 쉬운(하이재킹 혹은 스니핑만으로 가능한) 공격이 cell tracking이라고 생각한다. 보통의 경우에는 System Information Block 중 SIB1에 포함된 TAC(Tracking Area Code)를 통해서 공격을 수행하곤 한다. SIB1 메시지에는 아래 그림처럼 사업자의 네트워크 식별번호인 PLMN(Public Land Mobile Network)과 관련된 정보가 존재한다. 그 중에는 TAC와 cell-identity 값이 존재한다. 각각의 값은 SIB1 메시지를 브로드캐스팅하는 셀(기지국)의 Area code와 셀의 고유 id를 나타낸다. 고전적인 방법으로.. 01. Signal Overshadowing 최근 LTE, 5G 취약점에 관련해서 공부하고 있어 좋은 주제의 공격 방식에 대해 정리한다. 일단, 기본적으로 현재 5G 환경은 NSA(None-Stand Alone) 환경으로 NR 기지국과 eNodeB 기지국을 함께 사용하는 형식이다. 아래 그림처럼, 코어망은 LTE로 공유하면서 데이터만 5G 망을 통해 받아오는 형식이다. 그렇기 때문에, LTE에서 발생하는 취약점은 현재 NSA 5G 환경에서도 발생할 확률이 높다. + SA 5G 환경도 LTE 망에 기반해서 발전되었기 때문에 SA 5G 환경에서도 LTE 에서 발생했던 취약점이 동일하게 혹은 비슷하게 발생할 확률이 높다. 대부분 LTE 환경에서 취약점은 셀 재선택이나 여러 옵션들(System Information Block 을 이용한)을 이용해서 FBS.. 34. makop ransomware 요즘에 makop라고 이름붙여진 랜섬웨어가 유포중이다. ASEC 팀의 관련 글을 보고 분석해봐야지 생각이 들어 분석해봤다. - ASEC 팀의 분석 글 https://asec.ahnlab.com/1314 [주의] 이력서로 위장한 makop 랜섬웨어 (04.13) ASEC 분석팀은 4월 13일 이력서로 위장해 유포 중인 makop랜섬웨어를 발견하였다. 이메일의 압축 첨부파일 형태로 유포되며, 내부에는 한글 문서(.hwp) 아이콘의 실행파일(exe)이 존재한다. 금일 확인된 유포 파일.. asec.ahnlab.com 일단 분석 대상은 위 글에 나온 이력서_항상무었을하던지~ 샘플로 정해 시작했다. 예전부터 악성코드에서 많이 보이듯, 정적 분석을 피하기 위한 목적으로 실제 사용하는 함수들을 미리 로드해둔채로 프로.. 33. Remcos 최근 Remcos 악성코드가 활발히 유포중인 것으로 보인다. 본 글에서는 Remcos 악성코드를 분석해본다. 기본적으로 Remcos 악성코드는 Stealer 형 악성코드이다. 분석 OS는 Windows 7 64 bit 였으며 분석 도구로는 IDA와 OllyDBG를 사용했으나.. 거의 OllyDBG로 진행했다. 악성코드 특성상 메모리로 직접 로드해서 사용하는 악성행위가 많았기 때문이다. Remcos 악성코드는 가장먼저 자신이 사용할 DLL을 모두 불러온다. 미리 DLL을 내장한채로 실행되지 않는다. 이후 실행되고 있는 컴퓨터의 CP, Code Page 정보를 가져온다. sfxcmd, sfxpar, sfxname 등의 이름으로 환경변수를 등록하기도 한다. 이후에는 현재 실행중인 컴퓨터의 LocalTime 정.. e01. uDork 이리저리 정보를 검색하다, uDork라는 툴을 발견했다. 툴의 주요 기능은 지정된 도메인 내부에서 어떤 파일 유형의 파일이 존재하는지를 검색해서 알려주는 것이다. https://github.com/m3n0sd0n4ld/uDork?fbclid=IwAR0ygLIlbZm6MmQ1zY_ACFYlVHbpoUcVDDmzazLS9Fr0lS1UQa3dxdU50xo m3n0sd0n4ld/uDork Contribute to m3n0sd0n4ld/uDork development by creating an account on GitHub. github.com 공식 github은 위와 같고 대략적인 사용법은 python3 uDork -d [도메인명] -e [파일유형] 식으로 사용한다. 아래는 uDork에서 지원하는 파라미터들 .. 이전 1 ··· 3 4 5 6 7 8 9 ··· 17 다음
