본문 바로가기

Hakawati Lab

Deformed of Gondad Exploit Obfuscation 1. About Gondad Exploit Toolkit이라는 중국에서 만들어진 툴킷이 있다. 여러 툴킷에 대한 정보가 모이면 포스팅한 곳의 내용을 지속적으로 수정 하니 일단은 이곳(click)을 참조하면 된다. 이 Gondad 툴킷은 여러 유형의 취약점을 이용한 공격코드들을 모아서 난독화(Obfuscation)을 하는 기능이 있다. 이를 Obfuscation Exploit Pack Code라고 말할 수 있다. 난독화를 해제하여 가독성 있는 코드를 보면, 다양한 변수들에 사용되는 명칭이 'Gondad' 혹은 'Dadong'을 사용하기에 붙여진 이름이다. 발음상 가장 가까운 단어 중에 다음과 같은 중국 단어가 있다. [그림 1 네이버 백과사전] 일반적으로 난독화를 한 후 필수적으로 들어가는 /*Encryp..
Making Generate Yara rules 1. About 분명 공격하는 기법은 비슷한데, 소스코드가 조금씩 다르다면? 이를 yara의 패턴탐지 기법으로 분류를 하고자 한다면? 설정한 사람이 '아차'하며 놓친부분이 존재한다면? 작은 실수를 줄이기 위해서는 명확한 알고리즘과 그에 맞는 프로그래밍 혹은 도구들을 사용하는 것이 좋다고 생각한다. 다음 소개할 툴은 O(ND) 알고리즘과 google-diff-match-patch를 이용하여 Yara rule를 출력해 주는 프로그램이다.2. Features커맨드 라인을 통해 주어진 디렉토리의 모든 파일들을 읽음읽은 파일들끼리 비교하여 분석, 일치하는 블록을 기억적어도 최소 5바이트 크기의 샘플의 70%정도 일치하는 경우에만 비교하여 일치한 블록들을 저장유사한 블록들은 인쇄할 수 있음 3. Usage 테스트는..
iScanner 1. About iScanner는 웹페이지에서 악의적인 코드들을 탐지하고 지우는데 사용되는 오픈 소스 툴이다. 이 툴은 로컬 파일부터 원격 웹까지 스캔 할 수 있다. iSecur1ty에서 루비 언어로 만들었으며, GNU affero General Public License 3.0의 조건에 따라 릴리즈를 발표하고 있다. 2. AbilitySuspicious iframesobfuscated javascriptdangerous eval and escapeetc.. 3. Installation - 환경 : Ubuntu 12.04 LTS amd64 sudo apt-get install ruby wget http://iscanner.isecur1ty.org/download/iscanner.tar.gz/ tar xf..
우리은행 피싱사이트 1. 판단 정상적으로 활용되고 있는 사이트는 아니지만, 최근에 만들고 있는 것으로 판단된다. 피싱사이트에서 보여지는 모든 링크는 정상적으로 동작되지 않는다.현재의 정상적인 우리은행 사이트와 매우 유사하다.중국에서 운영되고 있다. (링크를 클릭하면 중국어로 된 에러코드가 발생.) 2. 추측 과거에도 피싱사이트를 운영한 사람으로 추측된다. 점점 디테일이 좋아지고 있다. 아무래도 자주 만들어서 그런 것 같다.바로가기의 내용에 보면 "시행일 8월 ~ 9월예정" 으로 적혀 있는 문구가 있다. 3. 피싱사이트 전형적인 유형 악성코드로 인해 정상 사이트 접근 시도시 정상 사이트가 아닌 피싱사이트로 접근(host파일 변조 등) 로그인 시 아이디 비밀번호 갈취 본인 확인을 위한 주민번호 입력 유도 및 갈취 보안카드 전체..
Pygoogle.py 1. About python을 이용하여 구글검색 결과 출력 하는 프로그램(라이브러리)이다. 비슷한 것으로 'xgoogle 라이브러리' 와 'MarioVilas의 google.py'가 있다. 2. Installation svn checkout http://pygoogle.googlecode.com/svn/trunk/ pygoogle cd pygoogle 3. Using python pygoogle.py [값] ex) python pygoogle.py hakawati 4. Library Installation python setup.py build python setup.py install 5. Using Library from pygoogle import pygoogle g = pygoogle('hakaw..
GeoIP + Matploitlib 1. GeoIP가 지원하는 언어 C LibraryPerl ModulePHP ModuleApache Module (mod_geoip)Java ClassPython ClassC# ClassRuby ModuleMS COM Object?(ASP, ColdFusion, Pascal, PHP, Perl, Python, and Visual Basic code)VB.NET?(Only works with GeoIP Country)PascalJavaScript 2. GeoIP 설치 git clone git://github.com/appliedsec/pygeoip.git cd pygeoip python setup.py build sudo python setup.py install 3. GeoIP에 사용될 IP 데이터베이스 ..
thug 1. About Python으로 구현된 "honeyclient"이다. 여기서 honeyclient는 공격을 포함하는 악성 웹 사이트의 페이지를 분석하여 제공하도록 설계한 것을 말한다. http://buffer.github.com/thug/doc/index.html 2. 설치모듈 PythonGoogle V8PyV8Beautiful Soup 4Html5libLibemuPylibemuPefileChardethttplib2CssutilsZope interfaceMongoDB (optional)PyMongo (optional) 3. 설치 환경 : Ubuntu 12.04 LTS amd64 설치방법 : Shell script #!/bin/bash #Thug installation on the Ubuntu 12.04 ..
Phoneyc Python으로 구현된 "honeyclient"입니다. 여기서 honeyclient는 공격을 포함하는 악성 웹 사이트의 페이지를 분석하여 제공하도록 설계한 것을 말합니다. http://code.google.com/p/phoneyc/ 기능 1. 원격 링크에 유용한 HTML 태그를 이해 hrefs, imgs 등...또한 iframe, frame 등2. 스크립팅 언어를 이해자바 스크립트 (spidermonkey를 이용)Visual Basic 스크립트 (vb2py를 이용)deobfuscation, 원격 스크립트 소스를 지원3. ActiveX 취약점의 공격 탐지를 위한 모듈 지원 4. 페이지에 대한 또다른 검색 방법을 지원ClamAV를 통한 AV 검출취약점 모듈 설치 환경 : Ubuntu 12.04 LTS amd..