목록2024/07 (35)
Bazinga!
보안 이슈 10 | 북한 해커들, 업그레이드 된 비버테일 멀웨어 퍼트리고 있어
기사 출처 : https://www.boannews.com/media/view.asp?idx=131426&kind=# 북한 해커들, 업그레이드 된 비버테일 멀웨어 퍼트리고 있어보안 외신 해커뉴스에 의하면 북한의 해커들이 자신들이 개발한 멀웨어인 비버테일(BeaverTail)을 업그레이드 했다고 한다. 미로토크(MiroTalk.dmg)라는 이름의 맥OS용 파일 형태로 유포되고 있는데,www.boannews.com 요약북한의 해커들이 자신들이 개발한 멀웨어인 비버테일(BeaverTail)을 업그레이드했다.북한 해커들은 최근 맥OS를 겨냥한 공격 수위를 바짝 높이는 중이다.구인과 구직을 테마로 메시지, 문자를 통해 피해자들을 속인다고 한다. 추가 이비버테일(BeaverTail)은 미로토크(MiroTalk.dm..
ida crackme1 실습
8211번 서버로 문을 열고 대기 대기하고있따가 연결되면 accept하고 연결 수행되면 서버는 recv(클라이언트가 데이터 보내는거 대기) &burf를 서버로 보낸다 이걸 역순으로 해보면----
training 2
----CreateToolhelp32Snapshot 스냅샷 = 현재 상태를 저장 현재 시스템내에서 실행중인 전체 프로세스의 상태를 스냅샷-Process32First여기서 pe는 구조체 - Process32Next ( 원하는 프로세스 찾는다.) ---openprocess api handle을 가져오기 위해 openprocess (process injection에서 많이 쓰임/ 의심을 피하기위해 기생할때 이 api를 이용해 권한을 가졍온 다음에 타겟 프로세스에 공간을 할당하는 api를 이용해 악용)프로세스에 대한 접근 권한을 얻기 위해 프로세스 고유의 값(processId)을 지정해줘야함. ----terminateProcess 프로세스 죽이기---closeHandle ----이거 뭐하는 프로그램이야? 찾는 ..
IDA training 1
IDA training 1 어디서 사용하는지 알아보기(주소가 서로 맞지 않아 찾기 힘들다면 api 이름, 문자열 등을통해 찾으면 된다.)> null일 경우 자기자신이 0 들어감.> 현재 실행중인 경로를 준다. dbg에서 [ebp-208] 0018FD40 -----gettemppathA 임시 경로의 위치를 buffer에 저장 -----pathappendA buffer곳에 "mal_edu" 를 합친다 ----CreateDirectoryA디렉토리를 만들어라 ----PathAppendA 그 디렉토리에 "malicious_sample.exe"파일명을 합쳐라 -----CopyFileA ----shellexecuteA ----DeleteFileA ---메인도 하나의 함수 api도함수 함수는 인자를 받는다. 메인함수도..
보안 이슈 9 | 니트로 램섬웨어, '파일명.확장자.givemenitro'로 모든 파일 암호화 시켜
기사 출처 : https://www.boannews.com/media/view.asp?idx=131356&kind=# 니트로 랜섬웨어, ‘파일명.확장자.givemenitro’로 모든 파일 암호화시켜새로운 유형의 랜섬웨어가 발견돼 눈길을 끌고 있다. 해당 랜섬웨어는 확장자명을 따서 ‘니트로(Nitro)’라고 부르며, 파일명.확장자.givemenitro 형식으로 감염 대상 컴퓨터의 모든 파일을 변경하www.boannews.com요약에브리존 화이트디펜더 분석팀이 모든 드라이브 파일을 암호화 시키는 새로운 유형의 랜섬웨어 발견했다.확장자명을 따서 '니트로(Nitro)'라 부른다. C++ 언어 기반이며 체코어로 만들어졌다.이 랜섬웨어가 실행되면 특정 폴더가 아닌 모든 드라이브에 대한 암호가 진행된다. 이론✔︎ 랜..
IDA 기본
변수명 & 함수명 바꾸기 n 함수 더블 클릭하면 함수 안으로 들어감 / ESC누르면 다시 나옴 주석comment 달기 x(cross reference) 어디서 호출되고있는지 알 수 있다. 글자가 안보일경우 Print only ~ 체크해제해주면된다. ------------------
c 코드 - 어셈블리어 | 스택 프레임 기본
ebp 에 원래값 저장(백업 공간 만들기위해 백업을 한다) 지역변수를 위해 할당(x,y 2개라서 8바이트)
[악성코드] PEview 이용해 위치 찾기
IAT / DLLLoadLibrary9792에 있는 문자열 user32.dll불러와보자 9792번째를 보면 dll이름이 USER32.dll인 것을 확인할 수 있다. GetProcAddress 메세지박스는 9784번에 위치한것을 알수있다. IAT에 실제 주소 담음
[악성코드] dbg 이용하여 메세지박스 Hello World! 단어 바꿔보기
---메세지박스 Hello World! 단어 바꿔보기 Hello World 부분 드래그해서 Ctrl + E누르면 다음과 같은 창이 뜬다. 유니코드 부분에서 수정하기. 이 상태에서 F8누르
리눅스 기본 명령어
/ 최상위 디렉토리pwd : 현재 * - 원하는 확장자 찾을 때 사용 ※ 정리cp [파일][파일] - 같은 이름은 불가능 (다른 파일에만 가능, 다른 파일내에 같은 이름이면 덮어씀) cp [파일][경로] - 같은 이름이면 덮어씀 cp -r [경로][경로] - '-r' 옵션 필수 cp [경로][파일] mv [파일][파일] - 이름이 바뀜 ( 다른 파일에 같은 이름 파일이 있으면 기본이 오버라이트) mv [파일][경로] mv [경로][경로] - 같은 위치면 이름만 바뀜/ 다른위치 모두 가능 mv [경로][파일] -> x