악성코드로 알아보는 Reflective DLL Injection (경로 참고)

악성코드(Malware) 2020. 10. 8. 10:20

www.igloosec.co.kr/BLOG_%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%EB%A1%9C%20%EC%95%8C%EC%95%84%EB%B3%B4%EB%8A%94%20Reflective%20DLL%20Injection?searchItem=&searchWord=&bbsCateId=1&gotoPage=1

 

One Step Ahead 이글루시큐리티

보안정보 차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다. 전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는 차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다.

www.igloosec.co.kr

 

 

'악성코드(Malware)' 카테고리의 다른 글

lazarus covets malware  (0) 2020.12.25
OT(Operational Technology) 와 악성코드  (0) 2020.12.09
기업 랜섬웨어 KISA  (0) 2020.11.19
Microsoft leaks info on wormable Windows SMBv3  (0) 2020.03.13
HWP + SlackBot Malware Analysis  (0) 2019.11.21
블로그 이미지

wtdsoul

,

/server-status 노출

카테고리 없음 2020. 9. 24. 14:17

m.blog.naver.com/PostView.nhn?blogId=fromyongsik&logNo=220364838275&proxyReferer=https:%2F%2Fwww.google.com%2F

 

Apache의 server-status 허용 설정

Apache의 httpd.conf 파일을 보면 "/server-status" 관련 설정이 있다. Apache 웹 서버 설치 시 기본으로...

blog.naver.com

 

보통 서버의 상태를 보고자 할때

http://도메인/server-status 로 확인한다.

이 정보가 노출되면 웹취약성에 문제가 있기때문에, 노출을 안하는걸 권장한다.

아파치 설정파일에서(httpd.conf)

 

<Location /server-status>

SetHandler server-status

Order deny, allow

Deny from all

Allow from all

<Location>

 

요 부분을 전체 주석처리하거나

Allow from all -> Allow from xxx.xxx.xxx.xxx 식으로 접근 가능한 IP만 넣어주면된다

 

--------------

 

Apache의 httpd.conf 파일을 보면

 

"/server-status" 관련 설정이 있다.

 

Apache 웹 서버 설치 시 기본으로 설정되는 페이지와 정보들이 노출되는 취약점에 해당한다 하여

 

삭제는 어려울 것 같아 아예 노출되지 않도록 했다. 만약 보고 싶다면 아래 빨간색 볼드체 처럼 특정 IP 대역을 기술하고 주석해제 한 후 노출되도록 하면 된다.

 

<IfModule mod_status.c>

<Location /server-status>

    SetHandler server-status

    Order deny,allow

    #allow from 허용할 IP 

    Deny from all

</Location>

</IfModule>

블로그 이미지

wtdsoul

,

Android revering, Anti debug 참고

카테고리 없음 2020. 9. 24. 11:01

www.romainthomas.fr/post/20-09-r2con-obfuscated-whitebox-part1/

 

 

 

블로그 이미지

wtdsoul

,

Android Anti-debugging 소스 코드

모바일 2020. 9. 21. 10:48

Android-studio - SDK Manager

 

NDK(Side by side)

 

CMake

 

두가지 필수 인스톨

 

jni환경 구축하시고

 

cpp파일에 아래코드 구현하시면 됩니다.

 

 

void be_attached_check() {


    try {
        const int bufsize = 1024;
        char filename[bufsize];
        char line[bufsize];
        int pid = getpid();
        sprintf(filename, "/proc/%d/status", pid);
        FILE *fd = fopen(filename, "r");
        if (fd != nullptr) {
            while (fgets(line, bufsize, fd)) {
                if (strncmp(line, "TracerPid", 9) == 0) {
                    int statue = atoi(&line[10]);
//                    LOGD("%s", line);
                    if (statue != 0) {
                        fclose(fd);
                        int ret = kill(pid, SIGKILL);
                    }
                    break;
                }
            }
            fclose(fd);
        } else {

        }

    } catch (...) {

    }
}

void thread_task(int n) {
    while (true) {
        be_attached_check();
        std::this_thread::sleep_for(std::chrono::seconds(n));
    }
}

void anti_process_status () {
    auto checkThread = std::thread(thread_task, 1);
    checkThread.detach();
}

extern "C"
JNIEXPORT void JNICALL
Java_kr_com_testapp_main_MainActivity_antiDebug(JNIEnv *env, jobject thiz) {
    // TODO: implement antiDebug()
    anti_process_status();
}

'모바일' 카테고리의 다른 글

모바일 adb pull 접근 제한 해결  (0) 2020.11.19
Arbitrary code execution on Facebook for Android  (0) 2020.10.20
안드로이드 NDK 란?  (0) 2020.09.21
 Cydia Impactor alternative  (0) 2020.09.10
메모리 덤프 시 평문 추출 대응 방안  (0) 2020.09.06
블로그 이미지

wtdsoul

,

안드로이드 NDK 란?

모바일 2020. 9. 21. 10:47

cishome.tistory.com/174

 

[안드로이드] NDK 란?

NDK(Native Development Kit)는 Android에서 C 및 C++ 코드를 사용할 수 있게 해주는 일련의 도구 모음입니다. NDK는 다음과 같은 작업을 하나 이상 수행해야 하는 경우 유용할 수 있습니다. 기기에서 최대한�

cishome.tistory.com

 

 

 

'모바일' 카테고리의 다른 글

Arbitrary code execution on Facebook for Android  (0) 2020.10.20
Android Anti-debugging 소스 코드  (0) 2020.09.21
 Cydia Impactor alternative  (0) 2020.09.10
메모리 덤프 시 평문 추출 대응 방안  (0) 2020.09.06
모바일 usb 케이블 사용 여부 탐지  (0) 2020.09.06
블로그 이미지

wtdsoul

,

 Cydia Impactor alternative

모바일 2020. 9. 10. 14:41

silzee.com/Sideloadly/

 

Sideloadly — Cydia Impactor alternative

Sideloadly — Cydia Impactor alternative Sideloadly Cydia Impactor alternative released for the sideload IPA files.     Support iOS versions for Sideloadly --> Unc0ver Silzee method (No PC method / Online ) ( iOS 11 - iOS 13.5 ) --> --> Unc0ver Wind

silzee.com

- 향후 사용해볼 예정

'모바일' 카테고리의 다른 글

Android Anti-debugging 소스 코드  (0) 2020.09.21
안드로이드 NDK 란?  (0) 2020.09.21
메모리 덤프 시 평문 추출 대응 방안  (0) 2020.09.06
모바일 usb 케이블 사용 여부 탐지  (0) 2020.09.06
갤럭시 S7 루팅  (0) 2020.08.24
블로그 이미지

wtdsoul

,

Nmap SSL

Github & Tool 2020. 9. 7. 17:17

암호 알고리즘 점검 시 사용하는 명령어

 

nmap --script ssl-enum-ciphers -p 443 hostname

 

 

'Github & Tool' 카테고리의 다른 글

OSINT Tinfoleak  (0) 2021.06.30
fire eye red_team tool  (0) 2020.12.09
Burp AES killer  (0) 2020.08.10
UnCaptcha  (0) 2020.08.09
Android Reversing Tool(GDA)  (0) 2020.08.09
블로그 이미지

wtdsoul

,

Word forensic format

포렌식 2020. 9. 6. 17:42

www.forensicfocus.com/articles/word-forensic-analysis-and-compound-file-binary-format/

 

Word Forensic Analysis And Compound File Binary Format - Forensic Focus

by Arman Gungor Microsoft Word forensic analysis is something digital forensic investigators do quite often for document authentication. Because of the ... Read moreWord Forensic Analysis And Compound File Binary Format

www.forensicfocus.com

 

 

'포렌식' 카테고리의 다른 글

NTFS – MFT 엔트리 구조  (0) 2019.12.05
Magic Number identifies the file  (0) 2019.11.21
블로그 이미지

wtdsoul

,

Bitcoin Remote Dos CVE 2018

CVE 2020. 9. 6. 17:39

blog.saika.kr/2018/09/cve-2018-17144-bitcoin-core-dos-critical-inflation-vulnerability/

 

CVE-2018-17144: Bitcoin Core DoS, Critical Inflation Vulnerability – Saika Blog – 서민교의 블로그

CVE-2018-17144: Bitcoin Core DoS, Critical Inflation Vulnerability by Seo Minkyo · Published 2018-09-24 · Updated 2019-04-02 Intro https://medium.com/@awemany/600-microseconds-b70f87b0b2a6 원문은 여기 CVE-2018-17144는 Bitcoin Core에서 발생한 �

blog.saika.kr

 

 

'CVE' 카테고리의 다른 글

SMB Ghost 취약점 분석(KISA)  (0) 2020.10.14
CVE-2020-1472 취약점 분석 글 (경로 참고)  (0) 2020.10.08
Word press plugin 0day  (0) 2020.09.06
POODLE Attack  (0) 2020.08.09
CVE-2020-0796-RCE-POC  (0) 2020.07.14
블로그 이미지

wtdsoul

,

메모리 덤프 시 평문 추출 대응 방안

모바일 2020. 9. 6. 17:33

1. 사용된 변수를 Overwrite 하거나 null로 만들어 초기화 하는 방법을 기본으로 사용함

 

2. 단, String 개게를 이용할 경우 초기화를 진행하더라도 JVM 에서 GC이 일어나기 전까지
메모리 내 평문으로 내역이 존재함

 

3. 해당 String 객체를 null로 초기화 할 경우 객체 Reference 만 null로 만들어 주므로
실제 사용된 데이터는 메모리에 남아있고 GC 시기는 알 수 없으므로 GC 전 Memory dump를 진행할 경우
null로 string 객체를 초기화하여도 해당 데이터는 momory 내 존재하게 됨

 

4. 근본적으로 String 객체는 Overwrite 할 수 없으며 String 객체에 다른 임의의 문자열을
삽입하더라도 새로운 Memory 영역에 해당 데이터를 저장하므로 Reference 만 변경되고 기존 값은
그대로 Memory 내 존재함

 

5. 그러므로 Memory 내 평문 정보가 노출되지 않아야 할 경우 String 객체가 아닌 char[]로
데이터를 저장하고 Overwrite 하거나 null로 만들어야함

 

 

'모바일' 카테고리의 다른 글

안드로이드 NDK 란?  (0) 2020.09.21
 Cydia Impactor alternative  (0) 2020.09.10
모바일 usb 케이블 사용 여부 탐지  (0) 2020.09.06
갤럭시 S7 루팅  (0) 2020.08.24
frida iOS hook  (0) 2020.08.10
블로그 이미지

wtdsoul

,

공지사항

태그목록

글 보관함

달력

«   2025/01   »
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31

티스토리툴바