전체 글 (81) 썸네일형 리스트형 2. EC2, Docker 설치 ubuntu 환경의 EC2 instance를 설치해보고 EC2 instance 내부에 Docker를 설치하고 Docker compose와 Docker file을 활용하여 wordpress 환경을 구축해보도록 한다. 테스트 환경은 다음과 같다. 1. EC2 instance 생성하기 이름과 AMI를 설정하고 키 페어를 설정한다. 참고로 키 페어를 생성하고 생성된 .pem 파일은 kali linux에 저장한다. .pem 파일은 밑의 그림과 같이 chmod로 권한을 변경하여 최소권한만 부여해주도록 한다. 추후에 kali linux에서 EC2 instance로 SSH 접속을 하기 위한 인증 key이기 때문에 chmod를 설정한 것이다. 마지막으로 설정할 것은 network 부분으로 VPC는 default로 사용하.. 1. AWS IAM, EC2 AWS Cloud를 이해하려면 AWS Global Infrastructure를 파악하는 것이 필요하다. AWS Cloud가 어떤 service를 제공하고 어떤 기능을 수행하는지 이해하는 것도 중요하지만 전체적인 AWS Cloud 구조를 파악한다면 service의 흐름도 파악할 수 있다. AWS Cloud 구조 파악하기 1. AWS Infrastructure AWS Cloud는 Region > Availability Zone > Data Center > Edge location > users와 같은 범위로 나뉘어 있다. 각각의 언어에 대한 개념은 다음과 같다. 1. Region: data center를 clustering 하는 물리적인 위치로 1개의 region은 2개 이상의 AZ로 구성되어 있다. DR .. GINA intercept 악성코드 분석 지난 시간에 배웠던 GINA intercept에 이어서 이를 이용한 악성 code를 분석해보도록 할게 악성 code 행위분석 악성 code program을 실행하고 process monitor로 동작상태를 확인해봤어 악성 code를 실행하니까 바탕화면에 msgina32.dll이라는 file이 새롭게 생성되고 Winlogon을 실행할 때 import 하는 GINADLL에 대한 registry key 값을 변경한 것을 볼 수 있어 writefile = file 수정 및 작성 RegSetValue = registry에 있는 value 변경 인증과 관련된 악성 code이기 때문에 어떤 동작들을 하는지 살펴보기 위해서 windows에 새로운 user를 생성해볼게 그리고 rebooting하면 msutil32 이라는.. RAT 공격 정리 오늘은 RAT 공격에 대해 알아보고 공격 과정이 어떻게 이뤄지는지 알아보도록 할게 RAT( Remote Administration Tool) RAT는 원격 관리 도구로 원격에 있는 컴퓨터들을 관리할 때 사용해 이전에 kali linux의 metasploit 공격 tool을 사용해 본 적이 있어! metasploit이 RAT라고 보면 돼 정확한 정의는 다음과 같아 RAT = 표적공격, 특정한 host를 원격으로 접근해서 정보를 훔치거나 정보를 다른 network로 이동시키는 공격 RAT 공격은 일반적인 network 구조로 발생하지 않아 예를 들어 공격을 실행하는 RAT가 설치된 PC를 server, RAT의 표적이 되어 감염된 PC를 client라고 생각할 수 있지만 RAT에서는 거꾸로 생각해야 돼 se.. Blind SQL injection 이번 시간에는 Blind SQL injection에 대해서 배워보도록 할 거야 저번 시간에 SQL injection의 종류는 크게 두 가지로 나눠져 있다고 했지? 바로 Non blind injection과 Blind injection으로 나눠져 있는데 지난 시간까지는 Non blind injection을 통해서 직접적으로 query에 대한 응답을 확인해 가면서 injection을 수행했어 오늘은 지난 시간과는 다르게 Blind injection에 대해서 배워보고 어떻게 injection이 수행되는지 하나씩 실습해 보도록 할게 바로 go~ go~! substring 활용 substring 함수를 통해서 입력한 JNU에 대해 구간을 정해서 문자를 출력하도록 하고 있어 substring ('JNU',1,3)의.. kernel32.dll vs kernel132.dll (feat. 악의적인 program) 이번 시간에는 winodows에서 악의적인 program이 어떻게 실행되는지와 내부 code 구성이 어떻게 설정되었는지 확인해보도록 할거야 바로 분석들어가볼게! String 분석 IDA를 통해서 string 분석을 해보니까 kernel32.dll을 통해서 다음과 같은 API들을 호출한 것을 볼 수 있어 이쯤에서 한번 복습해보도록 할게 kernel32.dll이 하는 동작은 뭘까? 그리고 DLL이란 무엇일까? Kernel32.dll = 메모리, 파일, 하드웨어 접근,조작과 같은 핵심 기능을 담은 공용 DLL DLL (Dynamic Link Library) = 동적 라이브러리 즉 필요할 때만 불러쓸 수 있는 함수 프로그램에서 자주 쓰이는 표준 함수나 데이터를 모아놓은 것 현재 호출한 API들이 수행하는 일들을.. DoS 공격분석 (feat. IDA) 이번 시간에는 악의적인 행위를 하는 악성코드를 분석해보려고 해 저번 시간까지 써보지 않았던 IDA라는 disassembly tool을 이용해서 해당 code를 깊게 분석해 보고 ollydbg를 통해서 함수의 흐름도 같이 알아보도록 할게 자, 바로 가보자고~ 먼저 간단한 string 분석을 해보니까 MalService, 악성 URL, IE와 버전 등의 값이 존재하는 것을 볼 수 있어 internet 접속을 통해서 어떠한 악성 program을 진행시키는 것 같은데 string 분석만으로 다 알기 어려우니 IDA를 통해서 code의 흐름을 좀 더 정확하게 파악해 볼게 string 분석을 좀 더 해보면 어느정도 감이 잡힐 수 있겠지만 오늘은 바로 IDA 분석을 통해서 code의 흐름을 파악해볼게 먼저 함수의 시.. LAB1-2 (악성코드분석) 이번 챕터부터 실제 악성코드 실행파일을 직접 정적분석해 보고 정적분석과 동시에 난독화를 수동으로 푸는 unpacking을 진행해 보도록 할게 LAB1-2 exe 파일은 악성코드 파일이고 악성코드 파일을 하나씩 풀어보면서 분석해 보자 먼저 peid와 peview를 통한 pe 분석을 진행해 볼게 pe view 분석을 통해서 난독화가 되어 있음을 알 수 있지? +upx0를 보면 virtual size는 data 할당이 되었으나 size of raw data는 0으로 아무것도 없음을 볼 수 있다. 가상 영역의 공간만 할당되었음..!! upx로 난독화되어 anti-reversing 기법이 들어가 있음을 볼 수 있었다..!! peid 분석도 같이 해볼까?? peid 분석을 해보니 upx로 packing 되어 난독화.. 이전 1 2 3 4 5 6 ··· 11 다음
