'공부' 카테고리의 글 목록 (14 Page)

공부

Yara 탐지 결과의 offset을 활용한 탐지는 어렵다. 2015.07.28
[Study] 파이썬 해킹 프로그래밍 2015.07.28
IsSpace Trojan Groups 2015.07.27
Anti VM 관련 레지스트/파일/프로세스 확인 2015.07.27

Yara 탐지 결과의 offset을 활용한 탐지는 어렵다.

johnst 2015. 7. 28. 14:59

2015. 7. 28. 14:59

for all, 1, any i in (1..#a) : boolean

1. 테스트 결과 for로 할 결과물들을 다 출력 (아마도 사용자에게 보이지 않게 Transparent 하겟지?)

2. 이후에 결과물 비교

3. all 인 경우, 모두 비교하여 맞을 경우, 모두 출력, 모두 맞지 않는 경우 출력하지 않음

4. 1인 경우, 하나라도 맞으면 출력하는데, 조건에 맞았던 (1번에서 나온 결과물) 결과물을 모두 출력

정확하지 않지만 이럴 것으로 추정된다.

[Study] 파이썬 해킹 프로그래밍

johnst 2015. 7. 28. 08:02

2015. 7. 28. 08:02

디버깅 대상 프로세스에서 접근 위반이 발생하면 디버거가 그것을 처리해야 한다.

예외가 발생했을 때 디버거는 Stack Frame, Register, 예외를 발생시킨 명령 등 모든 정보를 추적할 수 있다.

이런 정보를 기반으로 취약점 공격 코드를 작성하거나 바이너리 패치를 만들어낼 수 있다.

- p.97 -

IsSpace Trojan Groups

johnst 2015. 7. 27. 15:33

2015. 7. 27. 15:33

http://researchcenter.paloaltonetworks.com/2015/07/watering-hole-attack-on-aerospace-firm-exploits-cve-2015-5122-to-install-isspace-backdoor/

CVE-2015-5122 취약점을 이용하며, NFlog Backdoor의 진화 버전으로 해석하고 있다. Windows 7 x32, x64 별 동작이 다르며, XP 또한 동작이 다른 것으로 확인된다고 한다.

HTTP POST 이용하여 C&C 통신을 진행하며, 특정 URI 값과 Body에 암호화를 통해 전송하는 방식을 이용한다고 한다.

초기 접속을 탐지하기 위한 Snort는 Emerginthreat에서 제공하고 있으나 정/오탐 판별은 필요해보인다.

http://doc.emergingthreats.net/bin/view/Main/2020924

C&C를 HTTP POST 형태로 진행하는 과정에서 해당 URI의 depth? 계산 혹은 미스(?)에 따라 URI의 Slash가 // 와 같이 2개가 보이는 경우도 있다고 한다. 이런 상황이 흔할지는 모르지만, 체크해둘만 하다.

단순 특정 부분의 URI를 통한 Snort 탐지는 모니터링은 가능해보이나 실제 적용하기에는 어려움이 없지 않나 생각된다.

Anti VM 관련 레지스트/파일/프로세스 확인

johnst 2015. 7. 27. 10:08

2015. 7. 27. 10:08

Reference

http://joe4security.blogspot.kr/2012/08/vm-and-sandbox-detections-become-more.html

http://ghostshell.tistory.com/293

https://gitlab.pluribusgames.com/mirrors/metasploit-framework/raw/ddb98715776e6d49443d26816cbc9db54b093e81/modules/post/windows/gather/checkvm.rb

http://thisissecurity.net/2014/08/20/win32atrax-a/

Registry Query

1. "HKLM\HARDWARE\Description\System\\SystemBiosVersion".

- vbox 문자열 확인

2. "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\\ProductID" and

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\\ProductID".

 - Product ID 확인 
 55274-640-2673064-23950 (JoeBox)
 76487-644-3177037-23510 (CWSandBox)
 76487-337-8429955-22614 (Anubis)

3. HKLM\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus

0\Target Id 0\Logical Unit Id 0\\Identifier

- Identifier의 Value가 vmware, vbox 인지 확인

Registry Enum

1. HKLM\SOFTWARE\Microsoft

- Hyper-V, VirtualMachine 확인

2. HKLM\SYSTEM\ControlSet001\Services

- vmicheartbeat, vmicvss, vmicshutdown, vmicexchange, vmci, vmdebug, vmmouse, VMTools, VMMEMCTL, vmware, vmx86, vpcbus, vpc-s3, vpcuhub, msvmmouf, VBoxMouse, VBoxGuest, VBoxGuest, VBoxSF, xenevtchn, xennet, xennet6, xensvc, xenvdb,

3. "HKLM\HARDWARE\ACPI\DSDT"

"HKLM\HARDWARE\ACPI\FADT" "HKLM\HARDWARE\ACPI\RSDT"

- VBOX (VirtualBox)

- XEN

- PTLTD(VmWare)

- AMIBI (Virtual PC)

Process Snapshot

1. 아래의 프로세스 목록 확인

- vmware, vmount2, vmusrvc, vmsrvc, VBoxService, vboxtray, xenservice, joeboxserver, joeboxcontrol, wireshark, sniff_hit, sysAnalyzer, filemon, procexp, procmon, regmon, autoruns

Files Check

1. 아래의 파일 목록 확인

- hgfs.sys, vmhgfs.sys, prleth.sys, prlfs.sys, prlmouse.sys, prlvideo.sys, prl_pv32.sys, vpc-s3.sys, vmsrvc.sys, vmx86.sys, vmnet.sys

Modules Check

1. 아래의 모듈 목록 확인 (DLL)

- dbghelp, SbieDll, api_log, dir_watch, pstorec

Users Check

1. 아래의 사용자 이름 목록 확인

- currentuser, sandbox, honey, vmware, nepenthes, snort, andy, roo

Computer Name Check

1. 아래의 컴퓨터 이름 목록 확인

- TU-4NH09SMCG1HC