'분류 전체보기' 카테고리의 글 목록 (23 Page)

분류 전체보기

Anti VM 관련 레지스트/파일/프로세스 확인 2015.07.27
독서 2015.07.24
Bash 취약점을 이용한 ChinaZ 공격 그룹의 악성 코드 유포는 지속 2015.07.21
[일본 타겟] Hacking Team이 일본 사이트를 공략 (FireEye) 2015.07.20

Anti VM 관련 레지스트/파일/프로세스 확인

johnst 2015. 7. 27. 10:08

2015. 7. 27. 10:08

Reference

http://joe4security.blogspot.kr/2012/08/vm-and-sandbox-detections-become-more.html

http://ghostshell.tistory.com/293

https://gitlab.pluribusgames.com/mirrors/metasploit-framework/raw/ddb98715776e6d49443d26816cbc9db54b093e81/modules/post/windows/gather/checkvm.rb

http://thisissecurity.net/2014/08/20/win32atrax-a/

Registry Query

1. "HKLM\HARDWARE\Description\System\\SystemBiosVersion".

- vbox 문자열 확인

2. "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\\ProductID" and

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\\ProductID".

 - Product ID 확인 
 55274-640-2673064-23950 (JoeBox)
 76487-644-3177037-23510 (CWSandBox)
 76487-337-8429955-22614 (Anubis)

3. HKLM\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus

0\Target Id 0\Logical Unit Id 0\\Identifier

- Identifier의 Value가 vmware, vbox 인지 확인

Registry Enum

1. HKLM\SOFTWARE\Microsoft

- Hyper-V, VirtualMachine 확인

2. HKLM\SYSTEM\ControlSet001\Services

- vmicheartbeat, vmicvss, vmicshutdown, vmicexchange, vmci, vmdebug, vmmouse, VMTools, VMMEMCTL, vmware, vmx86, vpcbus, vpc-s3, vpcuhub, msvmmouf, VBoxMouse, VBoxGuest, VBoxGuest, VBoxSF, xenevtchn, xennet, xennet6, xensvc, xenvdb,

3. "HKLM\HARDWARE\ACPI\DSDT"

"HKLM\HARDWARE\ACPI\FADT" "HKLM\HARDWARE\ACPI\RSDT"

- VBOX (VirtualBox)

- XEN

- PTLTD(VmWare)

- AMIBI (Virtual PC)

Process Snapshot

1. 아래의 프로세스 목록 확인

- vmware, vmount2, vmusrvc, vmsrvc, VBoxService, vboxtray, xenservice, joeboxserver, joeboxcontrol, wireshark, sniff_hit, sysAnalyzer, filemon, procexp, procmon, regmon, autoruns

Files Check

1. 아래의 파일 목록 확인

- hgfs.sys, vmhgfs.sys, prleth.sys, prlfs.sys, prlmouse.sys, prlvideo.sys, prl_pv32.sys, vpc-s3.sys, vmsrvc.sys, vmx86.sys, vmnet.sys

Modules Check

1. 아래의 모듈 목록 확인 (DLL)

- dbghelp, SbieDll, api_log, dir_watch, pstorec

Users Check

1. 아래의 사용자 이름 목록 확인

- currentuser, sandbox, honey, vmware, nepenthes, snort, andy, roo

Computer Name Check

1. 아래의 컴퓨터 이름 목록 확인

- TU-4NH09SMCG1HC

독서

johnst 2015. 7. 24. 08:34

2015. 7. 24. 08:34

http://www.dailytw.kr/news/articleView.html?idxno=8089

3년 간 1000권을 읽도록 노력하자.

Bash 취약점을 이용한 ChinaZ 공격 그룹의 악성 코드 유포는 지속

johnst 2015. 7. 21. 11:06

2015. 7. 21. 11:06

Bash 취약점을 이용한 공격이 지속적으로 확인됨을 확인할 수 있다.

Bash 취약점을 이용하기 위한 악의적인 문자열 () { :; }; 이후에 wget을 이용하여 특정 공격자 HFS 웹 서버에 접속하여 악성 코드를 다운로드 한다.

악성 코드는 IptabLes(x) 유형과 Billgates 유형 악성 코드로 확인된다.

해당 악성 코드는 분산 서비스 거부 공격을 유발시킬 수 있으므로, 이와 같은 공격 흐름에 대해 잘 인지하고 확인할 수 있도록 해야하겠다.

[일본 타겟] Hacking Team이 일본 사이트를 공략 (FireEye)

johnst 2015. 7. 20. 15:19

2015. 7. 20. 15:19

https://www.fireeye.com/blog/threat-research/2015/07/second_adobe_flashz.html

최종 실행되는 악성 코드는 Rdws.exe로 최근 국내에서 확인된 Rdws.exe와 이름이 동일하다. 따라서 1차적으로 Gh0st Bot으로 판단했으나 실제로 Gh0st Bot은 아니며, FE에서 분석/확인한 바로는 SOGU Variant를 가진 중국 발 악성 코드로 (Kaba로 알려졌다고 하네요) 확인되는 바, 이를 탐지할 수 있는 방안이 필요하다.

현재까지는 opmuert.org:443 을 이용하여 C&C HTTP 통신을 하는 것으로 파악되며, 특정 URI 값을 요청한다. 해당 값이 변경됨에 따라 요청 시마다 랜덤 혹은 특정 계산 값에 의해 발생하는 것으로 추정된다.

PREV 이전 1 ···20 21 22 23 24 25 26 ···51 NEXT 다음

꿈 꾸는 사람