분류 전체보기
- [기타] Sus4 코드 2014.11.04
- [Python] 인자 값 처리 2014.10.27
- Gh0st RAT 3.78 2014.10.21 2
- SSDP Distributed Reflection Attack 2014.10.16
[기타] Sus4 코드
2014. 11. 4. 12:53
[Python] 인자 값 처리
2014. 10. 27. 10:50
나 같은 경우에는 단순히 len() 함수를 사용하여 인자 값 비교 하였으며 개수가 안맞을 시, 도움말 출력 및 프로세스 종료를 해버렸다.
if __name__ == '__main__':
if len(sys.argv) != 3:
.....
sys.exit(2)
Gh0st RAT 3.78
2014. 10. 21. 18:00
Gh0st RAT 3.78은 Gh0st RAT - Bot간 Gh0st 통신 시, 기존 Gh0st Protocol 형식에
zlib + Data 부분을 xor하여 전송하게 된다.
기존 78 9c (zlib) 기준으로 생성된 패턴으로 탐지가 불가하므로 이에 확인 필요
78 9c가 아닌 다른 값을 가지고 있어서 확인해보니...
XOR 하는 부분이 존재한다. 이는 기존 snort 및 보안 장비 우회를 위해 변형한 것으로 보인다.
-- 2014. 10. 30
Gh0st RAT 3.78은 사용자가 임의로 XOR Key 값을 지정할 수 있으며
해당 Key 값은 byte마다 적용되는데 적용되는 범위는 통신 상 payload 길이에 따라 달라질 수 있다.
SSDP Distributed Reflection Attack
2014. 10. 16. 13:29
사례 참고 : http://blog.sucuri.net/2014/09/quick-analysis-of-a-ddos-attack-using-ssdp.html
http://blog.gmane.org/gmane.comp.security.ids.snort.emerging-sigs/page=8
Flow는 아래와 같다.
-------------------------------------------------------------------------------------------------------------
1. 공격자는 취약한 UPnP 디바이스를 확인하기 위해 M-Search 패킷을 네트워크에 전송한다.
2. 취약한 UPnP 디바이스로부터 M-Search 패킷을 응답받는데, 디바이스의 Location, Description, UUID 값을 받는다.
3. 공격자는 취약한 디바이스 리스트를 수집하고 타겟에 위변조 반사 패킷 유발을 위해 악성 패킷 (Malicious) 요청을 하게 된다.
(response 패킷의 크기의 사이즈는 디바이스의 Description의 내용에 따라 달라진다. )
-------------------------------------------------------------------------------------------------------------
정상과 동일한 트래픽 이라면 어떻게 방어를 할 수 있을까?