Remember

왜 그런거지? 아무것도 건들이지 않았는데 컴퓨터가 갑자기 느려졌다. 하지만 모든 결론에는 원인이 있기 마련이다. 윈도우8부터 도입된 메모리 세부 모니터링을 할수 있도록 도와주는 Windows Network Data Usage Monitoring Driver(NDU)란 기능이 있다. NDU란 네트워크 사용량을 보여준다라고 이해하면 될 것 같다. 보통 로컬 네트워크간 대용량 파일을 복사하거나 토렌트 사용 등 네트워크에 파일이 과다하게 전송되는 경우에 디스크에 바로 저장되지 않고 메모리에 캐싱되는데 파일이 중간에 전송이 멈추거나 복사가 되었는데 메모리 반환이 이루어지지 않는 경우 위와 같은 메모리 부족현상이 생기게 된다. 해당 기능을 Disable 함으로써 네트워크 트래픽에 의하여 생기는 메모리 누수 문제를 ..

Description 원격 로그인 프로토콜인 Secure Shell(SSH) 구축에 사용되는 모듈 libssh 이용 서버의 인증 우회공격 취약점(로그인 인증 과정 없이 원격코드 실행 가능) 공격 호스트에서 “SSH2_MSG_USERAUTH_SUCCESS” 메시지를 전송하여 이미 인증이 성공적으로 이루졌다는 패킷 전달로 인증우회 CVE ID : CVE-2018-10933 VCSS 3.X Severity and Metrics: CNA : Red Hat, Inc. Base Score : 9.1 CRITICAL Vector : CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N 영향받는 Version libssh version >= 0.6 libssh version < 0.7.6 l..

웹세션과 쿠키의 이해 개요 HTTP 프로토콜은 TCP를 기반으로 동작하지만 브라우저 측에 컨텐츠를 모두 전달한 후에는 3Way-H.S 을 통해 맺은 네트워크 기반 세션을 종료(4Way-H.S을 이용) 시킨다. 때문에 서버 입장에서는 간헐적으로 접근하는 클라이언트 브라우저들을 구분할 수 있는 구분자가 필요하다. 오늘날의 웹 어플리케이션은 이를 "쿠키"를 통해 구현하고 있다. "쿠키"는 HTTP 요청 메시지에 포함되어 있는("Cookie:blah") 헤더의 일부이며 브라우저가 해당 서버에 처음 방문 할 경우 서버의 응답 메시지에 의해서 할당 된다.("Set-Cookie:blah") 웹세션 및 쿠키의 동작 원리 이해 Step1. BT5의 Firefox를 Paros 혹은 Burp와 연동한 후 Windows 20..

개요 일반 보안 업체나 연구소의 연구원, 학계와는 다르게 디지털 포렌식 분석관은 어떠한 조사를 목적으로 악성코드를 분석할 때 다양한 법적인 규제에 직면한다. 특히 피해를 입은 법인이나 개인에 대한 민사 또는 형사 구제 목적으로 소송을 벌이는 상황이 그 문제이다. 그래서 이러한 법적인 규제상황은 복잡하고 모호하여 적절한 변호사를 찾아 포렌식 조사 전에 법적인 조언을 얻어야만 한다. 쟁점 악성코드의 범죄 행위를 입증하는 확실한 증거만큼 무죄임을 입증하는 증거를 찾는 것 또한 중요하다. 민사 소송이나 법 집행 과정에서 일반적인 변명을 접할 때 사람이 아닌 시스템이나 자동화 과정에서 수집한 디지털 증거물의 증거 불충분이 매우 중요한 쟁점으로 나타날 수 있다. 초기에 자주 조사 목표를설정하고 재설정하는 관례는 성..

Powshell script obfuscation decode - 악성 워드 문서 내, 파워쉘로 전달되는 난독화된 문자열 해제하기 Filename : INV-840681218377.doc - MD5 : 61f2858cc90a8a2f1bc754492b0a0369 - SHA1 : c3ecb541f8ffe2597f1991b74aac2170b17be849 - SHA256 : 529024a76742a7337f1fabb0ee417ac2214be7a6a682ac8a4f4a30951e915e5e - Filesize : 225.00 KB (230400 bytes) - Detection (Virustotal 39/54) - ALYac : Trojan.Downloader.VBA.gen - AhnLab-V3 : W97M/Do..

PMON(Process Monitor)란? PMON(Process Monitor)는 말 그대로 프로세스들을 모니터링 하고 있다가 문제가 발생하면 해결해 주는 역할을 하게 된다. 실패한 프로세스가 수행하던 트랜잭션 롤백 실패한 프로세스가 획득했던 메모리, 락 및 기타 자연 할당 해제 PMON 은 Server Process 가 비정상적으로 종료될 경우 그 후속처리를 해 주는 백그라운드 프로세스이다. 1 . Process Monitor 를 실행한후 Options -> Enable Boot Logging 을 체크하여 다음 부트시부터 프로세스 상태를 로깅하도록 설정한다. 2. 다음과 같은 확인창이 나타나면 재부팅을 실시한후 프로세스 확인작업에 들어간다. 3. 재부팅 후 프로그램을 재실행시 다음과 같은 메시지 창이..

1. Cline Side Validation - 웹페이지 입력폼(Input Form)에서 잘못된 내용이 있을 때 클라이언트 측의 소스코드 안에서 검증하게 된다. 이 때, 클라이언트의 소스코드를 변경해서 우회를 할 수 있는 방법이 존재하게 된다. : 이에 서버에서 이 사항을 다시 검증하는 방법을 취하는 것이 필요하다. 하지만 서버의 퍼포먼스를 이유로 많은 사이트에서 적용하지 않고 있는 경우가 많다. 2. 웹 세션(Web Session) 가. TCP Session - TCP는 Sequence Num. 과 Ack Num.을 통해 연결이 계속 유지될 수 있다. - 클라이언트와 서버를 동기화 시키는 과정. 나. 웹 세션 (Web Session) Web은 TCP 연결을 포기하고 Login을 사용하려 한다고 알고 있..

HSRP(Hot Standby Router Protocol) 상시 대기 라우터 프로토콜 HSRP는 인터넷 상의 호스트 컴퓨터들이 다수의 라우터들을 가상적으로 하나의 라우터 처럼 동작하도록 해주는 경로 결정 프로토콜이다. 첫번째 홉의 라우터가 작동하지 않더라도 다른 라우터들이 즉시 동작할 수 있도록 "긴급대기" 상태에 있기 때문에 연결상태를 유지할 수 있다. IPoE, FDDI, 토큰링 LAN 등에서 동작하도록 구성된 시스코 라우터에서, HSRP는 라우터 자동 백업을 제공한다. 이 프로토콜은 노벨의 IPX, AppleTalk, 그리고 반얀의 VINES, 제록스의 일부 XNS 및 DECnet 등과 완전 호환성이 있다. 시스코에 의해 개발되고 IETF RFC 2281에 정의된 HSRP는 주어진 어떤 시간에 가..

공격 시나리오 Router에서 acl 설정 acl 10번으로 호스트(XP, IP : 172.16.10.20) 만 허용하고 나머지는 모두 제한한다. BT5에서는 접근을 할수 없다. Tshark를 이용 거부된 패킷을 잡아(한 개만 추출) source ip와 체크섬을 수정하여 저장한다. 그 다음 tcpreplay를 이용하여 저장된 패킷을 네트워크로 흘려보내 공격을 수행한다. BT5 에서 라우터 접근시 응답을 받을수 없다는 메시지를 받는다 . Tshark를 동작시켜 놓은 상태에서 ./copy-router-config.pl 172.16.10.254 172.16.10.10 lab으로 패킷을 전송하는 것을 캡쳐한다. Tshark로 캡쳐한 파일을 /tmp/밑에 snmp_ccc.pcap 파일로 저장하고 wireshark..

라우터 배너 설정하기 라우터에 접속했을 때 경고 메시지를 표시하려면 banner login 명령어를 사용하면 된다. 명령어 다음에 적당한 문자를 지정한다. 메시지를 다 작성한 후에 ( *) . 동일한 문자 예에서는 를 입력하면 메시지 끝이라는 의미이다. R101(config)# banner login * Enter TEXT message. End with the character '*'. @@@ AUTHORIZED ACCESS ONLY!!! @@@ * 설정후 접속해보면 다음과 같이 경고 메시지가 표시된다. R102# telnet 1.1.12.1 Trying 1.1.12.1 ... Open @@@ AUTHORIZED ACCESS ONLY!!! @@@ User Access Verification Passwo..