kisoo

이메일 내 악성 첨부파일 확장자 유형 분석 결과 - 최근 보안시스템에서 이메일 내 .EXE 파일이 첨부되는 것을 감지하고 이를 차단하자, 문서파일(.doc, .pdf 등) 또는 압축파일(.zip) 등 다양한 확장자를 가진 악성파일 첨부 빈도 증가

보호되어 있는 글입니다.

한 2일 정도 삽질한 경우를 설명 하겠다. 상황 : 네트워크로 패킷을 보내는 프로세스의 정보를 구한다. ProcessName , ProcessId 를 얻어서 ProcessPath 를 구하려고 했다. 그러나 , 프로세스 경로가 c:\windows\system32\svchost.exe 로 나오는 것이다. 그런데 여기서 나를 햇갈리게 하는 경우가 있었으니...그것은 바로 네트워크 소켓 연결을 하지 않은 상태에서는 정상적인 경로를 구할 수 있었다. 이런경우가 다있나...? 구글링을 아무리 해도 이런 경우가 없었다. 나를 더 황당하게 했던 것은 우리가 일반적으로 쓰고 있는 ProcessMonitor 와 TcpView 에서도 동일하게 이런 경우가 발생 했다. 나를 합리화 하기 시작했다. 아 .. sysinterna..

1.잉카인터넷 zeus 유출소스 실행방법 http://erteam.nprotect.com/156 2. Inside Zeus Source code http://www.thetechherald.com/article.php/201120/7165/Overview-Inside-the-Zeus-Trojan-s-source-code?page=1 by Steve Ragan - May 16 2011, 17:00 3.VRT Labs - Zeus Trojan Analysis http://labs.snort.org/papers/zeus.html 4.p2p 동향 http://ettrends.etri.re.kr/PDFData/21-6_179_189.pdf 5.zeus 패킷 캡쳐 https://www.infosecisland.co..

1.화면캡쳐 : 모든입력값들 저장하여 C&C 서버로 전달 2.웹브라우저를 통해 서버로 전달되는 입력정보를 가로챈다. ( 키로거 ) 3.재부팅 과 종료 4.파일삭제 5.특정 URL 접속에 대한 차단/허용 ( api hook ) 6.파일/폴더 검색 및 전송 7.파일 실행 ( create process ) 8.다운로드 및 실행 ( request GET and Receive) 9.인증서 탈취 10.보호된 저장 영역과 쿠키를 통한 정보탈취 ( WEB Memory ) 11.제우스 봇 실핼파일의 파일명 변경 (자신을 복제하여 파일명 변경 후 자신은 삭제 ) 12.인터넷 시작페이지 변경 13.운영체제 버전 및 언어확인 14.지역및 시간 확인 15.실행중인 프로세스 이름 확인 16.ip주소확인 17.웹 인젝션 - 감염된..

제우스의 Botnet 개요 Zeus is a toolkit that provides a malware creator all of the tools required to build and administer a botnet. 제우스는 악성 코드 작성자에게 빌드하고 botnet를 관리할 필요한 모든 도구를 제공하는 툴킷입니다. The Zeus tools are primarily designed for stealing banking information, but they can easily be used for other types of data or identity theft. 제우스 도구는 주로 은행 정보를 훔친 설계되었습니다. 쉽게 데이터 또는 신분 도용의 다른 유형에 사용할 수 있습니다. A Contr..

Identifying a botnet is not an easy task sometimes, especially when one gets lost in different components like droppers, infectors and other bad stuff. Some two weeks ago, Jose Nazario from Arbor Networks pointed me to a new varmint that appears to be another peer-to-peer bot. When executed, the program installs tons of stuff that holds a number of goodies, for example an executable hidden in an..

windows 에서 null route 추가해보기 http://blog.cmdline.org/2009/08/18/howto-windows-xpserver-2003-null-route/ The following example is from Wikipedia: C:\> route ADD 192.168.32.128 MASK 255.255.255.255 192.168.32.254 가정에서는 route 명령어 같은게 당연히 필요 없겠지만 회사에서 수많은 컴과 네트워크를 신경 써야 하다보니 route 콘솔 프로그램을 사용하게 되었다. 경험상 route 명령어가 필요한 간단한 상황 두가지가 있다. 첫번째는 랜카드가 두개 물린 컴퓨터에서 목적지 주소에 따라 일정한 랜카드에 패킷을 전달하는 경우다. 두번째는 인터넷을 위..

장점 시그니처 방식의 보안 솔루션과 달리 알려지지 않은 사이버 공격에 대해 탐지, 차단이 가능한 것이 가장 큰 장점이라고 설명했다. 모젠소프트 시연 동영상 이 글은 스프링노트에서 작성되었습니다.

개요 본 문서는 봇넷을 이용한 DDos 공격을 재연 하여 TouchEnsafe Agent 에서 DDos 공격에 대한 탐지 부터 로깅,분석,대응 까지의 침해 대응 체계에 대한 이해를 돕기 위해 작성 되었다. 환경 설정 1)PC 3대 준비 (좀비pc,공격받을 웹서버,관제 서버,c&c 서버 ) 2)공격 받는 웹서버의 부하를 체감하기 위한 공격 대상 웹 페이지 3)서버 IP 를 미리 확보 ( 공인 IP) 4)터치엔세이프 데모설치 버전 5)봇넷 app 6)c&c 서버 app 공격 및 확인 순서 1) 일반 사용자 PC에 봇넷 설치 2) 봇넷 에서 C&C 서버로 접속 (실제 봇넷은 자동으로 접속 시도한다.) 3) C&C 서버에서 공격 정책을 셋팅 하여 봇넷에 공격 명령 송신(주로 웹공격) 4) 명령 및 정책을 수신한..