kisoo

Identifying a botnet is not an easy task sometimes, especially when one gets lost in different components like droppers, infectors and other bad stuff. Some two weeks ago, Jose Nazario from Arbor Networks pointed me to a new varmint that appears to be another peer-to-peer bot. When executed, the program installs tons of stuff that holds a number of goodies, for example an executable hidden in an..

Stuxnet(스턱스넷)이 주는 충격은 실생활이 직접적으로 영향을 받을 것이라는 점에서 많은 사람들에게 각인이 되고 있다. 또한 앞으로 기반시설에 대한 보안 이슈와 관심도 그 어느 때 보다 높아 질 것으로 예상 된다. 세계적으로 이슈가 되고 있는 Stuxnet은 일반적인 보안업체에서도 향후의 방향성에 대해서 한번쯤 고민을 해야 될 이슈를 던져 주고 있다. 기존과는 다른 접근이 필요한 분야라는 점도 인식을 해야 할 것이다. 현상으로 돌아가면 시만텍의 Stuxnet에 대해 한국내 감염 수치가 8% 이상일 것이라는 점은 사실이다. 더불어 시만텍의 CTO인 슈나이더의 통계수치도 사실이다. http://www.etnews.co.kr/news/detail.html?id=201010130250 실제 감염된 것은 맞지..

windows 에서 null route 추가해보기 http://blog.cmdline.org/2009/08/18/howto-windows-xpserver-2003-null-route/ The following example is from Wikipedia: C:\> route ADD 192.168.32.128 MASK 255.255.255.255 192.168.32.254 가정에서는 route 명령어 같은게 당연히 필요 없겠지만 회사에서 수많은 컴과 네트워크를 신경 써야 하다보니 route 콘솔 프로그램을 사용하게 되었다. 경험상 route 명령어가 필요한 간단한 상황 두가지가 있다. 첫번째는 랜카드가 두개 물린 컴퓨터에서 목적지 주소에 따라 일정한 랜카드에 패킷을 전달하는 경우다. 두번째는 인터넷을 위..

장점 시그니처 방식의 보안 솔루션과 달리 알려지지 않은 사이버 공격에 대해 탐지, 차단이 가능한 것이 가장 큰 장점이라고 설명했다. 모젠소프트 시연 동영상 이 글은 스프링노트에서 작성되었습니다.

개요 본 문서는 봇넷을 이용한 DDos 공격을 재연 하여 TouchEnsafe Agent 에서 DDos 공격에 대한 탐지 부터 로깅,분석,대응 까지의 침해 대응 체계에 대한 이해를 돕기 위해 작성 되었다. 환경 설정 1)PC 3대 준비 (좀비pc,공격받을 웹서버,관제 서버,c&c 서버 ) 2)공격 받는 웹서버의 부하를 체감하기 위한 공격 대상 웹 페이지 3)서버 IP 를 미리 확보 ( 공인 IP) 4)터치엔세이프 데모설치 버전 5)봇넷 app 6)c&c 서버 app 공격 및 확인 순서 1) 일반 사용자 PC에 봇넷 설치 2) 봇넷 에서 C&C 서버로 접속 (실제 봇넷은 자동으로 접속 시도한다.) 3) C&C 서버에서 공격 정책을 셋팅 하여 봇넷에 공격 명령 송신(주로 웹공격) 4) 명령 및 정책을 수신한..

Building an Automated Behavioral Malware Analysis Environment GIAC에 올라온 Jim Clausingrk 쓴 악성프로그램 자동화된 분석 시스템 만들기... 몇가지 스크립트로 분석 속도를 빠르게 해보자는 내용같다. 자세힌 못봤는데, 기존에 이런 준비가 바로 속도있는 분석이 가능하게 해준다고 생각한다. ■EnScript to Export files by extension 다른 분들은 모르겠지만, 전 많이 쓸만한 스크립트 같다.조금 수정해서 확장자별로 저장할께 아니라 소스별로 저장하면 나는 그저 ok일듯... ■Hard Drive Errors and Replacements 역시 내가 약한 부분 하드디스크의 물리 오류 발생시 교체 방법...음..이건 근데 좀 손..

mandiant red curtain -> PE ENTRYPOINT SIGNATUREhttp://www.ilsoftware.it/articoli.asp?tag=Cinque-utilita-per-analizzare-il-sistema-alla-ricerca-di-malware-e-rootkit_4177

ADO 연결 시 다음과 같은 코드에서 0X80004002 에러를 리턴한다. hr = pConnection.CreateInstance(__uuidof(Connection)); if(FAILED(hr)){ CString strError; strError.Format(_T("Error creating connection hr = %x\n"), hr); OutputDebugString(strError);} 이전에 잘되던 코드라 정말 이상해서 저렿게 에러를 찍었는데 0X80004002 리턴값이....이곳에 해당 오류에 대한 설명이 되어있다. http://support.microsoft.com/kb/2517589 ADO 응용 프로그램이 실행 되는 Windows 7 s P 1 이나 Windows Server 2008..

1장. 행동 익명화2장. 허니팟3장. 악성코드 분류4장. 샌드박스와 다중 AV 스캐너5장. 도메인과 IP 주소 연구6장. 문서, 셸코드, URL7장. 악성코드 연구실8장. 자동화9장. 동적 분석10장 악성코드 포렌식11장. 악성코드 디버깅12장. 역난독화13장. DLL을 이용한 작업14장. 커널 디버깅15장. Volatility를 이용한 메모리 포렌식16장. 메모리 포렌식: 코드 인젝션과 추출17장. 메모리 포렌식: 루트킷18장. 네트워크와 레지스트리 다양한 보안 위협에 대응할 수 있는 강력한 단계별 해설서이 책을 비법서라고 부르는 이유는 각 ‘비법’이 특정한 위협을 연구하고 문제를 해결하기 위해 거쳐야 하는 단계와 내용을 포함하기 때문이다. 부록 DVD에 추가 예제 파일과 원본 프로그램을 수록했다. 저..

Links and resources for malware samplesMalware links. Here are good resources, links, download locations for malware. Use caution. http://forums.malwarebytes.org/index.php?s=cf9a0929d1a028394c8933e8dc4c0059&showforum=51 newest malware threats http://forums.malwarebytes.org/index.php?s=cf9a0929d1a028394c8933e8dc4c0059&showforum=30 newest rogue threatshttp://www.kernelmode.info/forum/viewforum.php..