정짱의 작은 도서관

1. Bandit Level 0 → Level 1[문제]다음 레벨의 비밀번호는 홈 디렉토리에있는 readme 파일에 저장됩니다. SSH를 사용하여 bandit1에 로그인하려면이 비밀번호를 사용하십시오. 레벨의 비밀번호를 찾을 때마다 SSH (포트 2220)를 사용하여 해당 레벨에 로그인하고 게임을 계속하십시오. * 이전 레벨에서 추출한 패스워드 확인(2020/07/07 - [Wargame & CTF/OverTheWire] - [OverTheWire] Bandit Level 0) [정답]1. Level 0에서 성공한 로그인 계정 접속 후 home 디렉토리의 readme 파일 확인 : ls -l 2. readme 파일에서 비밀번호 추출 : cat readme 3. 비밀번호 확인 : boJ9jbbUNNfktd..

1. Bandit Level 0[문제]이 레벨의 목표는 SSH를 사용하여 게임에 로그인하는 것입니다. 연결해야하는 호스트는 포트 2220의 bandit.labs.overthewire.org입니다. 사용자 이름은 bandit0이고 암호는 bandit0입니다. 로그인 한 후 레벨 1 페이지로 이동하여 레벨 1을이기는 방법을 찾으십시오. 참조> https://overthewire.org/wargames/bandit/ [정답]1. PuTTY를 활용한 접속 방법: 원격 프로그램인 PuTTY를 실행하여 "Host Name : bandit.labs.overthewire.org / Port : 2220" 입력 후 open 버튼 클릭 2. 윈도우 기본 ssh 활용 접속 방법: cmd 실행 -> "ssh bandit0@b..

[Malware analysis] WannaMine 파워쉘을 이용한 파일리스 악성코드 파일리스 관련하여 살펴보던 중 파일리스 코인마이너 악성코드를 확인할 수 있었다.파일리스란 말 그래도 파일로 존재하지 않고 메모리나 레지스트리에서 동작하는 악성코드이다. 참조> https://s.tencent.com/research/report/869.html> https://sanseolab.tistory.com/29> https://gist.github.com/vortexau/13de5b6f9e46cf419f1540753c573206 작성하려는 파일리스 악성코드는 현재 URL이 막혀있기에 미리 얻은 .xsl 파일부터 분석해보겠습니다..xsl 살펴보면 XML 형식으로 작성된 파일 확인 시 cmd 명령을 통해 base64..

[Malware analysis] Poulight Stealer 인포스틸러 악성코드 참조> https://isarc.tachyonlab.com/3075 정보 탈취형 악성코드 Poulight Stealer 이며, 해당 악성코드의 주요 행위에 대해 작성하겠습니다.파일 확인 시 닷넷(.net)으로 제작 된 파일인 것을 확인할 수 있다. 닷넷 디버거를 이용하여 살펴보겠습니다.(그림 1) 해당 파일을 main 부분을 살펴보면 Check Vm 이라는게 보이며 가상환경 유무를 확인하는지 예상할 수 있다. 먼저 CheckVM()을 살펴보자.(그림 2) "Select * from Win32.ComputerSystem"이라는 쿼리문을 확인할 수 있다. 이후 vmware, VIRTUAL, VirtualBox, sbiedll..

[Reversing] Pe-sieve 도구 by Hasherezade 트위터를 보다가 PE-sieve 업데이트 소식을 듣고 잘 사용하면 편리하기에 해당 도구에 대해 작성한다.PE-sieve는 실행중인 프로세스를 추출하는 것으로 악성 행위를 주입한 프로세스를 .exe 파일로 만들어주는 도구이다. 악성 행위라면 여러 인젝션이 될 수도 있으며 Process Hollowing 등을 말한다.해당 도구 사용법은 간단하며 자세한 내용은 구글링이나 https://github.com/hasherezade/pe-sieve 참고하면 될 것 같다. 모든 악성 파일에 적용이 가능하지는 않지만 최근 자주 유포되는 이력서로 위장한 Makop 랜섬웨어인 악성파일로 설명해보겠다. 먼저 (그림 1)을 보게 되면 해당 Makpo 악성파일..

[Malware analysis] Nemty 스페셜 에디션 랜섬웨어 참조> https://asec.ahnlab.com/search/nemty Nemty 스페셜 에디션 랜섬웨어는 캠페인을 통해 배포되는 것으로 확인되었으며, 첨부파일 및 다운로드 링크로 악성 파일을 포함한다.본 블로그에는 늦은감이 있지만, Nemty 스페셜 에디션에 대한 분석 내용을 작성하겠습니다."전산 및 비전산자료 보존 요청서.zip" 첨부파일을 통해 배포하였으며, 압축 해제 시 (그림 1)와 같이 한글파일로 위장한 .exe 실행 파일을 확인할 수 있다.(그림 1) 해당 파일을 실행하게 되면 바탕화면이 변하면서 여러명의 확장자를 가진 파일들이 (그림 2)와 같이 NEMTY_[랜덤한 문자]로 변경이 되는 것을 알 수 있다.(그림 2) 암호..

[Reversing] MSCryptoAPI unit MSCryptoAPI; interface uses Windows, KOL; // Constants for HiAsm Componentsconst NO_ERROR = 0; ERROR_INVALID_PARAMETER = 1; ERROR_INCORRECT_KEY = 2; ERROR_ACQUIRE_CONTEXT = 3; ERROR_GENERATION_KEY = 4; ERROR_GENERATION_KEYPAIR = 5; ERROR_GET_USER_KEY = 6; ERROR_DERIVE_KEY = 7; ERROR_ENCRYPT = 8; ERROR_DECRYPT = 9; ERROR_CREATE_HASH = 10; ERROR_HASH_DATA = 11; ERROR_G..

[Reversing] 레지스터 관련 정리 정리가 필요하여 메모한다.(개인정리) > https://software.intel.com/content/www/us/en/develop/articles/intel-sdm.html 레지스터 크기E 문자가 붙으면 32비트R 문자가 붙으면 64비트x64 R 레지스터에 저장된 값중 dword, word, byte만 사용도 가능하며, 64bit r8의 경우 r8d, r8w, r8b를 통해 각 비트에 접근 할 수 있다고 한다.RAX 64비트EAX 32비트AX 16비트AH/AL 8비트 소프트웨어 레지스터범용레지스터논리, 산술 연산등에 사용되나 디버깅 시 유기적으로 사용하는 것 같다.AX, BX, CX, DX, SP, BP, SI, DI 세그먼트 레지스터코드, 데이터, 스택등의..