컴알못의 짱해커가 되기 위한 여행

목표 : 랜섬웨어 실행 방지 프로그램 제작 및 리버스 엔지니어링 기술 학습 - 리버싱 핵심원리 API Hooking 목차 실습 및 PPT에 정리

일정 : 매주 목요일 15시 ~ 18시 ( 3시간 ) 최종 목표 진건승 : 랜섬웨어 실행 방지 프로그램 제작 및 리버스 엔지니어링 기술 학습 7/8 ( 1주차, Zoom Meetings - 각자 Zoom 이름 학번-성명으로 설정 ) 진건승 : Code Injection, API Hooking 공부 및 실습 7/15 ( 2주차, Zoom Meetings - 각자 Zoom 이름 학번-성명으로 설정 ) 진건승 : 사용자 정의 함수 Hooking 공부 및 실습 7/22 ( 3주차, Zoom Meetings - 각자 Zoom 이름 학번-성명으로 설정 ) 진건승 : 랜섬웨어 분석을 통한 랜섬웨어가 사용하는 API 리스트 또는 함수, 코드 추출 및 분석 7/29 ( 4주차, Zoom Meetings - 각자 Zoom..

안녕하세요, comalmot입니다. 오늘은 CVE-2017-11882를 분석하려고 합니다. 취약점 소개 CVE-2017-11882 CVSS Score : 9.3 영향을 받는 프로그램 : Microsoft Office 제품군 중 CVE-2017-11882 관련 업데이트를 받지 않은 모든 버전 (Microsoft Office 365, Office 2016, Office 2013, Office 2010, Office 2007 등) 취약점 타입 : 오버플로우로 인한 메모리 커럽션 EQNEDT32.EXE EQNEDT32.EXE는 구버전 Microsoft Offie가 사용하던 Microsoft Equation 3.0 Object의 호환을 위해 Microsoft가 Office에 남겨놓은 기능으로, 현재 수식편집기와 ..

안녕하세요, comalmot 입니다. 최근에 포스팅이 많이 뜸했습니다. 평소에 기록을 하고 그러는 것 보다는 저 혼자 간직하는 것을 좋아하다보니 블로그 포스팅을 잘 안하게 되는 것 같습니다. 이제 길었던 수험생 생활도 끝이 났고, 대학이라는 새로운 발판을 만났으니 기회를 잘 활용하여 더욱 더 멋진 사람이 되고 싶습니다. 제가 최근에 관심을 가지게 된 분야가 있습니다. 바로 머신러닝인데요, 아무래도 정보보안과 머신러닝을 어떻게 활용할 수 있을까를 혼자서 생각하다보니 머신러닝에 대해 많은 관심을 가지게 된 것 같습니다. 이번 포스팅에서는 비트코인의 시세, 정확히는 3가지의 상태(가격 오름, 가격 내림, 가격 변동 없음)를 예측하는 모델을 짜보려고 합니다. Timestamp, Open, Close를 중요 Fe..

우선, 첨부파일을 받고 압축을 푼 뒤에 폴더안에 들어가면 한글파일이 있습니다. 한글파일을 열어보면, 이렇게 창이 뜨는 것을 확인할 수 있습니다. 아무래도 스크립트라는 메시지를 보다보니, EPS 를 활용한 한글파일 악성코드가 생각났고, 바로 HWPSCAN을 돌려보았습니다. 파워셸 스크립트를 통해서 뭔가를 실행하는 듯한 모습입니다. 이 문자열을 base 64 처럼 보였기 때문에 바로 디코딩을 시도하였습니다. 구글 드라이브 링크를 확인할 수 있었고, 이 곳으로 들어갔습니다. trojan.txt를 다시한번 base64 디코딩해보았습니다. Hex Value들이 들어가있는 것을 보실 수 있습니다. 이것을 HxD에서 그대로 넣어보았습니다. PNG 파일입니다. 이렇게 플래그를 획득하였습니다.

우선, USB 제조사랑 USB 제품 명을 알아보면 되는 문제입니다! 문제에서는 레지스트리랑 이벤트 로그를 주셨네요! 바로 REGA를 통해 열어보았습니다! REGA의 하드웨어 정보 도구 상자에서 저장 장치와 관련한 아티팩트들을 수집할 수 있었습니다. 이렇게 플래그를 획득할 수 있었습니다!

문제파일을 받으면 dll파일이 주어집니다. 일단 DIE에 올려보겠습니다... 음.. 네 DLL32입니다. 바로 IDA에 올려볼까요? 일단 Strings를 쭉 뽑아보니,, aimbot, m4a4, ump45 등 총기명이 보이는 것으로보아... 이 DLL은 에임핵인가보네요!!! Strings를 조금 더 살펴보겠습니다. 글옵 에임핵인가 봅니다 ㄷㄷㄷㄷㄷ 정말 무섭네요. 그런데 저기에 수상한 문자열이 있네요? did you find flag? 와 cG93Zx ... == 으로 끝나는 문자열이 있었습니다. 역시 base64로 보이는 문자열을 디코딩해주어야 제맛이겠죠? 바로 디코딩 들어가겠습니다. 뭔가를 실행하고 있습니다! powershell로 직접 테스트해볼까요? 플래그 획득 성공하였습니다!

처음 문제파일을 다운받으면 위와 같은 이미지 파일을 줍니다. 평범한 이미지파일같아보이지만... 이 png.. HxD에서는 어떨까요..? PASS:1234 라니.. 이거 완전 OpenStego를 활용해서 암호 걸어놓은 스테가노그래피아니야? 하는 생각이 들었습니다. 바로 이 아이디어가 떠오른 이유는 저번에 영재원 내부 CTF때 비슷한 문제가 있었는데, 이거 못봐서 힌트쓰다가 100점 날려먹은 기억때문에 그렇습니다. Password에는 1234를 바로 입력한 뒤에 해주면 될 듯하여 바로 해줬습니다! 그러자.. medium.png 라는 파일이 나옵니다. 여기서 추측한 점은 애초부터 마트료시카가 원래 이미지 파일이었으니, 아무래도 계속 OpenStego로 풀지 않을까.. 라는 생각을 했습니다. 그렇게 아래와 같이..

처음 파일을 다운받으면 FINDAJOB.zip이라는 압축파일을 다운받을 수 있습니다. 다만 압축이 제대로 풀리지 않아 의아하여 HxD로 파일을 열었습니다. 왼쪽과 같이 압축파일의 헤더가 PK가 아닌 PP로 되어있는 것을 알 수 있었습니다. 그렇기에 바로 PK로 헤더를 바꾼 뒤에 압축을 풀어 보았습니다. 왼쪽과 같이 FINDAJOB.txt가 있었고, 그 내용은 아래와 같았습니다. 흔한 빌딩이 그려져있는 아스키 아트 같지만... 잘 보십시오!! 알파벳과 {, } 특수문자... 이느낌은 F l a g 입니다 바로 정규식을 돌려보도록 하죠. 이렇게 플래그를 획득하였습니다~!

안녕하세요. comalmot 입니다. 최근 많은 논란이 되고 있죠? 바로 SNI를 확인해서 사이트를 막는 정부의 정책입니다. 개인정보의 침해다, 혹은 이것은 음란물을 규제하는 방법일 뿐이다 등등 논란이 많지만, 함구하도록 하겠습니다. SNI에 큰 흥미를 느끼고 관련 정보를 찾아보았습니다. SNI는 Server Name Indication의 약자로, TLS/SSL 암호화 통신을 할때, TLS/SSL HandShake 과정의 첫 번째로 일어나는 Client Hello 패킷에서 볼 수 있는 암호화되지 않은(!) 정보입니다. 먼저 클라이언트에서 서버에 ClientHello 메시지를 보낸다. 여기에는 클라이언트에서 가능한 TLS 버전, 서버 도메인, 세션 식별자, 암호 설정 등의 정보가 포함된다. 클라이언트의 메..