HeeJ's

Kotlin - 자바와 100% 상호 호환 -> 자바 코드를 완전히 대체 가능 - 자바보다 문법이 간결함 - 데이터 형식 선언 없이 변수를 선언할 수 있음 변수와 데이터 형식 fun main() { var var1 : Int = 10 var var2 : Char = '안' var var3 : String = "안녕하세요" println(var1) println(var2) println(var3) } //출력 결과 // 10 // 안 // 안녕하세요 코틀린에서는 ;(세미콜론)을 사용하지 않는다. char는 한 글자만 지원하고, 문자열을 사용하고 싶을 땐 String을 사용한다. fun main(){ var var1 = 10 var var2 = '안' var var3 = "안녕하세요" println(var1..

패킷을 살펴보다 보면 www.premierpt.co.uk/footage.php도메인을 찾을 수 있다. 위의 .php로 끝나는 악성 wrod문서를 제공하는 URL을 찾기 위해 필터링을 진행하였다. 필터링의 내용은 HTTP GET 요청을 보내며 .php로 끝나는 도메인에 대한 패킷들을 찾아주었다. Length가 582인 패킷의 HTTP stream을 따라가보았다. saveAs에 대한 스크립트 함수 직후, 많은 양의 base64 텍스트를 확인했다. 이는 word 문서에 대한 악의적인 행동이라고 볼 수 있다. base64 텍스트가 끝나는 지점에 '0202_10846666250132.doc'라는 파일을 저장하도록 하는 스크립트가 있다. 이 작업이 끝나면 url은 http://www.docusign.com/?dow..

표준 웹 필터를 사용하여 필터링을 해주었다. 패킷들을 하나씩 살펴보다 보면 www.nuicala.inspia.net/mars.php 도메인을 찾을 수 있었다. 위의 .php로 끝나는 악성 word 문서를 제공하는 URL을 찾기 위해 필터링을 진행하였다. 이는 HTTP GET 요청을 보내며 .php로 끝나는 도메인에 대한 패킷이다. 필터링 된 두 개의 패킷 중, 아래 패킷이 조금 더 의심스러워 HTTP Stream을 따라가 보았다. saveAs에 대한 스크립트 함수 직후, 많은 양의 base64 텍스트를 확인했다. 이는 word 문서에 대한 악의적인 행동이라고 볼 수 있다. 많은 양의 base64 텍스트를 지나고 나면, '0125_206410993.doc'라는 파일을 저장하도록 하는 스크립트가 있다. 이는..

두 번째 pcap에서도 첫 번째 pcap 파일처럼 HTTP GET 요청에서 docs.google.com의 링크를 확인할 수 있다. b2b.ebike-your-life.com 사이트의 HTML 페이지를 확인하여 웹 브라우저에서 열어 취약한 워드 파일을 얻을 수 있다. (http.request.uri contains "/8/forum.php") or (http.host.contains api.ipify.org) http.request.uri contains "/8/forum.php" -> 문서를 얻은 php페이지를 찾기위해 /8/forum.php를 포함하는 요청 uri확인 http.host contains api.ipify.org -> Ficker Stealer에 대한 exe는 자체적으로 악성이 아닌 api..

실습 진행 환경 KaliLnux 2021.1 http.request or tls.handshake == 1 http.request -> http 요청에 대한 URL tls.handshake == 1 -> 클라이언트가 서버에 전송하는 Client Hello 메시지, 데이터 전송이 시작될 때 맨 처음에 보내는 메시지 !(SSDP) !(udp.port == 1900)과 같은 의미이다. 트래픽에서 정상적인 활동 중 UDP 포트 1900을 이용한 HTTP 요청이 포함된다. UDP 포트 1900을 통한 HTTP 트래픽을 SSDP라고 부른다. (네트워크 서비스나 정보를 찾기 위해 사용하는 네트워크 프로토콜, 네트워크에서 다른 기기를 찾기 위한 UDP 기반 프로토콜) SSDP는 PnP(Plug n Play)장치를 검색..

Channitor라고도 불리는 Hancitor는 MAN1, Moskalzapoe 또는 TA511을 가리키는 위협 요인을 사용한 멜웨어이다. 윈도우 호스트를 타겟으로 공격하고, 추가적인 멜웨어를 전송하는 중요한 접근을 설립한다. Hancitor Malware 공격 벡터 중 하나로, 피해자로부터 데이터를 훔치기 위해 맬웨어를 전달한다. 이는 흔하게 사용되지 않는 API 남용 및 PowerShell 메소드를 포함한다. Hancitor는 이메일을 통해 분산된다. 이메일에는 docs.google.com과 같은 구글 드라이브 URL을 HTTPS 링크로 포함한다. HTTPS로 접속할 때는 TCP Three-way handshake와 별도로 TLS handshake 과정을 거친다. TLS handshake에 대한 설명..

Rekall에서의 dlllist 플러그인은 Volatility보다 훨씬 많은 dll 목록이 있었다. 그 중 ntdll.dll를 Volatility과 동일한 방법으로 _LDR_DATA_TABLE_ENTRY 구조체의 InLoadOrderLinks 값과 InMemoryOrderLinks 값을 우회해보고 Rekall에서 dlllist 영역 은닉을 시도해보았다. _LDR_DATA_TABLE_ENTRY 구조체의 InLoadOrderLinks 값과 InMemoryOrderLinks 값을 변조해주었다 Volatility와 같은 방법으로 진행해주었지만, Rekall에서는 은닉되지 않았다. ldrmodules에서도 은닉된 흔적을 찾을 수 없었다. Rekall에서 dlllist의 은닉 흔적을 발견할 수 없다.

[18] dlllist 우회하기(2)(DLL/THREAD) :: Anti Memory Forensics/Volatility 이어서 ldrmodules 앞서 dlllist가 은닉되는 것을 확인해주었지만, dlllist가 은닉되었다고 DLL이 전부 은닉된 것은 아니다. ldrmodules라는 플러그인으로 확인해주면 dlllist에서 숨겨진 영역을 확인할 수 있다. 따라서 InInitializationORderModuleList영역도 우회를 진행해주어야 한다. 이 주소(0x174E67F0)에는 InInitializationOrderModuleList의 Flink값인 0x00372F60은 다음 dll인 wow64.dll을 가리킨다. 이 값을 _PEB_LDR_DATA의 InInitializationOrderMod..