HeeJ's

패킷을 살펴보다 보면 www.premierpt.co.uk/footage.php도메인을 찾을 수 있다. 위의 .php로 끝나는 악성 wrod문서를 제공하는 URL을 찾기 위해 필터링을 진행하였다. 필터링의 내용은 HTTP GET 요청을 보내며 .php로 끝나는 도메인에 대한 패킷들을 찾아주었다. Length가 582인 패킷의 HTTP stream을 따라가보았다. saveAs에 대한 스크립트 함수 직후, 많은 양의 base64 텍스트를 확인했다. 이는 word 문서에 대한 악의적인 행동이라고 볼 수 있다. base64 텍스트가 끝나는 지점에 '0202_10846666250132.doc'라는 파일을 저장하도록 하는 스크립트가 있다. 이 작업이 끝나면 url은 http://www.docusign.com/?dow..

표준 웹 필터를 사용하여 필터링을 해주었다. 패킷들을 하나씩 살펴보다 보면 www.nuicala.inspia.net/mars.php 도메인을 찾을 수 있었다. 위의 .php로 끝나는 악성 word 문서를 제공하는 URL을 찾기 위해 필터링을 진행하였다. 이는 HTTP GET 요청을 보내며 .php로 끝나는 도메인에 대한 패킷이다. 필터링 된 두 개의 패킷 중, 아래 패킷이 조금 더 의심스러워 HTTP Stream을 따라가 보았다. saveAs에 대한 스크립트 함수 직후, 많은 양의 base64 텍스트를 확인했다. 이는 word 문서에 대한 악의적인 행동이라고 볼 수 있다. 많은 양의 base64 텍스트를 지나고 나면, '0125_206410993.doc'라는 파일을 저장하도록 하는 스크립트가 있다. 이는..

두 번째 pcap에서도 첫 번째 pcap 파일처럼 HTTP GET 요청에서 docs.google.com의 링크를 확인할 수 있다. b2b.ebike-your-life.com 사이트의 HTML 페이지를 확인하여 웹 브라우저에서 열어 취약한 워드 파일을 얻을 수 있다. (http.request.uri contains "/8/forum.php") or (http.host.contains api.ipify.org) http.request.uri contains "/8/forum.php" -> 문서를 얻은 php페이지를 찾기위해 /8/forum.php를 포함하는 요청 uri확인 http.host contains api.ipify.org -> Ficker Stealer에 대한 exe는 자체적으로 악성이 아닌 api..

실습 진행 환경 KaliLnux 2021.1 http.request or tls.handshake == 1 http.request -> http 요청에 대한 URL tls.handshake == 1 -> 클라이언트가 서버에 전송하는 Client Hello 메시지, 데이터 전송이 시작될 때 맨 처음에 보내는 메시지 !(SSDP) !(udp.port == 1900)과 같은 의미이다. 트래픽에서 정상적인 활동 중 UDP 포트 1900을 이용한 HTTP 요청이 포함된다. UDP 포트 1900을 통한 HTTP 트래픽을 SSDP라고 부른다. (네트워크 서비스나 정보를 찾기 위해 사용하는 네트워크 프로토콜, 네트워크에서 다른 기기를 찾기 위한 UDP 기반 프로토콜) SSDP는 PnP(Plug n Play)장치를 검색..

Channitor라고도 불리는 Hancitor는 MAN1, Moskalzapoe 또는 TA511을 가리키는 위협 요인을 사용한 멜웨어이다. 윈도우 호스트를 타겟으로 공격하고, 추가적인 멜웨어를 전송하는 중요한 접근을 설립한다. Hancitor Malware 공격 벡터 중 하나로, 피해자로부터 데이터를 훔치기 위해 맬웨어를 전달한다. 이는 흔하게 사용되지 않는 API 남용 및 PowerShell 메소드를 포함한다. Hancitor는 이메일을 통해 분산된다. 이메일에는 docs.google.com과 같은 구글 드라이브 URL을 HTTPS 링크로 포함한다. HTTPS로 접속할 때는 TCP Three-way handshake와 별도로 TLS handshake 과정을 거친다. TLS handshake에 대한 설명..

문제 화면을 우선 확인해 주었다. 디버거 프로그램을 탐지하는 함수의 이름을 찾는 문제이다. 위의 프로그램을 실행해보았더니, 일정 시간마다 '정상'이라는 문자열을 출력해주었다. 이 프로그램은 디버거 프로그램을 감지한다고 하였기 때문에, 디버거 프로그램으로 위의 프로그램을 열어 실행시켜보았다. 그러자 일정 시간 마다 '디버깅 당함'이라는 문자열이 출력되었다. 함수의 이름을 찾아야 하기 때문에 [Search for]-[All intermodular calls]를 통해 프로그램의 모든 함수의 이름을 살펴보았다. 햠수 명들 중에서, 의심이 가는 함수 이름이 보인다. IsDebuggerPresent라는 함수이다. 이 함수는 안티디버깅 중의 한 방법이다. 위의 함수가 사용된다면, 디버거를 통해 프로그램을 분석할 수 ..

문제를 실행하면 ? 부분에 Flag로 보이는 문자열들이 빠르게 지나가는 것을 확인할 수 있다. 이것을 확인해주고, 바로 소스코드를 확인해주었다. answer() 함수가 중요한 역할을 하는 것 같다. 이 함수를 조작하면 문자열이 전부 나올 수 있도록 할 수 있을 것 같다. 그래서 저 함수 부분을 복사해 다시 문제 화면으로 돌아와 console에 붙여넣어주었다. 그리고 함수를 약간 변형해주었다. 30번째 줄의 aview.innerHTML = x.responseText;에서 문자열을 출력하는 것이라고 생각해 = 대신에 +=을 사용해 주었으며, 33번 줄의 ? 는 필요 없는 부분인 것 같아 전체를 지워주었으나, 그러면 무언가 때문인지 오류가 생겼다. 그래서 조건문 뒤의 실행 부분만 지워주었다. 그리고 실행을 해..

OEP를 구하면 되는 문제기에 바로 디버거로 열어주었다. 역시 PUSHAD로 패킹되어있는 것을 확인할 수 있다. 다른 문제들과 같이 upx를 이용해서 언패킹해준다. 그리고 다시 디버거를 사용하여 열어주면 OEP를 확인할 수 있다.