securityse lab

NTFS MFT(Master File Table) 취약점

개요

NTFS는 MS에서 개발한 윈도우 NT 계열 운영체제를 위한 파일시스템

MFT는 각 파일과 디렉터리의 메타데이터가 저장됨

NTFS에 대한 구조는 아래 URL을 참고하자

출처 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=19518&menu_dist=2

해당 MFT안에 임으의 파일에 접근(Access)을 하면 운영체제가 Crash 되는 단순한 취약점이 발견되었음

예를 들어 C:\$MFT\foo 처럼 마스터 파일 테이블의 임의의 파일인 foo에 접근(Access)을 하면 

NTFS Volume dirver가 Hang이 발생되어 운영체제가 다운 되는 증상이 나타나게 됨

- 이를 웹 사이트에 삽입하면 방문자들의 PC를 다운시키는 등으로 악용할 수 있음

[ 이미지 추가 : MFT의 임의의 파일에 접근하게 되면 윈도우즈가 아무런 반응이 없고 커서가 계속 로딩하듯이 돌아간다.

  윈도우 종료, 실행 등 아무것도 할 수 없는 Crash 상태가 됨 - Test환경 : Windows 7 Home Prem K OA ]

영항 

시스템 다운 - BSOD(Blue Scrren Of Death), Crash

영향받는 운영체제

Windows Vista, Windows 7, Windows 8.1

해결책

2017.6.2 현재 MS의 패치가 출시되지 않았음

Windows 10은 영향 없음

원문으로 추정되는 글 - 러시아어

https://habrahabr.ru/company/aladdinrd/blog/329166/

참고글

https://techxplore.com/news/2017-05-ntfs-bug-sites-windows.html

https://ko.wikipedia.org/wiki/NTFS - NTFS

참고기사

http://www.boan24.com/news/articleView.html?idxno=6883

윈도우 DNS 캐시 삭제하기

DNS 서버에 Sub domain의 ip 를 변경을 했을 경우 DNS 서버의 캐쉬가 만료되었을 시간이 지났음에도 

ping 확인 시 변경 전 ip가 뜨는 경우가 있다.

ex) Sub domain ip 변경 예제

www.domain.net 192.168.0.2 -> www.domain.net 192.168.0.3

이럴경우 PC의 DNS 캐시를 삭제하고 재확인 해보면 된다.

시작 > 실행 > cmd > ipconfig /flushdns 입력

PC의 DNS 캐시가 삭제된다.

워너크라이(WannaCry) 랜섬웨어 복구 도구

Tool : wanakiwi

URL : https://github.com/gentilkiwi/wanakiwi/releases

Download1 : 7z type - https://github.com/gentilkiwi/wanakiwi/releases/download/0.1/wanakiwi.7z

Download2 : zip type - https://github.com/gentilkiwi/wanakiwi/releases/download/0.1/wanakiwi.zip

참고 URL

- 워너크라이(WannaCry) 랜섬웨어 참고 자료 : http://securityse.tistory.com/44

- 워너크라이(WannaCry) 랜섬웨어 복구 정보 : http://securityse.tistory.com/45

워너크라이(WannaCry) 랜섬웨어 복구 정보

워너크라이(Wanna Cry) 랜섬웨어에 감염된 파일을 일부 복구할 수도 있다는 포스팅이 2017/5/19일 포스팅 되었다.

제목 : Tool can decrypt some files in WannaCry ransomware attack

원문 : http://thehill.com/business-a-lobbying/334205-tool-decrypts-wanna-cry-files-some-operating-systems-some-times

원문에도 보이지만 다만 조건이 있다.

Windows XP/2003/7 이어야 하고 리부팅해서는 않된다. 이유는 컴퓨터 메모리에서 복구 키를 찾기 때문이다.

원문 : Windows XP 2003 and 7 computers that have not been rebooted. 

        WannaKiwi works by searching computer memory for remnants of the decryption key

복구 도구명 : WannaKiwi

워너크라이(WannaCry) 랜섬웨어 참고 자료

저번 주말부터 너무나 떠들석 했던 워너크라이 랜섬웨어에 대해서 간단하게 정리했음

종전 랜섬웨어가 일반적으로 수동적이었던것에 비해 이번 워너크라이는 Worm의 속성을 가지고 있어서 감염된 PC에서 스스로 전파 공격을 시도하다보니 전세계적으로 피해가 속출하고 있음

1. 보도자료

https://www.kisa.or.kr/notice/press_View.jsp?mode=view&p_No=8&b_No=8&d_No=1557 - 윈도 취약점을 통해 유포되는 랜섬웨어 피해 주의 당부

※ 포털, 구글등에서 "워너크라이", "랜섬웨어" 등의 단어를 검색하면 다양한 정보를 수집할 수 있음

2. 워너크라이 랜섬웨어 소개 및 분석

워너크라이(WannaCry) 또는 워너크립트(WannaCrypt)[2], WanaCrypt0r 2.0는 2017년 5월 12일부터 등장한 랜섬웨어 멀웨어 툴이다. 2017년 5월 12일부터 대규모 사이버 공격을 통해 널리 배포되었으며, 전세계 99개국의 컴퓨터 12만대 이상을 감염시켰다.[3] 감염된 컴퓨터로는 20개의 언어로 비트코인을 지급하면 풀어주겠다는 메시지를 띄웠다.

- 위키백과

https://ko.wikipedia.org/wiki/%EC%9B%8C%EB%84%88%ED%81%AC%EB%9D%BC%EC%9D%B4

- 나무위키

https://namu.wiki/w/%EC%9B%8C%EB%84%88%ED%81%AC%EB%9D%BC%EC%9D%B4?from=2017%EB%85%84%205%EC%9B%94%20%EC%9B%8C%EB%84%88%ED%81%AC%EB%9D%BC%EC%9D%B4%20%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4%20%EC%82%AC%ED%83%9C

- 안랩 ASEC BLOG

http://asec.ahnlab.com/1067

- Symantec (워너크라이(WannaCry) 랜섬웨어란 무엇인가)

https://www.symantec.com/connect/blogs/wannacry-2

3. SMB 취약점 공격 예방 요령 (KISA 보호나라, 대표자료)

- SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723

4. 대응방안

1) 보안 패치 (MS17-010) *** 가장 중요, 패치하면 취약점도 사라진다.

- https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?utm_source=t.co&utm_medium=referral 

  : Windows XP SMB 패치까지 첨부되어 있음

- https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

2) PC 앞단에 공유기가 있으면 어느정도 안전하다.

공유기는 NAT (Network Address Translation, 네트워크 주소 변환)으로 내부 네트워크를 보호한다.

내PC -> 공유기 -> 인터넷은 자유롭게 사용할 수 있지만

인터넷 -> 공유기 -> 내PC로 접근을 허락하지 않는다. (특별한 설정을 하지 않는 이상...)

마치 방화벽 같은 역할을 해주고 있으므로 공유기 뒷단이 이번 워너크라이 랜섬웨어 공격에는 어느정도 안전성을 보장해준다.

※ 워너크라이 랜샘웨어는 SMB 취약점(MS17-010)을 이용함으로 외부에서 내 PC의 SMB port로 연결되지 않는다면 일단 감염되지 않는다.

3) 윈도우 방화벽에서 SMB 차단

- KISA 보호나라 SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령 참고

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723

- SMB 취약점을 이용한 랜섬웨어 공격 주의 권고

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703

※ Windows 기능 설정 또는 해제에서 "SMB 1.0/CIFS 파일 공유 지원" 기능을 제거할 경우 "윈도우 공유 기능"을 사용할 수 없음

실전 악성코드와 멀웨어 분석 (Practical Malware Analysis) 실습 풀이

실습 1-2

Lab01-02.exe 파일을 분석하라

질문

1. Http://www.virusTotal.com/에 Lab01-02.exe 파일을 업로드하자. 기존 안티바이러스에 정의가 된 것과 일치하는가?

2. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가? 파일이 패킹돼 있다면 언패킹해보자

3. 임포트를 보고 악성코드의 기능을 알아낼 수 있는가? 그렇다면 어떤 임포트를 보고 알 수 있었는가?

4. 감염된 시스템에서 악성코드를 인식하는 데 어떤 호스트 기반이나 네트워크 기반의 증거를 사용했는가?

실습 풀이 보고서 : securityse_tistory_com_PMA_lab1-2.pdf

securityse_tistory_com_PMA_lab1-2.pdf

주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드 (2011)

주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드는 안전행정부(행정안전부)에서 2011년 최초로 공개하였다.

당시 이정도 수준의 취약점 진단 상세 가이드라인은 정보보호전문업체 소속이 아니면 쉽게 접하기 힘든 자료로써 

취약점 진단 분야에 저변을 확대한 계기가 되었을뿐만 많은 관련 연구 및 스터디에 도움이 된 자료로 평가 할 수 있겠다. (개인적으로..)

※ 이전에도 일부 취약점 진단 기준에 대해서 비공식적으로 공개된 자료도 있었지만 이 수준까지는 아니였었다. 

주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드 (2011) 다음과 같이 구성되어 있다.

- 유닉스 취약점 항목 상세 설명서

- 윈도우즈 취약점 항목 상세 설명서

- 보안장비 취약점 항목 상세 설명서

- 네트워크장비 취약점 항목 상세 설명서

2014년 버전과 비교하면 아무래도 미흡한 점이 많겠지만 두개의 자료를 비교해보는것도 학습에 좋을것이다.

원문 링크는 현 시점에서 알기는 힘들지만 안전행정부(행정안전부)에서 최초로 공개하였다.

기술적_점검항목(2011).pdf

윈도우 프로세스 분석 도구 - Process explorer

다운로드

https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx

윈도우의 프로세스들을 Tree 구조로 손쉽게 볼 수 있다.

프로세스를 클릭하면 DLL, Handle 정보를 확인할 수 있으며, Find 메뉴(Ctrl+f)를 사용하면 

DLL 이나 Handle을 소유하고 있는 프로세스 정보를 확인 할 수도 있다.

프로세스 선택 > 마우스 우클릭 > Properties를 선택하면 Process의 상세 정보를 확인할 수 있다.

해당 프로세스의 String 정보 출력 등 Process Explorer는 프로세스 정보를 확인하는데 막강한 기능을 자랑한다.

실전 악성코드와 멀웨어 분석 (Practical Malware Analysis) 실습 풀이

실습 1-1

이 실습은 Lab01-01.exe와 Lab01-01.dll 파일을 사용한다. 파일에 관한 정보를 얻으려면 1장에서 사용한 기법과 도구를 사용하고 다음 질문에 대답해보자

질문

1. http://www.VirusTotal.com/에 파일을 업로드한 후 보고서를 보자. 기존 안티바이러스 시그니처에 일치하는 파일이 존재하는가?

2. 이 파일은 언제 컴파일 됐는가?

3. 이 파일이 패킹되거나 난독화된 징후가 있는가? 그렇다면 무엇으로 판단했는가?

4. 임포트를 보고 악성코드 행위를 알아낼 수 있는가? 그렇다면 어떤 임포트인가?

5. 감염된 시스템에서 검색할 수 있는 다른 파일이나 호스트 기반의 증거가 존재하는가?

6. 감염된 장비에서 이 악성코드를 발견하기 위해 사용한 네트워크 기반의 증거는 무엇인가?

7. 이 파일의 목적은 무엇이라고 판단했는가?

실습 풀이 보고서 : securityse_tistory_com_PMA_lab1-1.pdf