취약점 진단 등의 업무로 PC 등의 시간을 표준시각으로 맞추어야 될 경우가 가끔씩 발생한다.
이 같은 경우 한국표준과학연구원(KRISS)에서 무료로 배포하고 있는 UTCk 3.1을 다운로드 받아 동기화하면 된다.
UTCk3.1을 설치 한 후 실행하고 나서 비교 버튼을 클릭하면 다음과 같다.
내 노트북이 한국 표준시각 보다 0.523초 빠르다.
동기 버튼을 클릭하면 표준시각을 맞추어 준다.
오차를 줄일려면 동기 버튼 몇번 더 눌러주면 오차 시간이 줄어든다.
다운로드 : http://www.kriss.re.kr/standard/view.do?pg=standard_set_01
| [Process Explorer] 윈도우 프로세스 분석 도구 (0) | 2017.05.09 |
|---|
| [K-ISMS 인증기준] 정보보호관리과정 2. 경영진 책임 및 조직구성 (0) | 2017.06.13 |
|---|---|
| [K-ISMS 인증기준] 정보보호관리과정 1. 정보보호정책수립 및 범위설정 (0) | 2017.06.13 |
| [K-ISMS 인증기준] 정보보호관리과정 #ALL (0) | 2017.06.12 |
| [정보통신망법] 개인정보의 기술적관리적 보호조치 기준 (0) | 2017.06.12 |
| [개인정보보호법] 개인정보의 안전성 확보조치 기준 해설서 (0) | 2017.04.09 |
UNIX에서 작업을 가끔씩 할일이 있는데, UNIX 엔지니어들은 모든 설정을 default로 구성하고 관리하는 경우가 많다.
덕분에 shell 에서 backsapce가 ^?^?^? 처럼 제대로 동작하지 않는 경우가 많다.
다음의 명령어를 이용하여 [shift] 키나 [ctrl] 키와 [backspace] 키를 눌러 실수한 명령어를 삭제하는 귀차니즘에서 벗어나자...
$ stty erase [press the backspace key] [enter]
[이미지 추가]
| [DNS 캐시] 윈도우 DNS 캐시 삭제하기 (0) | 2017.05.24 |
|---|---|
| [SMTP] open relay smtp 서버 점검하기 (0) | 2017.04.06 |
| [terminal] putty 화면 깨짐 복구 (0) | 2017.04.02 |
| [Apache] HTTP Method 제한 (0) | 2017.04.01 |
| [VI] UNIX에서 vi사용중 ESC키가 적용되지 않을때 (0) | 2017.04.01 |
putty 사용시 binary 파일을 cat 으로 읽거나 bof 같은 작업 중 터미널 화면이 깨지는 경우가 종종 가끔 있다.
[이미지 추가 필요]
이 경우 다음과 같은 명령어로 터미널의 복구가 가능하다.
$ stty sane
[이미지 추가 필요]
| [DNS 캐시] 윈도우 DNS 캐시 삭제하기 (0) | 2017.05.24 |
|---|---|
| [SMTP] open relay smtp 서버 점검하기 (0) | 2017.04.06 |
| [stty] UNIX에서 backspace 키 설정 (0) | 2017.04.02 |
| [Apache] HTTP Method 제한 (0) | 2017.04.01 |
| [VI] UNIX에서 vi사용중 ESC키가 적용되지 않을때 (0) | 2017.04.01 |
최초작성일 : 2015/05/05
취약점 신고 3번째
| Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271, CVE-2017-3506) (1) | 2018.02.01 |
|---|---|
| [Apache Struts] Apache Struts2 취약점 CVE-2017-5638(S2-045) 개요 및 실습 (0) | 2018.01.17 |
| [취약점 신고] K정보원 기능 수준의 접근통제 누락 (201505, 기관요청 비공개) (0) | 2017.05.09 |
| [취약점 신고] N사 XSS 취약점 신고 #2 (0) | 2017.04.01 |
| [취약점 신고] N사 XSS 취약점 신고 #1 (0) | 2017.04.01 |
최초작성일 : 2014/09/13
취약점 신고 2번째
| Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271, CVE-2017-3506) (1) | 2018.02.01 |
|---|---|
| [Apache Struts] Apache Struts2 취약점 CVE-2017-5638(S2-045) 개요 및 실습 (0) | 2018.01.17 |
| [취약점 신고] K정보원 기능 수준의 접근통제 누락 (201505, 기관요청 비공개) (0) | 2017.05.09 |
| [취약점 신고] N사 XSS 취약점 신고 #3 (0) | 2017.04.01 |
| [취약점 신고] N사 XSS 취약점 신고 #1 (0) | 2017.04.01 |
최초작성일 : 2014/08/25
| Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271, CVE-2017-3506) (1) | 2018.02.01 |
|---|---|
| [Apache Struts] Apache Struts2 취약점 CVE-2017-5638(S2-045) 개요 및 실습 (0) | 2018.01.17 |
| [취약점 신고] K정보원 기능 수준의 접근통제 누락 (201505, 기관요청 비공개) (0) | 2017.05.09 |
| [취약점 신고] N사 XSS 취약점 신고 #3 (0) | 2017.04.01 |
| [취약점 신고] N사 XSS 취약점 신고 #2 (0) | 2017.04.01 |
1. 온라인 분석 결과
1.1 VirusTotal 분석 결과 (https://www.virustotal.com)
1.1.1 악성 코드 진단 명
AVG Win32/Chir.B@mm
AhnLab-V3 Win32/ChiHack.6652
Avast Win32:Runonce [Trj]
ClamAV WIN.Worm.Brontok
Kaspersky Email-Worm.Win32.Runouce.b
McAfee W32/Chir.b@MM
1.1.2 악성코드 첫 분석 날짜
2011-01-2506:31:19
1.3 해당 악성 파일의 분석 자료는 구글 참고
2. File 분석
2.1 파일 생성
C:\WINDOWS\system32\runouce.exe 파일 생성
runouce.exe 파일 확인
디스크의 htm 파일이 존재하는 폴더 위치에 readme.eml 파일 생성
2.2 파일 변조
디스크의 exe 파일들을 찾아서 변조함
<현재 변조된 exe 파일 해당 글에서는 분석 제외>
디스크의 htm 파일들을 찾아서 변조함
아래와 같이 htm 파일 하단에 script를 삽입하여 htm 파일 실행 시 readme.eml을 실행하도록 구현함
2.3 실행되는 파일
runouce.exe 실행
- runouce는 exe, htm 파일들을 변조하고, 디스크의 디렉토리에 eml 파일을 생성
- 같은 subnet의 쓰기 가능한 공유 폴더를 찾아 eml 파일을 생성함
- Process kill을 방지하고. 부팅시 자동실행할 Registry가 삭제될경우 복구를 수행
- 재부팅 시 마다 실행됨
3. Registry 분석
3.1 Registry 등록
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Runonce에 runouce.exe 를 등록하여 부팅시 마다 자동실행
4. Network 분석
4.1 공유디렉토리 접근
같은 subnet의 모든 공유 디렉토리를 검사하여 패스워드 없이 쓰기가 허용된 공유 폴더에
<ComputerName>.eml 파일을 생성함
- 해당 eml 실행시 첨부파일에 악성코드가 삽입되어 있음
- script가 실행되는 환경이면 자동 실행 시도함
5. 백신 검사
5.1 eml 파일 백신 검사
eml 파일 ALYAC으로 검사했지만 악성코드로 인식하지는 않음
- 변조된 exe 파일 및 runouce.exe 파일은 악성코드로 인식
5.2 eml 파일 일부 내용
| [실전 악성코드와 멀웨어 분석] 실습 1-2 (0) | 2017.05.12 |
|---|---|
| [실전 악성코드와 멀웨어 분석] 실습 1-1 (0) | 2017.05.07 |
HTTP Method 제한을 할 경우 다수의 문서에서 다음과 같이 하라고 되어 있다.
<Directory />
<LimitExcept GET POST> // 해당 Method 이외는 모두 차단
Order deny,allow
Deny from all
</LimitExcept>
</Directory>
또는
- 차단 방식
<Directory />
<Limit PUT DELETE CONNECT OPTIONS> // 해당 메소드 이외는 모두 허용
Order deny,allow
Deny from all
</Limit>
</Directory>
영문 자료들도 마찬가지지만.. 직접 해보면 잘 않된다.. -_-
<LimitExcept GET POST>
deny from all
</LimitExcept>
이런식으로 하면 먼가 될 듯하면서... 오류는 발생하지 않고 마치 GET Response를 발생시킨다.
깔끔하게 mod_rewrite를 사용하면 되겠지만, 사용하지 못할 경우 다음과 같이 하자
<Limit OPTIONS>
Require valid-user
</Limit>
이렇게 설정하면 OPTIONS Method를 요청하면 500 Error 가 발생하면서 해당 Method의 사용이 차단된다.
| [DNS 캐시] 윈도우 DNS 캐시 삭제하기 (0) | 2017.05.24 |
|---|---|
| [SMTP] open relay smtp 서버 점검하기 (0) | 2017.04.06 |
| [stty] UNIX에서 backspace 키 설정 (0) | 2017.04.02 |
| [terminal] putty 화면 깨짐 복구 (0) | 2017.04.02 |
| [VI] UNIX에서 vi사용중 ESC키가 적용되지 않을때 (0) | 2017.04.01 |
최초 작성일 : 2015/05/13
Codeengn Basic REC Level 05 풀이
ISMS+인증기준+세부점검항목+%282013.5.15%29.xlsx
