0++

uptx.egloos.com

포토로그 마이가든



대화명을 좀 어렵게 써야 하나?

'uptx' 라는 대화명이 흔히 사용되는 대화명은 아닌데.. 좀 당황스러운 일을 겪었습니다.
심심해서 네이버에 제 닉네임 'uptx'를 검색해봤습니다.  uptx00 이라는 대화명을 사용하는 사람도 있는 거 같고요.. 
그런데 [웹문서] 항목에 보면 디씨인사이드에서 'UPTX'라는 단어가 검색된 것을 확인할 수 있습니다.

http://gall.dcinside.com/list.php?id=comedy_new&no=6606865
http://gall.dcinside.com/list.php?id=comedy_new&no=6606921

글 내용을 보니 어떤 사람이 'UPTX' 라는 닉을 사용해서 키보드 워리어 짓을 한 것을 볼 수 있습니다. 아.. 이게 흔한 닉은 아닌데 저 사람은 어쩌다가 'UPTX' 라는 닉을 사용하게 되었는지 당황스럽네요.

등록된 사용자는 아닌 것으로 봐서는 글을 쓸 때만 사용한 닉 같습니다. 비번이라도 때려맞혀서 지우고 싶은데 여의치 않군요;;

 

Managed Code Rootkit (ReFrameWorker) security


예전에 .NET Framework Rootkit 에 대해서 포스팅을 한 적이 있습니다. .NET Framework 라이브러리를 수정해서 특정 명령어를 실행하는 방법인데요 
예를 들면 Console.WriteLine 함수를 처리하는 mscorlib.dll 파일을 수정해서 특정 프로그램이 Console.WriteLine() 를 실행하면 원격으로 reverse shell을 전달하는 방식이 되겠습니다.

얼마전에 Managed Code Rootkit 이라고 해서 내용을 좀 더 보강하고 툴(그때는 .NET Sploit 이었습니다)을 새로 배포했습니다.
ReFrameworker 라는 도구인데요. 예전 버전과 다른점은 겉으로 보이긴 몇 가지 payload가 더 추가 된 정도로 보입니다.

Managed Code Rootkit 에 관련된 자료는 아래 링크에서 확인할 수 있습니다. (PPT, 프로그램 소스, etc)

조만간 책도 나온다고 하는군요.

[C#] WMI via C# programming


C#에서 WMI를 사용하는 예제입니다. WMI로 프로세스 목록을 얻는 부분에 대해 검색하다가 찾은 링크입니다.
C#에서 제공하는 Process 클래스를 쓰지 않고 WMI로 접근한 이유는 WMI로 접근하면 실행된 프로세스에 딸려있는 인자 (CommandLine) 를 함께 볼 수가 있습니다.

소스가 조금 이해하기 난해하게 쪼개져 있습니다. (interface 정의하고, 상속받고, 구현하고.. 뭘 이리 복잡하게 해놨는지ㅋ)
이런걸 구조적이라고 하는지는 모르겠습니다. 

How To: (Almost) Everything In WMI via C# Part 2: Processes

Logon Types EventLog


528, 540번 이벤트로그에 남는 Logon Type 에 대한 설명.  MS에서 알려주는 내용보다 훨씬 낫다!
http://www.windowsecurity.com/articles/Logon-Types.html



Malware in XLS, PDF.. etc. security


악성코드를 담고 있는 문서 파일(PDF, XLS 등)에 대한 분석관련 문서입니다.

http://blogs.sans.org/computer-forensics/2009/11/23/extracting-vb-macros-from-malicious-documents/
http://zeltser.com/reverse-malware/analyzing-malicious-documents.html
http://security-labs.org/origami/
http://esec.fr.sogeti.com/blog/index.php?2009/07/06/70-is-this-pdf-malicious
http://www.snort.org/vrt/vrt-resources/officecat

MS에서 제공하는 OffVis(Office Visualization Tool) 라는 도구도 있습니다.
http://blogs.technet.com/srd/archive/2009/07/31/announcing-offvis.aspx

의심스러운 파일에 대한 빠른 조사는 OfficeMalScanner를 이용하는 것이 좋을 것 같고 문서의 구조를 파악하는데에는 OffVis를 이용하는 게 좋겠습니다. 
OfficeCat를 이용해 위의 첫번째 링크에 있는 샘플파일을 조사해봤더니 바로 죽습니다(Crash). 훌륭하네요.


-- update  --

PDF malware analysis

Analyzing a Malicious PDF File (동영상)

[.NET] .NET protector programming


최근에 .NET 보호도구(obfuscation, encryption)에 대해서 좀 찾아봤습니다. 
.NET protectionxenocodedotNET Protector, NETZ, codewall  ...    대부분이 상용으로 판매를 하고 있더군요.
이 중에서 NETZ만 유일하게 open source로 소스를 공개하고 있네요. 

검색을 하다가 보니 재밌는 것을 발견했습니다. 
이 분야에서 xenocode 가 상당한 입지를 가지고 있는 것 같은데요.  
또 다른 제품인 dotNet Protector 의 개발자인 pvlog 가 xenocode로 보호된 .NET 파일을 보호해제 하는 방법을 공개합니다.
(pvlog는  www.reteam.org 의 주인장 인 것 같네요..  주인장인지 유저인지는...)
자세한 내용은 rongchaua 라는 사람이 동영상과 샘플코드를 자신의 블로그에 올렸습니다. 
http://rongchaua.net/security-mainmenu-28/13-dotnet/123-how-to-unpack-xenocode

재밌네요.  힙합에서 상대방을 까는 '디스' 가 생각납니다.

xenocode를 다운로드 받아서 사용해봤는데요 VS.NET 에서 제공하는 obfuscation 기능을 먼저 적용하고
xenocode의 Protector 기능을 같이 적용하면 나름 강한 보호장치가 되겠다는 생각이 들더군요.

Windows 환경에서 프로그래밍을 하는 데 있어서 .NET은 상당한 개발 편리성을 제공하더군요.
XP를 이후의 제품들 ( Windows 2003 / VISTA / 2008 / 7 )은 버전 차이는 조금씩 있지만 모두 .NET framework을 기본으로 탑재하고 있기 때문에
.NET Framework 2 를 기준으로 개발한 어플리케이션은  .NET을 같이 설치할 필요없이 구동이 가능합니다.
따라서, 앞으로 Windows를 기반으로 하는 상당히 많은 어플리케이션이  .NET 기반으로 작성될거란 생각이 드네요.

공부를 좀 해놔야 할 필요성을 느껴서 문서도 좀 찾아보고 있습니다.
괜찮은 문서나 링크가 있으면 추가하겠습니다.

- Reversing .NET
   http://www.reteam.org/papers.html  (영문)
   http://mocker2080.tistory.com/202     (한글)

- 8 Ways To Protect And Obfuscate Your .Net Code Against Reverse-Engineering Using Crypto Obfuscator


아! xenocode의 기능 중에는 .NET Runtime 을 붙이는 기능이 있습니다.
이 기능을 이용하면 .NET 이 없는 환경에서도 .NET 으로 개발된 파일을 돌릴 수 있도록 해줍니다.
간단히 "hello, world" 를 출력하는 프로그램으로 테스트를 해보니..  12메가가 되더군요..  :-)

Browser Sandbox - Run any browser from the web security


Browser sandbox 만 따로 웹에서 서비스를 하는 곳이 있네요.
http://spoon.net/browsers/

원래는 Xenocode에서 제공하는 서비스였는데 spoon이라는 회사로 독립을 한 것 같네요.
접속 후에 내가 원하는 웹 브라우저를 선택해서 사용할 수 있습니다.   IE, Firefox, Chrome, Opera, Safari 서비스를 합니다.

지금 IE 8로 들어와서 글 남깁니다.


1 2 3 4 5 6 7 8 9 10 다음