분류 전체보기 (550) 썸네일형 리스트형 [2021/02/09] bandit wargame Level 0 ~ Level 3 Level 0 목표 : bandit.labs.overthewire.org 에 접속하기 ssh : 네트워크 상의 다른 컴퓨터에 로그인하거나 원격 시스템에서 명령을 실행하고 다른 시스템으로 파일을 복사할 수 있도록 해주는 프로토콜 접속 명령어 : ssh 아이디 @ 주소 -p 포트번호 ssh bandit0@bandit.labs.overthewire.org -p 2220 level0 → level1 $ls -l 리눅스의 기본 명령어 중 ls는 “List Segment”의 약자로 파일 및 디렉토리를 표시하는 기능을 한다. ls 명령어 옵션 중에 파일의 상세 정보를 출력하기 위해서 “-l” 옵션을 사용하고, 숨김 파일까지 모두 확인하기 위해서는 “-a” 옵션을 사용한다. $cat readme cat 명령어 [파일이.. [2021.02.23] 6회차 - 공격 시나리오별 특성 추출에 따른 분류 및 결론 [KISA 연구보고서] "임베디드 리눅스 기반 IoT 기기 악성코드 분석 기술 연구" - 제 5절 공격 시나리오별 특성 추출에 따른 분류 시나리오 별 하드웨어 사용량 특성 분석 전체 데이터에서 시나리오에 따른 데이터의 분포를 분석, 주성분 상관 분석을 통해 데이터의 차원 축소를 진행한다. 불필요한 특성 제거, 데이터 구분을 위핸 최소한의 데이터 특성을 파악한다. 가. 정상 작동 (1)Sensing : 정상 작동 중 센서를 통한 정보 수집 및 전송에 따른 데이터 분포 >> 정상적인 동작 시 데이터 센싱 값 전송에 따른 수치가 변화에 영향을 많이 받는다. (2)Firmware Upgrade & Update 나. 비정상 작동 Scanning Scanning데이터는 IoT Malware에서 IoT디바이스 공격을.. [2021.02.20] 5회차 - 데이터 특성 선정 및 분류 실험 [KISA 연구보고서] "임베디드 리눅스 기반 IoT 기기 악성코드 분석 기술 연구" 제 4장 실험 및 분석 - 제 1절 악성코드 특성 선정을 위한 실험 환경 1. IoT Malware 선정 및 공격 특성 : 각 공격에 따라서 환경에 대한 정리와 동작방식을 기준으로 분석 실시 : bot - DDoS 및 정보 전송을 위한 메모리, 네트워크 사용량의 변과 : cryptojacking - CPU, GPU 사용량이 높아짐 2. 데이터 가공 및 분석 가. 데이터 전처리 : 데이터 분포를 분석하고 데이터를 필터링 하는 과정을 거친다. 각각의 특성에 따라 범위가 다르기 때문에 특성 을 분석하기 어렵다. 데이터를 일반화하기 위해 사이킬런의 proprocess의 Transform을 이용하여각각 다른 특성의 수치를 0~1.. [2021.02.18] 4회차 - IoT 기기 모니터링 도구 구현 [KISA 연구보고서] "임베디드 리눅스 기반 IoT 기기 악성코드 분석 기술 연구" 제 3절 IoT 기기 모니터링 도구 구현 IoT 기기 모니터링 함수별 분류 가. 데이터 수집 getProcstats() 첫 번째 필드: CPU Core 번호 두 번째 필드: USER MODE에서의 실행 시간 세 번째 필드: SYSTEM MODE에서의 실행 시간 네 번째 필드: 낮은 권한의 USER MODE에서의 실행 시간 다섯 번째 필드/여섯 번째 필드: I/O 완료 아닐때의 대기 시간과 완료 대기 시간으로 IDLE 테스크의 JIFFIES(system timer interrupt) 소모 값 일곱 번째 필드/여덟 번째 필드: HARD INTERRUPT, SOFT INTERRUPT 마지막 필드: ZERO(끝을 의미) get.. [2021/02/16] 3회차 - 임베디드 리눅스 busybox 분석 [KISA 연구보고서] "임베디드 리눅스 기반 IoT 기기 악성코드 분석 기술 연구" 제 4절 악성코드 감염단계별 동작 정리 IoT 디바이스 대상 공통 공격 특성 디바이스를 감염시키는 단계는 총 6단계로 나눌 수 있다. 1) Connect 공격자는 C&C 서버를 이용하여 공격 대상 및 서버를 제어하며 SCAN, Loader 서버를 사용하여 공격을 진행한다. 2) Scan 서버는 IoT 디바이스를 검색하는데 사용된다. 이때 pw와 ID Port를 검색하게 되며, 알려진 취약한 정보를 수집한다. 3) IoT 기기로부터 수집된 정보는 C&C 서버로 전달되게 된다. C&C 서버는 기기의 정보를 저장한다. 4) C&C 서버는 Loader 서버를 이용하여 감염시킬 대상의 공격의 특성에 대한 공격을 지시한다. 5) .. [2021.02.11] 2회차 - 크립토재킹(CryptoJacking) [KISA 연구보고서] "임베디드 리눅스 기반 IoT 기기 악성코드 분석 기술 연구" 크립토재킹(CryptoJacking) 크립토재킹의 개념은 개인기기를 해킹해서 가상화폐 채굴에 악용하는 악성코드이며,가상화폐와 함께 이슈가 되고 있는 악성코드이다. 대부분 가상화폐의 경우,암호화된 문자열을 제시한다. 가장 먼저 해독한 사용자에게 가상화폐를 제공한다. 아래의 프로세스는 비트코인의 채굴 과정을 정리한 것이다. “8a3a41b85b8b29ad444def299fee21793cd8b9e567eab02cd81” 암호값이 주어진다. 채굴자는 ‘무작위 대입법’ 으로 암호화 값을 해독한다. 해독 대가로 채굴자는 비트코인을 얻는다. 가. 크립토재킹 원리 공격자는 악성코드를 시스템의 취약점을 통해 침투한 후 실행 및 유포한다.. [2021/02/11] 1회차 - 기존 IoT 기기 악성코드 분석 기술 [KISA 연구보고서] "임베디드 리눅스 기반 IoT 기기 악성코드 분석 기술 연구" (2018. 12. 06) 제 1장 연구개요 제 1절 연구 배경 및 동향 최근 IoT 시대에 맞추어 다양한 디지털 기기들의 보급화, 대중화가 이루어지고 있다. 다양한 종류의 IoT기기들은 다양한 사이버 범죄에 악용되고 있고, 공격 수법 또한 갈수록 지능적이고 복합적으로 변하고 있다. 기존의 IoT Malware 탐지에 대한 다양한 연구는 대부분 웹 로그 분석/ 비전문적인 독립 연구원들의 인사이트에 의한 것으로 비과학적이다. IoT Malware는 범위가 넓을 경우 다른 유형의 Malware도 포함되고, 좁을 경우 단 하나 또는 몇 가지의 IoT의 IoT Malware 변종을 설명할 수 밖에 없다. 제 2절 과제의 필요성.. [2021.03.20] 리버싱을 활용한 디버거 플러그인 개발 1 DLL이란? -Dynamic Linking Library라는 의미로, LIB처럼 실행파일에 종속된 개념이지만 프로그램이 실행될 때 해당 DLL파일을 연결해서 실행하게 된다. -> 즉, 파일이 수정 되더라도 해당 DLL파일을 사용하는 실행 파일은 수정하지 않아도 된다. 참고: https://blog.naver.com/PostView.nhn?blogId=tipsware&logNo=221359282016&parentCategoryNo=&categoryNo=83&viewDate=&isShowPopularPosts=true&from=search -플러그인은 기본적으로 DLL 형식으로 제작되어야 한다. DLL 프로젝트를 구성한 뒤, OllyDBG 라이브러리를 링크하고 필수적인 익스포트 펑션을 선언하여 기능을 구성하.. 이전 1 ··· 54 55 56 57 58 59 60 ··· 69 다음
