Lhaaan

공급망 공격이란? 공급망 공격(value-chain attack) 또는 서드파티 공격(third party attack) 이라고 하는 공급만 공격은 자사의 시스템 및 데이터에 접속할 수 있는 외부 협력업체나 공급업체를 통해 누군가가 시스템에 침투할 때 발생한다. 거의 모든 기업이 외부 소프트웨어와 하드웨어를 사용하는데, 새로운 기술을 통해 구축을 시작하는 경우는 대부분 없고, 오픈소스를 통해서 구축하는 것을 대부분 선호한다. 하지만 애플리케이션의 취약점이 발생될 경우 굉장한 위험이 다르기 때문에 항상 모든 패치가 최신 상태여야 한다. 공급망 공격 피해 사례 공급망 공격의 대표적인 사례로는 ASUS 업데이트 서버 공격, 보안업체 Avast 서버 공격, MeDoc의 업데이트 서버 공격등이 있으며, 국내에서는..

개요 스피어피싱에 대해 알아보다가 심심해서 Chatgpt한테 물어보았다.. 스피어피싱은 "피싱(Phishing)"이라는 용어에서 파생된 말로, 인터넷 상에서 개인정보를 빼내기 위해 사람들을 속이는 사기 수법 중 하나를 가리킵니다. 스피어피싱은 일반적인 피싱보다 더 정교하게 설계되어 특정 개인, 기업 또는 단체를 목표로 합니다.스피어피싱은 신뢰도를 높이고 피해자를 속이기 위해 더욱 세심한 조사와 개인화된 정보를 활용하기 때문에, 주의가 필요합니다. 사용자는 의심스러운 이메일이나 메시지에 대해서는 신중히 대응하고, 절대 개인 정보를 유출하지 않도록 주의해야 합니다. 또한, 보안 솔루션을 이용하여 이러한 종류의 사기에 대비하는 것이 중요합니다. 스피어피싱에서는 공격자가 특정 목표를 정하고, 그 목표와 관련된 ..

APT 정의 Advanced + Persistent + Threat 지능적이고(Advanced) 지속적인(Persistent) 공격(Threat)을 가하는 해킹 공격입니다. 대부분의 악성코드는 빠르게 피해를 입히기 위해 피해 대상을 무작위로 선정해 공격하지만, APT는 이와 달리 보다 전략적인 방식으로 공격을 수행합니다. 공격자는 트로이 목마 또는 피싱과 같은 기존 악성코드를 통해 침입한 다음 비밀리에 이동하여 네트워크 전체에 공격 소프트웨어를 설치하면서 자신의 흔적을 숨깁니다. 백도어, 키로거 설치등의 목표를 달성하여 몇 년에 걸쳐 지속적으로 데이터를 추출합니다. APT 공격 프로세스 APT의 공격 프로세스는 크게 4가지로 분류해서 설명할 수 있다. [1] 1단계: 침투 공격자가 취약한 시스템이나 직원..

파일 구성 파일명: 5a3f1d14b9cc4890db64fbc41818d7039f25b0120574dcdec4e20d13e6b2740c.lnk 해시값 MD5: 7336068f2c5ed3ed154b6c8b1d72726a SHA-1: e72c90aedd2ef27226d891f464caec19635a6fd3 SHA-256: 5a3f1d14b9cc4890db64fbc41818d7039f25b0120574dcdec4e20d13e6b2740c lnk 파일 하나가 들어가 있음, 해당 파일은 html 파일로 위장하려고 icon을 엣지 이미지를 넣음 5a3f1d14b9cc4890db64fbc41818d7039f25b0120574dcdec4e20d13e6b2740c.lnk 해당 파일은 바로가기 파일로 되어 있으며, htm..

참고: https://wezard4u.tistory.com/6592 파일 구성 파일명: d245f208d2a682f4d2c4464557973bf26dee756b251f162adb00b4074b4db3ac.zip 해시값 MD5: ddd07976e889bfc58e2925cd22e5198a SHA-1: cabb494d8a2a36a3f653aa7900a14a921dccf05e SHA-256: d245f208d2a682f4d2c4464557973bf26dee756b251f162adb00b4074b4db3ac 총 3가지 파일이 들어가 있음 국세청 종합소득세 해명자료 제출 안내.hwp.lnk 바로가기 파일로 되어 있음 국채 및 통화안정증권 거래ㆍ보유 명세서(소득세법 시행규칙).hwp 근로소득지급명세서(개정안_2302..

파일 구성 파일명: 전라남도 코로나 바이러스 대응 긴급 조회.hwp 해시값 MD5: 8451be72b75a38516e7ba7972729909e SHA-1: 45de8115b49ef68915e868138c04da375dfb7096 SHA-256: 7050af905f1696b2b8cdb4c6e6805a618addf5acfbd4edc3fc807a663016ab26 바이러스 토탈 조회시 드롭퍼, 다운로더 진단명이 제일 많이 보이는 것을 알 수 있음 SSVIEW hwp파일의 OLE 객체 정보를 파싱해주는 도구로 내부 데이터를 뽑아낼 수 있다. .ps(포스트 스크립트) 파일이 있는 것으로 보아 해당 BIN0005.ps 파일이 악성 파일을 다운로드 하는 쉘 코드로 추정된다. BIN0005.ps compress 되어 ..

혹시라도 분석이 잘못되었거나 틀린 부분이 있다면 알려주세요. 참고: https://www.securonix.com/blog/detecting-ongoing-starkmule-attack-campaign-targeting-victims-using-us-military-document-lures/ 파일 구성 파일명: 미군 구인공고 웹사이트 주소 및 사용방법 안내.zip 해시값 MD5: 6277fee38a64f218291c73db5326e1bf SHA-1: 66515b6a0e09194511708c1057a62d767a11344f SHA-256: 7f4bb17b1011c05d206f62be4685384a4dba063bd29f55113442b58669b8c252 총 3가지 파일이 들어가 있음 Multi Natio..

이 문제는 type error와 uaf 취약점 2개를 이용해서 푸는 문제였다. main함수에서 PlayGame() 함수로 넘어가보자 FlightDragon 함수랑 SecretLevel 함수가 보인다. 이 함수로 넘어오면 shell을 실행할 수 있는데, 입력한 문자열과 Nice_Try 부분 문자열이 일치하는지 확인함, 근데 10글자밖에 못가져와서 이 부분은 사실상 의미가 없었다. 하지만 system("/bin/sh")를 실행하면 쉘이 실행될테니 해당 주소를 기억해두자 SecretLevel 함수를 확인해보면 0x08048dbf 함수에서 부터 system("/bin/sh") 함수가 실행되는 것을 알 수 있다. 이번엔 FlightDragon 함수 로직을 파악해보자. 간단하게 확인해보면 캐릭터를 생성해서 용이랑 ..

20byte를 받아서 check_password함수에서 정수형 포인터를 통해 4바이트씩 읽어서 더하는 것을 알 수 있었음 끝에서 hashcode랑 비교를 하게 되는데, 0x21DD09EC랑 일치해야 플래그 값이 출력됨 0x21DD09EC를 임의로 5등분 하게 되면, 이런식으로 나옴 06C5 CEC8 / 06C5 CEC8 / 06C5 CEC8 / 06C5 CEC8 / 06c5 CECC 그러면 이걸 더해서 20바이트 맞춰주면 될거라 생각함 근데 여기서 뻘짓 했던게 ascii 테이블에 있는 문자로 치환해서 넣어야 겠다라고 생각해서 조금 뻘짓을 하게됨.. 일단 어셈블리 상으로 보면 check_password+39 부분에서 ebp-0x8에 eax를 다 더하고 나중에 그 값을 eax로 옮긴 뒤 리턴하는 것을 볼 수..

fd에 대해서 알고 있는지 물어보는 문제 read를 통해 buf에 할당하고 있는데, fd를 0으로 맞춰줘야함 그렇다면 read함수의 fd를 0으로 맞춰주면 됨 fd는 첫번째 인자에서 0x1234를 빼게됨 그럼 인자에 0x1234(10진수: 4660)를 주게되면 fd가 0으로 할당되고, buf에 값을 할당 가능 buf에 값을 LETMEWIN으로 맞춰주면 플래그가 출력됨 4660 입력 후 LETMEWIN 입력하니까 플래그 출력!