목록전체 글 (285)
tmxklab
2021년 8월 6일 포스팅을 마지막으로 거의 1년 동안 포스팅도 안하고 블로그도 관리하지 않아서 언젠간 한 번 손봐야겠다고 다짐하지만 귀찮아서... ㅎㅎㅎ 관리가 잘 안되었던 것 같습니다. (사실 게을러서..ㅠㅠㅠ) 처음 블로그를 개설하게 된 이유에는 첫 번째로, 제가 잘 까먹기 때문에(ㅠㅠ) 블로그에 남들이 잘 이해할 수 있을 정도로 글을 쓰고 키워드로 검색하면 되기 때문이었고, 두 번째로, 제가 잘 정리한 글을 남들에게도 공유하고 싶은 마음이 컸기 때문이었습니다. 아무튼 계속해서 블로그를 운영해야겠다고 생각하였고, 새롭게 시작한다는 생각으로 블로그를 이전하려고 합니당 (뭐... 가끔 글 보면 코드 블럭 다 이상하게 되어 있고 그래서 심기 불편한 것두 있고...ㅋㅋㅋ) 현재 블로그는 그냥 유지만 하되..
1. EAT(Export Address Table) EAT(Export Address Table)는 라이브러리 파일에서 제공하는 함수를 다른 프로그램에서 가져다 사용할 수 있도록 해주는 핵심 메커니즘이다. 즉, EAT를 통해서만 해당 라이브러리에서 익스포트하는 함수의 시작 주소를 정확히 구할 수 있다. IAT와 마찬가지로 PE 파일 내의 IMAGE_EXPORT_DIRECTORY에 익스포트 정보를 저장하고 있다. IAT와는 달리 PE파일에 IMAGE_EXPORT_DIRECTORY 구조체는 하나만 존재한다. [ PE파일에서 IMAGE_EXPORT_DIRECTORY 구조체의 위치 ] IMAGE_OPTIONAL_HEADER32.DataDirectory[0].VirtualAddress 값이 실제 IMAGE_EXP..
IAT(Import Address Table)의 설명에 앞서 먼저 DLL에 간략히 알아보자. 0. DLL(Dynamic Link Library) 1) DLL DLL은 실행 파일에서 해당 라이브러리의 기능을 사용 시에만 참조하여 호출하는 방식의 라이브러리를 뜻한다. Static Link Library와 다르게 컴파일 시점에 실행 파일에 함수를 복사하지 않고 함수의 위치 정보만 가지고 해당 함수를 호출할 수 있게 도와준다. 즉, 프로그램에 라이브러리를 포함시키지 않고 별도의 파일(DLL)로 구성하여 필요한 함수만 불러쓴다. 이러한 방식의 장점으로는 여러 프로그램에서 동시에 사용할 수 있으며, 라이브러리가 업데이트되었을 때 해당 DLL 파일만 교체하면되므로 쉽고 편하다. 다만 실행 파일이 DLL에 있는 특정 ..
PE파일이 메모리에 로딩되었을 때 각 섹션에서 메모리의 주소(RVA)와 파일 옵셋을 잘 매핑해야 하는데 이러한 매핑을 'RVA to RAW'라고 부른다. 먼저 섹션 헤더의 구조체인 IMAGE_SECTION_HEADER에서 주요 멤버를 살펴보자 VirutalSize : 메모리에서 섹션이 차지하는 크기 VirutalAddress : 메모리에서 섹션의 시작 주소(RVA) SizeOfRawData : 파일에서 섹션이 차지하는 크기 PointerToRawData : 파일에서 섹션의 시작 위치 [ Process ] 1) RVA가 속해 있는 섹션을 찾는다. 2) 간단한 비례식을 사용해서 파일 옵셋(RAW)을 계산 [ 비례식 ] RAW - PointerToRawData = RVA - VirtualAddress RAW ..
1. 트위터(Twitter) Week in OSINT #2018-22 Last weeks edition was very well received, so I guess there really is no turning back any more! In that case, without further ado, here is this week’s “Week in OSINT”... laptrinhx.com 1) 트위터 정보 분석방법 트웨터에서 사용자 정보, 트윗/리트윗 정보, 위치정보가 주 수집 대상 Twitter Analytics for Tweets, Timelines & Twitter Maps | Social Bearing From Date - Any date - Today (23/07/2021) 1 day a..
1. 검색엔진을 활용한 위협정보 수집 1) 검색엔진 정보수집 활용 ① Google/Bing 검색엔진을 활용한 수집 특정 키워드(제품명, 모델명, 회사/부서명, 업무명, 파일명, URL 경로)를 이용하여 검색 참고로 Google과 Bing을 동시에 활용해야 한다. 왜냐하면 Google에서는 안나오는 것이 Bing에서 나올 수도 있기 때문이다. ② 트위터 해시태그(#)을 활용한 정보수집 트위터 검색창에서 해시태그 검색 사용빈도가 높은 키워드 #0day #RCE #CyberSecurity #Exploit #CyberBreach #Leaked DataBreach, CyberBreach 이런식으로 "Breach"라는 것을 붙이면 유출된 정보들을 확인할 수 있음 특히, 업무 중에서 악성코드를 분석하는 사람들은 샘플..
1. 휴민트 지능정보(HUMINT) 1) 휴민트 지능정보(Human Intelligence) 개요 ① 정보기관 및 기업 인적정보, 협력사 등 Supply Chain 대상 인적 정보 수집 기업 고위 임원(Clevel) 신상정보, 공무원, 국가기관 연구원 등 ② 사이버 보안, 범죄자 정보 수집 APT 해킹그룹, 해킹 공격 타겟대상 고위 임원, 각종 범죄관련 인적정보 ③ 주요 수집 경로 Linkedln : Email 주소, 이름, 소속회사, 프로젝트 수행 등 facebook : Real Name, 소속회사, 주변 친구 및 지인 정보 수집 Google / Bing : 검색을 통해 특정 회사 정보 수집 제안서 같은 거를 통해서 어떤 서버를 쓰는지 알 수 있음 메뉴얼을 알 수 있음, 이 말은 메뉴얼을 통해 서버에 ..
1. Cyter Threat Hunting 개요 1) 사이버 위협 헌팅(Cyber Threat Hunting)이란 OSINT를 활용하여 다양한 위협 정보를 찾는 보안 활동 OSINT는 인터넷 상에서 수집할 수 있는 모든 정보로써 대상과 범위가 한정되지 않음 2) 사이버 위협 헌팅에서 수집하는 위협정보 Leaked Resource : IT정보(관리자 페이지, 내부망 정보, DB 접속정보, 해킹 흔적) 해킹으로 유출된 자료 : DB Dump, 전자파일, 도면 등 Credential 정보 : AWS 키, Google Oauth Token, Naver/Kakao Credential 정보 개인정보 : 전화번호, 생년월일, UserID/Password, Email & Password 최신 취약점 공격(CVE-코드)..
1. 국내 1) KISA S/W 신규 취약점 포상 신고제 대상 : 국내 기업에서 제공되는 소프트웨어 KISA 인터넷 보호나라&KrCERT KISA 인터넷 보호나라&KrCERT www.boho.or.kr 2) 네이버 버그바운티 대상 : 네이버 웹 사이트(아래 링크 확인) Naver Bug Bounty 네이버 버그 바운티 프로그램은 네이버 서비스의 취약점을 조기에 찾아 사용자들에게 안전한 서비스를 제공하기 위한 프로그램입니다. 전 세계의 보안 전문가들의 도움으로 네이버 서비스의 bugbounty.naver.com 3) 웨일 버그바운티 대상 : 웨일 브라우저 Whale Bug Bounty 웨일 버그 바운티 프로그램은 웨일 브라우저의 취약점을 조기에 찾아 사용자들에게 안전한 서비스를 제공하기 위해 네이버에서 추..