본문 바로가기

몽땅보기

[후기] Forensic Challenge 2010-6(PDF분석) 후기 지난 2010년 말쯤 지인의 트윗을 통해서 알게된 작은 포렌직 챌린지를 접하게 되었어요.... 마침, 국내 모 컨퍼런스에서 주최하는 분석 해킹대회에 나름 국내 최초 PDF 문제출제라고 주장하면서 출제자로 참여하면서.... 나도 한번 챌린지에 도전해볼까 하는 흥미로 시작하게 되었지요.. ^^;; 처음엔 흥미로 시작했는데.... 별도의 리포트 포맷을 작성해야하고.... 언어가 딸리는 나에게 영문 작성이라 난관이 또 있었죠.. 하하하... 생각보다 D-Day가 짧아서 중간에 그냥 또 드랍해버리지 않을까 했는데... 다행히도 D-day 에 맞춰서 가벼운 맘으로 대충 써서 리포트까지 제출하게 되었습니다... 물론, 기본 문제만 풀고 보너스 문제 중 소스코드 같은 거는 Skip~~ 주의였지만...... 그렇게, 시.. 더보기
[시스템] Windows 7 8GB를 인식해?? 최근 늘 메모리에 허덕이던 환경을 벗어나 8G 라는 엄청난 사양의 PC를 받았습니다. 어후~~ 너무 부자여도 문제요.... 평소 하드웨어에 대한 정보가 희박한 저도 공부가 좀 필요하겠어요.. 관건은 Windows 7 Ultimate En 을 설치해서 8G를 다 사용할 수 있느냐..... 이거죠... 검색결과.. 일단은 일반적으로는 이렇더군요... 대부분의 여론은 32bit는 최대 4GB 까지니깐 그 이상을 쓸려면 64bit 를 사용해라......더군요... Sankom's Blog ----------------------------------------------------------------------- Windows 7 클라이언트 버전에서 32Bit는 최대 4GB 메모리, 64bit는 192GB 메.. 더보기
[Metasploit] Proxy 사용시 metasploit 업데이트 문제 최근 Proxy 환경을 사용하고 있는데.. 작업하는 데 가끔은 불편한 점들이 많더군요... 얼마전 metasploit 을 오랜만에 받아서 설치하고 업데이트하는데.... 업데이트가 에러가 나면 잘 되지 않았습니다........ 역시 Proxy 문제... --;;; 나뽀~ 나뽀~ [*] [*] Attempting to update the Metasploit Framework... [*] svn: OPTIONS of 'https://metasploit.com/svn/framework3/trunk': 서버에 접속할 수 없습니다.( https://metasploit.com) 다음과 같이 2가지만 주의하시면 Proxy 환경에서 metasploit framework 잘 쓸 수 있습니다... 하나. Subversion.. 더보기
[난독화풀기] MS10-018 & Dadong's JSXX 코드풀기 지인의 요청으로 간만에 난독화 코드를 풀어보네요.. 난독화 해제는 논리로 접근하는 게 좋지 않을까요??? 좀 무식하게 보일지라도???? ^^;;; 아무리 난다 긴다하는 코드라 할지라도 논리대로 따라가다보면 언젠가 끝에서는 화면에 뿌려야하기 때문에 최종적으로 뿌리는 부분이 어딜까 일단 코드를 막 쫓아가봐요.. 변수를 이리 저리 쪼개고~, 치환시키고~ , 절대 속지말고 꿋꿋하게 쫓아가다보면 아니 풀릴리 없건마는.... ㅋㅋㅋ 예전에 사람이 난독화를 눈으로 보고 판단하는 기준에 대해서 그려봤었던 이미지 하나 재미삼아 올려봅니다.. ^^;; 코드 전체를 노출하는 것은 아마두 법에 걸릴 것 같아서.... 다 보여드리고 설명을 드릴수가 없네요.... 혹시 난독화를 만나셔서 검색하시다가 우연히 마주친다면 도움이 되시.. 더보기
[여덟번째 거짓말]CVE-2010-3970 thumbnail image 취약점 2011년 새해가 밝았습니다.. 새해 첫 이슈는 요놈이 차지하는 군요... 해외언론과는 다르게 국내언론이나 사내에서도 크게 이슈화되지 않고 있는 건 좀 아쉽지만.. ^^;; LNK 취약점이 처음 나왔을 때 다들 시쿤둥 했었는데.. 스턱스넷에서 LNK 취약점이 사용된다는 사실이 알려지면서 엄청 관심의 대상이 되기 시작했죠.. --;; 어쩜 모든 이슈는 악성코드보다 취약점으로부터 시작될지도 모르는데 .... 이게 워낙 복불복이다 보니 상대적으로 악성코드보다는 취약점이 덜 관심의 대상이 되는 것 같아요.. 하하하하 이제 잡담은 이제 그만 하고 본격적으로 취약점에 대해서 살펴볼까요??? 취약점을 최초 발표한 Moti & Xu Hao 의 발표문건에는 매우 상세한 취약점 정보가 들어있었지만 실질적으로 POC가 공개.. 더보기
[일곱번째 거짓말] CVE-2010-3654 adobe reader/flash zeroday 취약점 이야기 Adobe 사에서 패치를 적용한다고 발표한 것 같은데... 나왔을라나..... --;;; 패치가 발표되기 전에 정리해서 올리려 했으나 꽤 시간이 흘러 버렸구낭..... 디버깅이 잘 되지 않아서 삽질 좀 했는데... 알고보니 버전 문제... --;;; 완벽한 분석은 아니지만 최근 발표되었던 CVE-2010-3654 Adobe Reader & Flash 제로데이 취약점 샘플에 대해서 정리해보자꾸나..... ^^;;; ( 더보기
[여섯번째 거짓말] CVE-2010-3982 인터넷익스플로러 제로데이 취약점 휴~~ 울릉도 여행을 다녀오자마자 너무 바쁜 하루하루를 보냈습니다. 많은 제로데이 취약점들이 튀어 나왔으나 이제서야 한 동안 미뤄두었던 빨간 거짓말 몇 자 적어봅니다. 지난 주 최근 발견된 CVE-2010-3962 인터넷익스플로러 제로데이 취약점을 이용한 실제적인 공격이 활성화되면서 다들 바쁜 움직임들을 보이기 시작했고.. 아마 다음주까지 이어지겠죠??? ^^;;; MS 측에서도 바쁘게 필드 소식을 수집하는 것을 보면 아마두 곧 OOB(긴급) 보안패치 소식이 나오지 않을까 하는 생각이 드네요... ^^ 바쁜 일정으로 상세하게 분석할 여유는 없었고.. 분석노트에 메모해 두었던 내용들을 살짝 정리해 보려 합니다. 스크립트 레벨로 취약점을 확인해 본 결과, 아래 빨간색부분이 실제로 취약점을 발생시키는 원인이 .. 더보기
[다섯번째 거짓말] CVE-2010-2884 Adobe Flash 제로데이 취약점 (SWF) "Adobe PDF 제로데이 취약점(CVE-2010-2883)이 발표된 지 채 일주일도 지나지 않아 또 다른 제로데이 취약점 발견..." ... "안드로이드 상에서도 영향을 줄 수 있다..." 한 동안 트위터가 떠들썩 했었다. 이미 추석연휴를 지나는 지난 9월 20일에 패치가 배포되었지만, 아직은 해당 취약점에 대한 명확한 분석정보를 찾을 만한 곳이 없다.. 본 쥔장도 연휴 내내 딩가딩가~ 놀다가 이제서야 정리해서 오픈해본다.. ^^;;;; 늘 그렇지만 플래쉬 파일의 분석은 좀 까다롭고 난해하다..... 파고.. 파고.. 또 파면 희미하게 답이 보이는 것... 그 희미한 불빛을 보았을 때의 쾌감이 아마두 분석의 묘미가 아닌가 싶다.... 이번 취약점을 이용하는 실제 악성 플래쉬 파일(SWF)는 전체적으로.. 더보기
[네번째 거짓말] Adobe Reader(PDF) CVE-2010-2883 제로데이 취약점 요즈음 제로데이 소식이 빈번하군요.... ^^;;; 일도 많고.... 덕분에 블로깅도 빈번합니다........ 부지런히.. 올리자.. 영차..영차... ..... 지난번 iPhone Jailbreakme 관련 취약점도 PDF 파싱 엔진의 Font 관련 문제였었는데..... 이번에도 Font 가 문제군요..... 아무래도 이번엔 요 방향으로 유사한 취약점들이 발표될 수도 있겠군요... 오늘 아침 0xcharlie 님의 트윗에 다음과 같이 써 있어서.. Charlie Miller @0xcharlie When discussing multiple researchers finding same bug via funzzing, makes you wonder why the vendor didn't find those... 더보기
[세번째 거짓말] Apple QuickTime “_Marshaled_pUnk” 제로데이 취약점 최근에는 파이썬 개발과 가끔씩 돌발적으로 일어나는 이슈들을 컨트롤하는 것만으로.... 나의 일상이 흘러가고 있습니다....... 3일 동안 자리를 비운 사이 새로운 제로데이 취약점이 확산되기 시작했다는 글들이 트위터랑 블로그들 사이에 오고가고 있네요... (0-day) Apple QuickTime “_Marshaled_pUnk” Code Execute Vulnerability 많은 아이폰 사용자들은 경험해 보았겠지만 Apple QuickTime 플레이어는 iTunes 업글할 때도 디폴트로 같이 설치하고 업글하도록 되어 있기 때문에 아이폰 사용자들이 급증하고 있는 이 시점에서 QuickTime 취약점 제로데이 취약점은 꽤 괜찮은 먹잇감이 될질도 모르겠군요.. ^^ 해당 취약점은 이미 실제 공격으로 이용되고.. 더보기