29 09, 2016

Komplex Malware Analysis

By | 9월 29th, 2016|Malware Analysis|0 Comments

이 내용은 개인적으로 바이너리를 분석한 내용으로 상세한 내용은 다음 글을 참조 바람. Sofacy’s ‘Komplex’ OS X Trojan - Paloalto Networks Komplex Mac backdoor answers old questions - Malware Bytes 라운드 1 MD5 (2a06f142d87bd9b66621a30088683d6fcec019ba5cc9e5793e54f8d920ab0134.bin) = 81749e780d27ddd15973d19de77c9007 MachO 파일을 ‘/tmp/content’ 에 드롭, 실행 권한(755) 부여 사용자 다운로드 디렉터리의 “roskosmos_2015-2025.app” 디렉터리를 삭제 드롭퍼에 내장된 PDF 파일을 사용자 다운로드 [...]

11 12, 2015

KDFS 챌린지에 바라는 점

By | 12월 11th, 2015|Challenge & Conference|0 Comments

참고로 본 글은 챌린지에 참여한 참여자나 출제팀을 무시하거나 비난하는 것이 아닌 고민해야할 점을 다룬 글입니다. 그 분들의 보고서는 제 것보다 뛰어났으며, 출제팀도 많은 고민을 통해 이러한 판단 기준을 세운 것으로 보입니다. :-) 시작 KDFS 2015 결과가 나왔습니다. 아쉽게도 저는 수상하진 못했네요. 하하. 일단 수상한 다른 분들에게 감사의 말을 전합니다. 수상하신 분들의 보고서를 보니 제가 작성한 [...]

6 11, 2015

KDFS 2015 챌린지 후기

By | 11월 6th, 2015|Challenge & Conference|5 Comments

요즘에 두 학회에서 디지털 포렌식 챌린지를 주최하고 있다. 하나는 사단법인 한국포렌식학회에서 하는 "디지털 범인을 찾아라” 이고, 다른 하나는 한국 디지털 포렌식 학회에서 하는 “KDFS Challenge” 이다. 이 두 챌린지는 다른 해킹대회처럼 어떠한 키를 찾는 것보다는 증거를 찾는 것도 중요하지만, 증거를 찾는 과정이 얼마나 논리적인지를 확인하는 것 또한 중요하게 생각하고 있다. 사실 이 쪽을 공부해본 사람들은 [...]

9 09, 2015

Check kernel state for OS X/BSD rootkit analysis

By | 9월 9th, 2015|Malware Analysis, Memory Forensics|0 Comments

프로세스가 커널 모듈(e. 윈도는 디바이스 드라이버)와 통신할 때, IO Control / Kernel Event API를 이용하여 약속된 메시지를 전달/이벤트를 설정하고, 드라이버는 그 메시지를 핸들러에서 받아 그에 맞는 임무를 수행하는 구조를 가진다. 범용 운영체제로 알려진 시스템은 대부분 이러한 구조로 프로세스와 커널 모듈이 통신한다. 기존 BSD는 커널 모듈에서 커널의 특정 값을 가져오고 싶거나 커널 설정을 변경하여 커널 내의 [...]

22 05, 2015

Solaris(with Sun’s SPARC HW) wtmpx Analyzer

By | 5월 22nd, 2015|OS Artifacts|0 Comments

얼마 전 지인의 요청으로 Sun Sparc 장비(솔라리스)의 사용자 접속 로그를 분석할 일이 있었다. 리눅스/유닉스 시스템은 보통 현재 접속 중인 세션 정보는 utmp/utmpx에 저장하고 접속 누적 정보는 wtmp/wtmpx 에 저장하고 있어서 이 파일을 분석하면 된다. 솔라리스도 동일한 파일에 데이터를 기록하고 있다. 솔라리스는 ‘/var/adm/utmpx or wtmpx’에 기록하며, 헤더 정보는 Solaris Development Portal에서 확인할 수 있다. [crayon-57ed1739702b5435099375/] 솔라리스의 [...]