SEO

오늘은 WASM 리버싱 방법에 대해서 포스팅해보려고 합니다.아직 WASM 관련 문제를 많이 풀어보지는 못했지만, 제가 알게 된 분석 방법들을 정리해보려고 합니다. 추가로 알게 되는 내용이 있다면 계속해서 업데이트 하겠습니다!!정적 분석 방법1. WAT(WebAssembly Text Format) 변환https://github.com/WebAssembly/wabt GitHub - WebAssembly/wabt: The WebAssembly Binary ToolkitThe WebAssembly Binary Toolkit. Contribute to WebAssembly/wabt development by creating an account on GitHub.github.com WABT(WebAssembly B..

2024년도 피에스타에 참가하여 10등으로 마무리를 하게되었습니다.아쉬울수도 있는 등수이긴하지만 저희팀이 피에스타를 목적으로 꾸려진 팀이 아니었던걸 감안하면 굉장히 잘 플레이했던 것 같습니다!! 이번년도 문제들은 굉장히 침해사고 분석 조사에 초점이 맞춰져있었습니다.그래서 저는 주로 악성코드 분석 관련 문제들을 담당하였고, 다른 팀원들이 포렌식 관련 문제들을 담당하였습니다.작년에는 BoB 이슈로 많은 문제를 보지 못했지만, 대부분 패킷/로그를 분석해서 공격을 재현한다던가, 앱의 취약점 분석 등과 같은 내용들이 주였던 것으로 기억합니다. 이번년도에는 포렌식과 리버싱에 초점을 맞춰, 개인적으로 문제 스타일이 많이 달라졌다고 느꼈습니다. 3일간 풀어야했던 문제는 총 22문제였습니다. 이제 제가 풀었던 문제들의 ..

이전 프로젝트에서 사용하였던 자료입니다. (개인공부용으로 TTPs를 재매핑하였으니, 이 점 참고하여 확인해주시기 바랍니다.) 3.20 사이버테러 사건 개요2013년 3월 20일 오후 2시 10분경부터 주요 방송사들의 컴퓨터가 작동이 중지되는 사건이 발생하였습니다. 사건이 발생하고 악성코드에 감염된 컴퓨터들은 사용자에게 재부팅을 요구하거나 강제로 재부팅을 한 이후에 동작을 중지했습니다. 이러한 동작의 원인은 MBR이 파괴된 것으로 드러났습니다. 비슷한 시간에 대한민국의 주요 언론사와 기업체의 전산망이 마비되고, 위와 같은 방식으로 감염되어 KBS, MBC, YTN 등의 방송국과 농협, 신한은행, 제주은행, 우리은행이 피해를 입었습니다. 실제로 이 사건으로 인해 인터넷 뱅킹 거래와 현금 자동입출금기 이용 등..

이전 프로젝트에서 사용하였던 자료입니다. (개인공부용으로 TTPs를 재매핑하였으니, 이 점 참고하여 확인해주시기 바랍니다.) 한수원 사이버테러 사건 시나리오  국내의 대표적인 악성코드 감염 사례로는 한수원 사건이 있습니다.위의 사진은 2014년 12월 9일에 발생하였던 한수원 사이버테러 사건은 공격 시나리오입니다.한수원 사이버테러 사건의 침투 과정은 다음과 같습니다.kimsuky로 추측되는 북한 해커 조직이 중국 선양 IP 대역을 사용합니다.범행에 사용된 중국 선양 IP 대역은 평소 북한 해킹 조직이 사용하는 kimsuky 계열 악성코드들의 IP 주소들과 12자리 숫자 중 9자리가 일치했습니다. (175.167..)중국 선양 IP 대역을 VPN 업체를 통하여 국내 IP 주소로 변환합니다.국내 VPN 업체..

Q1. Knowing the source IP of the attack allows security teams to respond to potential threats quickly. Can you identify the source IP responsible for potential port scanning activity?포트 스캐닝을 할 때는 보통 TCP, UDP, ICMP 프로토콜을 사용할 가능성이 큽니다. 그 중 87.96.21.84 주소에서 TCP 프로토콜을 통해 SYN 패킷을 지속적으로 보냈기 때문에 포트 스캐닝이라 판단하였습니다. Q2. During the investigation, it's essential to determine the account targeted by the atta..

Q1. Categorizing malware allows for a quicker and easier understanding of the malware, aiding in understanding its distinct behaviors and attack vectors. What's theㅊ identified malware's category?VT에서는 각 벤더사들의 제품이 탐지한 탐지명을 기반으로 Threat categories를 제공합니다. (처음에는 패밀리 적으라는  줄 알았네요...ㅎㅎ) Q2. Clear identification of the malware file name facilitates better communication among the SOC team. What's the f..

https://h3llouniverse.blogspot.com/2016/09/event-mfc.html Event 추적을 통한 MFC 리버싱 모든 MFC 파일들은 특정 행동들을 모두 Event로 보고 사용자의 행위에 따라 맞는 Event를 발생시키며 동작한다. 이 점을 통하여 MFC를 이해해고 있다면 리버싱을 통하여 자신이 원하는 부분을 빠르고 h3llouniverse.blogspot.com 위 글에서 Control ID 값으로 MFC 호출 함수를 찾아가는 내용을 확인했습니다. 처음보는 내용이라 신기해서 DreamHack babycmp 예제로 따라해본 내용을 풀이하겠습니다. (처음에 이해 못하고 뻘짓해서 팀에 계신 연구원님께 여쭙고 알게된 내용 바탕으로 적었습니다..ㅋㅋ) 먼저 참고 글에서는 32bit ..

보호되어 있는 글입니다.