ATM Hacking Demo a Hit at BlackHat

보안 소식/주간 이슈 2010. 7. 30. 09:46 Posted by TEAMCR@K
블랙헷에서 ATM Hacking 하는 시연 동영상입니다.

공격 코드(rootkit 포함) 를 이용해서 ATM 인증을 우회, 카드 정보를 획득하는 등의 시연이 있던거 같네요.

동영상에는 음악에 맞춰(??) ATM이 돈을 뿜어내는 것을 볼 수 있습니다-_-.

기사 내용(추가) : http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=62227

http://blogs.pcmag.com/securitywatch/2010/07/atm_hacking_demo_a_hit_at_blac.php

Sysinternals Tools 자동 업데이트 스크립트

그외 2010. 7. 30. 09:31 Posted by TEAMCR@K

Microsoft 의 Sysinternals 에서 제공되고 있는 Tool들은 취약점 점검할시에, 보안 점검할시에 매우 유용하게 사용되고 있습니다.
Tool 들이 워낙 많기 때문에 각각에 대한 버전 업데이트 정보를 얻는것도 쉽지 않죠.

아래는 Sysinternals 관련된 툴 (SysinternalSuite 라고 하지요) 들을 이전 다운로드 받은것과 비교해서 업데이트 된 부부분은 자동으로 교체해주는 배치 파일 스크립트 입니다.

URL  정보 : http://sysadmingeek.com/articles/batch-script-to-auto-update-sysinternals-tools/

 @ECHO OFF
TITLE Sysinternals Updater
ECHO Sysintenals Updater
ECHO Written by: Jason Faulkner
ECHO SysadminGeek.com
ECHO.
ECHO.

SETLOCAL ENABLEDELAYEDEXPANSION

SET SysInternalsTools="%Temp%\SysInternalsTools.tmp.txt"
SET CurrentTasks="%Temp%\CurrentTasks.tmp.txt"
SET StartWhenFinished="%Temp%\StartWhenFinished.tmp.txt"

ECHO Detected directory: %~dp0
%~d0
CD %~p0
ECHO.
ECHO.

ECHO Downloading current tool list...
SET LiveShare=\\live.sysinternals.com\tools
START /MIN %LiveShare%
DIR %LiveShare% /B > %SysInternalsTools%
TASKLIST > %CurrentTasks%
ECHO ;Terminated tools > %StartWhenFinished%

ECHO.
ECHO Updating installed SysInternals tools
FOR /F %%A IN ('DIR /B') DO (
 FOR /F "usebackq" %%B IN (%SysInternalsTools%) DO (
  IF /I [%%A]==[%%B] (
   ECHO Updating %%A
   FOR /F "usebackq" %%C IN (%CurrentTasks%) DO (
    IF /I [%%A]==[%%C] (
     ECHO %%C is currently running, killing process - queue restart
     ECHO %%C >> %StartWhenFinished%
     TASKKILL /IM %%A /T /F
    )
   )
   XCOPY %LiveShare%\%%B %%A /Y
   ECHO.
  )
 )
)

ECHO.
ECHO Resuming killed tasks
FOR /F "usebackq skip=1" %%A IN (%StartWhenFinished%) DO (
 ECHO Starting %%A
 START "Sysinternals Tool" "%%A"
)

IF EXIST %SysInternalsTools% DEL %SysInternalsTools%
IF EXIST %CurrentTasks% DEL %CurrentTasks%
IF EXIST %StartWhenFinished% DEL %StartWhenFinished%

ENDLOCAL

ECHO.
PAUSE





Windows ".LNK" zero-day 에 대해 아직 패치가 나오지 않은 상태에서, 해당 취약점을 차단시켜주는 도구 및 동영상이 소개되고 있습니다. 패치가 나오기전에 임시로 사용할 때 참고하시면 될거 같습니다.

http://www.sophos.com/products/free-tools/sophos-windows-shortcut-exploit-protection-tool.html



Windows ".LNK" zero-day 취약점 참고 URL
http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://hummingbird.tistory.com/2272  [울지않는 벌새님 블로그]
http://viruslab.tistory.com/1984  [viruslab님 블로그]

TeamCR@K 회식

CR@K 이야기 2010. 7. 20. 14:51 Posted by TEAMCR@K
팀원들이 모여 회식한것이 오랜만인듯 하다.

업무때문에 지치고 힘든(??) 생활에서 잠깐이라도 벗어나..

몸보신 할겸 누룽지 오리탕과 삼계탕, 시원한 술한잔과 함께~

숨어있는 사람들을 찾아라..(-_-)(-_-)


완샷~~~(/^^)/ 마셔마셔


TeamCR@K 팀장님과 막내 3인들....


Useful sites for Pen-Test

그외 2010. 7. 14. 14:13 Posted by 알 수 없는 사용자

모의해킹 시 유용한 사이트 몇 곳을 소개합니다.

1. 플랫폼별 취약점 정리 사이트
본 사이트는 공개된 취약점을 Apple, Debian, MS 등의 플랫폼 별로 카테고리를 정리해 놓은 곳입니다.
특정 플랫폼의 취약점 또는 최신 취약점 업데이트 현황을 살펴보기 좋겠네요..^^

URL) http://vul.hackerjournals.com/


2. Python tools for penetration testers
파이썬으로 만들어진 각종 모의해킹 툴 모음 사이트입니다.
Network, Debugging and reverse engineering, Fuzzing, Web 등의 카테고리로 나뉘어져 있어, 테스트 용도에 맞는 툴을 찾을 때 유용할 것 같습니다. ^^

URL) http://dirk-loss.de/python-tools.htm

OWASP TOP 10 문서가 나올때마다 한글로 번역하여 무료로 발간하는 Security Plus가 이번에도 OWASP TOP 10 2010 한글판을 배포하였습니다. 2010년도 부터는 위험 평가기준에 따라 순위로 결정되었고, 취약점의 각 범위가 변동된 부분이 있습니다.
(참고 : http://teamcrak.tistory.com/175 - RC1기준)

다운로드 URL : http://www.securityplus.or.kr/xe/?document_srl=25853


아래는 syngerss에서 최신 발간된 웹 어플리케이션 취약점 공격에 대한 책입니다. OWASP TOP 10 2010 문서 기준으로 설명이 자세히 되어 있어 해당 분야를 학습하는데 크게 도움이 될거라 생각합니다.

http://www.syngress.com/hacking-and-penetration-testing/Seven-Deadliest-Web-Application-Attacks/




그외에 "Seven-Deadliest" 시리즈 책들이 많이 있는데 관심이 가네요.^^)

기업에서 신규로 서비스를 개발 시 어플리케이션 보안을 위해 소프트웨어 라이프사이클의 초기 단계에서부터 보안성 검토를 수행해야 하며, 구축(도입) 전 단계부터 조직 정보보호를 위한 요구 사항들이 반영되어야 한다.


만약 구축 및 설계 단계에서 정보보호에 대한 요구사항이 반영되지 않은 경우 취약점 분석을 통하여 취약점을 제기하고, 운영 및 프로세스를 재순환해야 하며, 이 경우 개발 초기에 적용하는 것과 비교하여 많은 비용이 소모된다.

모의해킹 점검하는 방식 중에는 블랙 박스, 그레이 박스, 화이트 박스 등이 있다. 블랙 박스 점검은 외부에서 보여지는 웹 사이트만(URL정보만을) 으로 판단하여 취약점을 분석하는 것이고, 화이트 박스 점검은 소스 파일만을 보고 취약점을 분석하는 것이다.이 중간 단계에 그레이 박스 점검이 있으며, 이것은 웹 사이트에서 발견된 취약점과 소스파일을 비교하며 더욱 상세하게 분석하는 것이라 생각하면 된다.

소스코드 분석할시(Gray Box, White Box ) Secure Coding 에 대한 전문 지식을 습득해야 하며, 환경에 따라수동분석, 자동분석에 대한 활용법을 익혀야 한다.

아래 도서 및 URL은 관련 업무에 참고할만한 것들이다.

[참고 도서들]

CERT C 프로그래밍

로버트 C. 시코드 | 현동석 옮김

에이콘출판 2010.02.16

WRITING SECURE CODE 2 안전한 코드 작성 기술

마이클 하워드 | 지정기 옮김

정보문화사 2003.09.09

Secure Programming with Static Analysis Secure Programming with Static Analysis

Brian Chess|Jacob West

Addison-WesleyProfessional 2007.06.14

   
     [MS 관련 추천 URL]

       (제프리 리처의 Windows VIA C/C++ 참고)

     [PHP 소스코드 진단 관련]

 

Android 악성코드 위협 연구 (수정본)

스마트폰 2010. 7. 5. 22:15 Posted by TEAMCR@K

Android 악성코드 위협 연구

By Dear.TOM(
bdr@a3security.com)
By k3rz(kerz@a3security.com)
By kyh1026(kyh1026@a3security.com)
편집 : 니키(ngnicky@a3security.com)




1. 개요
스마트폰(iphone 등)이2009년 4분기부터 국내 유입을 통해서 국내 스마트폰 신흥 시장은 지속적으로 발전되고 있으며, 세계적으로도 향후 5년간(현재 2010년) 스마트폰 매출의 주요로 자리잡으며 성장 될 것으로 예측되고 있습니다. 이와 같이 사용자가 증가함으로써 스마트폰 보안 위협이 지속적인 관심을 받고 있습니다.
스마트폰에 대한 위협 및 취약점을 연구 분석 하였으며, 이에 관련된 공격 시나리오를 구성 및 시연 함으로써 스마트폰 공격 가능성을 확인하는데 목적이 있습니다.



2. 시나리오
본 시나리오는 악성코드에 감염된 스마트폰에 저장된 개인 정보를 유출하는 시나리오입니다.
스마트폰의 특성상 개인과 아주 밀접한 기기 이기 때문에 스마트폰에는 민감한 개인정보가 많이 저장되어 있습니다. Android스마트폰의 어플리케이션이 마켓 뿐만 아니라 웹 상에 자유롭게 배포 될 수 있기 때문에 사용자의 무분별한 다운로드에 의해 악성코드가 전파될 수 있다는 점에 초점을 두었으며 연구환경은 안드로이드 에뮬레이터에서 진행되었습니다.

가. 스마트폰내 개인 정보획득 가능성
나. 스팸 문자(SMSBomb) 발송 가능성
다. 파일전송 등의 기능을 이용하여 악성코드에 감염된 Android의 정보 획득 가능성


3. 상세내역
일반적으로 Android 스마트폰의 IP주소를 알기 힘들기 때문에 공격자가 직접적으로 Android 스마트폰에 접속하기는 힘듭니다. 그러므로 반대로 Android 스마트폰에서 공격자에게 접속하는 Reverse Connectiong 형태로 공격을 시도하며, Android 스마트폰 어플리케이션이 마켓뿐만 아니라 웹 상에 자유롭게 배포 될 수 있기 때문에 사용자 무분별한 다운로드에 의해 악성코드에 감염될 수 있는 가능성이 존재합니다.
이런 가능성을 전제로 악성코드에 감염된 스마트폰의 피해는 악성코드의 기능에 따라 무궁무진합니다.

* 본 연구 문서는 신규 취약점 또는 보안 기술 우회 기법에 관한 문서로써 악용될 우려가 있는 상세 공격 코드 및 내용을 제한 합니다.

1. 스마트폰내 개인 정보획득 가능성
Android 스마트폰 사용자가 정상적인 어플리케이션으로 위장한 악성코드를 다운받아 실행하면 Android 스마트폰이 공격자의 서버에 접속하면서 사용자의 정보를 서버에 전송하게 됩니다. 이 정보에는 스마트폰의 전화번호, USIM카드번호, 네트워크지역등 스마트폰 단말기에 대한 정보가 포함됩니다. 이를 통해 사용자의 국가, 전화번호, IP주소 등의 정보를 획득할 수 있습니다.

다음은 공격자의 서버로 악성코드에 감염된 스마트폰의 정보가 수집되어 있는 화면입니다.

획득한 전화번호를 통해 광고 문자 혹은 스팸문자를 발송하거나 악의적인 공격이 가능하리라 예상됩니다.


2. 스팸 문자(SMSBomb) 발송 가능성
악성코드에 감염된 스마트폰에 공격자가 명령을 내려 다른곳으로 대량의 문자를 발송시켜 해당 스마트폰 사용자에게 과금의 패해와 함께 스팸문자 발송의 근원지로 만들 수 있습니다.

다음은 공격자가 스마트폰으로 스팸문자를 보내라는 명령을 내리는 화면입니다.


이 명령을 통해 스마트폰이 자신의 전화번호부에 등록되어 있는 전화번호로 혹은 공격자에게 전송받은 전화번호로 대량의 스팸문자를 발송하게 됩니다.

다음은 공격자에게서 문자 전송명령을 받고 문자를 전송하는 화면입니다.


이런 과정을 통해 악성코드에 감염된 스마트폰 사용자는 문자 발송에 대한 과금피해를 입을 수 있으며, 더 나아가 악성코드에 다른 기능들을 구현해 나간다면 개인정보가 노출 될 수 있으며, DDoS공격에 활용될 수 있는 가능성이 있습니다.



3. 
파일전송등의 기능을 이용하여 악성코드에 감염된 Android 스마트폰의 정보를 획득 가능성
스마트폰에는 다양한 파일들이 존재합니다. 스마트폰의 사진촬영기능, 동영상 재생기능, 음원 재생기능, 모바일 오피스 등 여러가지 기능들이 존재 하며 이에 대한 미디어, 문서파일들이 스마트폰 내에 존재하게 됩니다.
이런 파일들이 외부로 노출된다면 사생활의 노출, 업무 비밀정보의 노출 등 심각한 피해를 입을 수 있습니다.

다음은 공격자가 악성코드에 감염된 스마트폰에 있는 파일을 보내라는 명령을 내리는 화면입니다.



이 명령을 통해 스마트폰에 있는 파일을 공격자에게 전송시킬 수 있으며, 이를 통해 스마트폰 사용자의 사생활 정보 등을 얻어 낼 수 있습니다.

다음은 스마트폰으로부터 전송받은 파일을 확인하는 화면입니다.




※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.