잡다한 보안 공부 8
CVE-2023-21768 : Windows Local Privilege Escalation 분석 공부

개요 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-21768 CVE - CVE-2023-21768 20221213 Disclaimer: The record creation date may reflect when the CVE ID was allocated or reserved, and does not necessarily indicate when this vulnerability was discovered, shared with the affected vendor, publicly disclosed, or updated in CVE. cve.mitre.org 처음 해보는 원데이 취약점 분석입니다. 보통 윈도우 관련된 심각한 취약점들은 옛날 버전의 운..
잡다한 보안 공부/1-day analysis 2023.06.13

리눅스 커널 익스플로잇 공부를 위한 커널 프로그래밍 공부 (2)

Character Device Driver: 버퍼 캐시를 사용하지 않고 데이터를 한번에 하나의 문자를 읽고 쓰는 드라이버 Block Device Driver : 버퍼 캐시를 통한 임의 접근과 블록 단위 입출력이 가능한 드라이버 Network Device Driver : 네트워크 스택과 네트워크 하드웨어 사이에 위치해 데이터의 송수신을 담당하는 드라이버 file_operations 구조체는 Charactor Device, Block Device 드라이버와 일반 프로그램 간의 통신을 위해 제공되는 인터페이스 입니다. read,write,open 등의 함 포인터들을 사용할수 있다는 특징을 가지고 있고 Network Device 드라이버는 위의 구조체를 사용하지 않는 대신, include/linux/netdev..
잡다한 보안 공부/Linux kernel exploit 2023.06.09

리눅스 커널 익스플로잇 공부를 위한 커널 프로그래밍 공부 (1)

커널 익스플로잇을 공부하기 전에 먼저 커널 모듈을 개발하는 방법을 공부하면서 리눅스 커널에 대해서 점차 알아갈것입니다. 먼저 저는 공부 자료에 나와있는 환경과 같은 ubuntu 18 버전으로 구축했습니다. 먼저 위와 같이 필요한 패키지를 설치해야 합니다. 이제 임시 폴더를 만든뒤 이 폴더에 간단한 커널 모듈을 작성해봅니다. 이 코드는 간단한 헬로월드 예제라고 합니다. init_module() 함수에는 모듈이 커널에 삽입될때 동작해야하는 코드가 포함되고 cleanup_module() 함수는 모듈이 커널에서 제거될때 동작해야하는 코드가 포함된다고 합니다. 커널 모듈에서 출력을 할때는 printk() 함수가 주로 사용되는거 같습니다. 그리고 이 코드를 커널에서 동작하게 할려면 Makefile을 작성해야합니다...
잡다한 보안 공부/Linux kernel exploit 2023.06.09

trust.exe 악성코드 분석 공부

file name : trust.exe analysis date : November 24, 2022 at 19:15:57 MD5 : c6a375944d2c40b76ab07b39295e9344 SHA1 : a43ce63a3ff87d5836c128cdaf1eab64985ce0c9 SHA256 : f3024a8324f06e89cb4fdc2ad5c21c46894c8f49e8ef14b4d40d11dfa321c22e SSDEEP : 3072:1oF+xE9aewwwwwwwwwwwZw1ww4RvvnUyOduIkE6Q:eurMypc 먼저 어떤 실행파일인지 확인해보면 C# 으로 작성된 실행파일 인것으로 확인됩니다. 그러므로 dnspy를 사용해서 분석을 진행해 보겠습니다. 프로그램이 시작하는 부분부터 차근차근 분석해보면 먼..
잡다한 보안 공부 2022.11.24

SecuriteInfo.com.Trojan.Jeki.1.24075.17784 OLE 문서형 악성코드 분석 공부

이름 : SecuriteInfo.com.Trojan.Jeki.1.24075.17784 MD5 : 12a15bb618e039db7f49040998257fd9 SHA1 : 0d8bfab5e9c4424d2cd9e1ffb10568cd185c234f SHA256 : 39ffaf6fffae305719541ae64b4bdcbe504068bdebdc6496f1a9fa2b02c37f20 SSDEEP : 6144:acPiTQAVW/89BQnmlcGvgZ7r3J8b5IYJK+nBoOhJ:RnOb Anyrun에 있는 분석 보고서를 보면 해당 엑셀 파일이 실행되면 어떤 과정을 거친뒤 rundll32.exe 을 사용해서 특정 dll파일을 로드합니다. 특정 dll파일을 로드한다는 것은 그 전에 엑셀파일 자체에 있는 매크로를 통해서..
잡다한 보안 공부 2022.11.20
1
더보기
728x90

티스토리툴바