Information Security/OpenSource

Information Security/OpenSource

SPT (Simple Phishing Test)

1. 개요 기업 보안을 진단하는 과정에서 "피싱 메일에 대한 테스트를 하자" 라는 취지에서 다양한 오픈소스 도구들을 검토하는 중 단순하면서도 직관적인 이 도구가 눈에 띄어 구축 및 테스트를 진행해 보았다. 간단하게 요약하면 다음과 같다.장점 구축 및 설치가 간단 다양한 형태로 피싱 메일 템플릿을 운영 피싱 링크를 클릭한 경우 클릭한 사용자의 간단한 정보(클릭한 시간, 아이피)들을 전송 csv 파일을 파싱하여 다양한 사용자들의 메일을 한번에 추가(Import) 클릭한 경우 피싱 교육 페이지를 보여주며, 해당 페이지는 템플릿 형태로 운영 관리 단점 첨부파일 형태로 진행할 수 없기에 스피어 피싱(Spear Phishing)에는 적합하지 않음 템플릿을 만들기 위해서는 간단한 클라이언트 기반 웹 언어를 사용 할 ..

Information Security/OpenSource

MISP (Malware Information Sharing Platform & Threat Sharing)

1. 개요 DIKW 파라미드 라는 개념이 있다. 데이터가 쌓이면 정보가 만들어지고, 정보가 쌓이면 지식이 만들어 지고 이러한 지식은 지혜로 발전되어 간다는 의미를 가지고 있다. 과거 먼 조상들이 해온 모든 행동들이 쌓여 지금의 우리가 있듯이 이 파라미드 구조는 시대는 데이터가 쌓이고 많이 쌓여 빅데이터 시대가 왔고, 이 안에서 양질의 정보를 빼내기 위해 다양한 연구와 개발이 이루어지고 있다. 추출한 정보는 다시 하나의 새로운 지식의 밑거름이 되고 있다.사이버 위협도 똑같다. 과거부터 지속되어 왔던 다양한 데이터들을 정리하고 분류하고 저장해두면 이는 새로운 위협에 대응할 수 있는 정보가 된다. 비록 아직은 각지에서 발생하는 데이터들이 하나로 취합하기엔 위협을 받은 기업의 소중한 데이터들이 공개될 수 있기에..

Information Security/OpenSource

Cuckoo Sandbox 1.2 release

1. Behavior Search 행위 분석 결과에서 모든 문자들을 패턴매칭하여 원하는 결과를 찾을 수 있다. 2. Network Stream View TCP/UDP 스트림을 수집하고 헥사 덤프로 검사할 수 있는 몇가지 기능을 추가 구현되었다. 3. Comparative Analysis 악성코드의 유사성을 추정하기 위해 다른 악성코드와 비교할 수 있는 기능을 추가되었다. 상세한 비교 분석은까진 아니고 현재 실행되는 이벤트 기반을 통한 그래프 표현 방식만 묘사한다. 4. Changelog - baremetal 분석 지월 (물리 시스템 모듈)cuckoo sandbox 1.2-dev 버전 부터 설정 파일이 모여있는 conf 디렉터리에 physical.conf 파일이 생성되어 있었다. 고성능 허니클라이언트의 치..

Information Security/OpenSource

How to install IDA(32bit) on Ubuntu(64bit)

1. 개요 바이퍼를 테스트하다가 ida(아이다) 모듈이 있어 아이다를 설치해보았다. 다운로드 받은 아이다는 32비트 환경에서 동작하는 응용 프로그램이고, 설치하려는 곳은 우분투 12.04 LTS 64비트 이다. 2. 설치 우선 아이다는 유료 도구이기 때문에 홈페이지에서 제공하는 데모 버전을 다운로드 받는다. wget http://out7.hex-rays.com/files/idademo66_linux.tgz tar xfz idademo66_linux.tgz 아이다를 실행하기 위해서는 32비트 라이브러리들이 필요하다. 여러가지 테스트를 하고 에러들을 잡아보았을 때 다음 설치가 최적의 설치로 보여진다. $ sudo apt-get install libXext6:i386 lib32stdc++6 libglib2.0..

Information Security/OpenSource

vt-tool - Find the name of the evil

1. 개요 부제인 "Find the name of the evil"에서 볼 수 있듯이 악성코드 이름을 토대로 통계를 내는데 사용하는 도구이다. 2. 설치 설치는 도구 가이드에서 제공하는 라이브러리와 패키지를 설치한다. sudo apt-get -y install python-numpy python-scipy python-levenshtein python-pip numpy : 통계학에 주로 사용되는 파이썬 라이브러리scipy : 이 라이브러리는 수학, 과학, 엔지니어링 분야에서 사용하는 라이브러리이자 생태계를 총칭levenshtein : 문자열에서 문자간 거리, 유사도 등을 측정하기 위해 사용하는 라이브러리pip : 파이썬 전용 라이브러리 저장소를 이용하기 위한 패키지 추가로 설치하는 파이썬 라이브러리들이다..

Information Security/OpenSource

CapTipper - Malicious HTTP traffic explorer tool

1. 개요 이미 오래전 부터 악성코드 유포는 웹을 통해 이뤄져왔다. 특히나 드라이브-바이 다운로드 공격 방법은 유포의 프로세스를 크게 확장하게 되었다. 이번에 소개할 도구는 악성코드 유포가 포함된 pcap 파일을 파싱하여 분석하는 도구이다. 특히 기능이 드라이브-바이 다운로드에 맞춰져 기능들이 구현되고 있는 것으로 판단하고 있다. 이 도구는 별도의 라이브러리를 설치할 필요가 없다. 이는 좀 더 세부적으로 구현한 부분이 없다고 판단할 수 있다. 그래서 아쉽게도 자바스크립트 난독화에 대한 대응이 이루어져 있지 않으며, 다양한 취약점을 유발시키는 파일들에 대한 상세 분석도 진행하지 않는다. 2. 설치 및 구동 CapTipper는 별도의 라이브러리를 설치 할 필요가 없이 github 를 통해 다운로드 받으면 된..

Information Security/OpenSource

바이퍼(Viper) #04 - 스토어(Store) 명령

[Tools/Linux] - 바이퍼(Viper) #01 - 개요 및 설치 [Tools/Linux] - 바이퍼(Viper) #02 - 프로젝트(Project) [Tools/Linux] - 바이퍼(Viper) #03 - 샘플파일 수집 1. 스토어 (Store) 스토어 명령은 외부에 있는 저장소에서 파일이나 압축 파일(ZIP)을 바이퍼 저장소에 저장하는 역할을 하는 명령어이다. "바이퍼(Viper) #03 - 샘플파일"에서 다운로드 받은 악성코드를 저장한다. 저장하기 전에 해야할 것은 프로젝트를 선택한다. 도움말을 살펴보면 -d 원본 파일 삭제, -f 폴더 선택, -s 파일사이즈 선별, -y 파일 포맷 설정, -n 파일 이름, -t 태그 입력 기능을 가진다. 다만, -s 파일사이즈 선별 기능은 제대로 동작하지..

Information Security/OpenSource

바이퍼(Viper) #03 - 샘플파일 수집

[Tools/Linux] - 바이퍼(Viper) #01 - 개요 및 설치 [Tools/Linux] - 바이퍼(Viper) #02 - 프로젝트(Project) 1. 샘플파일 수집 본 문서에서는 바이퍼 디렉터리 안에 malware 이름으로 별도의 디렉터리를 만들어 악성코드들을 저장했으며, 악성코드는 TEKDEFENSE 에서 공개한 샘플들을 이용하였다. 샘플을 다운로드 받는 과정은 귀찮은 작업이 될 수 있다. 그래서 다음 파이썬 소스코드를 이용하면 샘플을 자동으로 다운받을 수 있다. 다운받는 샘플은 확장자가 .zip 으로 끝나는 샘플들을 다운로드 받으며, 사전에 테스트해본 결과 .zip 파일에 압축되어 있는 파일들은 대부분 윈도우 실행 파일 구조를 가지고 있는 악성코드들이다. # -*- coding: utf-..

hakawati
'Information Security/OpenSource' 카테고리의 글 목록 (2 Page)