끝나지 않는 프로그래밍 일기


여기서 사용된 SecureCRT는, SSH 접속이 가능한 텔넷 프로그램입니다. SecureCRT를 사용해서 리눅스 서버(220.99.172.94)에 접속한 것 같네요. 


[root@vm jjin]#

[root@vm jjin]# cd /home

[root@vm home]# cd jjin/work

[root@vm work]# cd trace_log/

[root@vm trace_log]# ls

Makefile           reip_232422334444.dat    reip_232422334446.dat    reip_232422334450.dat    reip_232422334455.dat

analyis_cap.c    reip_232422334455.dat    reip_23242334448.dat     reip_232422334453.dat    result

[root@vm trace_log]#

[root@vm trace_log]#

[root@vm trace_log]# pwd

/home/jjin/work/trace log

[root@vm trace_log]# ls -l

합계 54896

-rw-------.    1    jjin jjin    288    9월 14 23:02 Makefile

-rw-------.    1    jjin jjin    1953    9월 14 23:37 analyis_cap.c

-rw-rw-r--.    1    jjin jjin    28105821 4월 10 2012 reip_232422334444.dat   

-rw-rw-r--.    1    jjin jjin    28105821 4월 10 2012 reip_232422334445.dat   

-rw-rw-r--.    1    jjin jjin    28105821 4월 10 2012 reip_232422334446.dat   

-rw-rw-r--.    1    jjin jjin    28105821 4월 11 2012 reip_232422334448.dat   

-rw-rw-r--.    1    jjin jjin    28105821 4월 11 2012 reip_232422334450.dat   

-rw-rw-r--.    1    jjin jjin    28105821 4월 11 2012 reip_232422334453.dat   

-rw-rw-r--.    1    jjin jjin    28105821 4월 11 2012 reip_232422334455.dat   

-rw-rw-r--.    1    jjin jjin    28105821 9월 14 23:37 result

[root@vm trace_log]# cat reip_23242233445.dat
cat: reip_23242233445.dat: 그런 파일이나 디렉토리가 없습니다.
[root@vm trace_log]# cat reip_232422334445.dat
73E3F2C608E578CIF673407BAF94D6D4F53A934473 E3 F2 C6 08 E5 78 CI F6 73 40 7B AF 94 D6 D4 F5 3A 93 44
[root@vm trace_log]# 
[root@vm trace_log]# 
[root@vm trace_log]# 
[root@vm trace_log]# gcc -v -c result analysis_ ...
...
[root@vm trace_log]# 
[root@vm trace_log]# 
[root@vm trace_log]# 
[root@vm trace_log]# ./result

여기서 gcc -v -c result analysis_... 가 있는데 여기서 gcc는 컴파일러고, -v는 컴파일 과정을 화면에 출력시키는 옵션이고 -c는 오브젝트 파일 생성 옵션입니다. analysis_~ 파일을 result라는 이름으로 컴파일 합니다. 그리고 마지막에 result를 실행시키구요. 여기서 리버스 트레이서 1.2는 직접 만든것 같습니다. 역추적 장치로 인해 서버를 거친다면 기록이 남는거 같습니다. 출발지 아이피와 목적지 아이피, 경유한 날짜등이 나오네요.

아니 저게 왠 뻘짓이야.


메타스플로잇 4.2 릴리즈 버전입니다. 메타스플로잇은 오픈소스이며 무료 해킹툴이고, 버퍼 오버플로우, 데이터베이스, 와이파이 취약 점 등 엄청나게 많은 공격 모듈을 가지고 있습니다. 2011년, 마이크로소프트에서 발표된 CSS 취약점을 이용했네요. MSHTML에서 메모리 손상 취약점을 악용한 모듈입니다.


모듈: http://www.metasploit.com/modules/exploit/windows/browser/ms11_003_ie_css_import



이미지 매스터 포렌식입니다. 포렌식 프로그램으로 삭제된 파일을 되살리고 이미지 매스터로 하드디스크를 통째로 복사한것 같습니다. 실제 하드디스크를 수집했다가 원본 파일이 손상될 수 있기 때문입니다.



여기선 EnCase 라는 프로그램이 사용되고 있는데, 이 프로그램은 디지털 증거 분석에 많이 쓰이는 프로그램 입니다. (역시 사이버 수사대니 고가의 툴을 사용..)


2화에서 등장한 스테가노그래피 기법입니다. 설명 그대로기밀 정보를 사진이나 MP3 같은 음악파일에 숨기는 심층암호 기술입니다. 이 정보 은닉 기법은 비밀 정보를 커버 이미지에 숨겨 전송합니다.



스테가노그래피툴 OpenStego입니다. 오픈소스이며, 사진, 문서, 음악 파일에 특정 메시지를 숨겨서 전달할 수 있죠. 오픈스테고는 http://openstego.sourceforge.net/에 접속하시면 다운로드 하실 수 있습니다. 위의 사진을 보시면 RandomLSB 알고리즘을 사용해서 phantom.avi(메시지 파일)을 36.avi(커버 파일)와 결합합니다. 



여기서 사용된 스캐닝 프로그램은 nmap for zenmap입니다. 포트 스캐닝 프로그램이고, 여기서는 nmap -T4 -A -v 74.207.244.221라는 명령이 사용됬습니다. -T4 옵션은 타이밍 정책으로 핑 스캐닝의 속도를 높이며, -v는 스캔 결과를 자세하게 보여주는 옵션이고, -A 옵션은 사용중인 서비스들의 버전 정보를 보여줍니다. 포트 스캐닝시 상대방 컴퓨터에 로그가 남으므로 주의하셔야 합니다. 로그를 남기지 않고 싶으시면 스텔스 스캔을 이용하시면 됩니다.



서비스 중인 9929 포트를 사용해서 공격 코드를 보내고 익스플로잇(취약점 공격, Exploit)을 통해 시스템 권한을 취득했습니다.



SQL Injection 입니다. 통신사 데이터베이스에 침투하여 데이터를 유출시키거나 변조하고, 관리자 인증을 우회합니다. 여기서 쓰인건 SQL 자동화 공격툴 같네요. 자동화 툴을 이용하면 쉽게 악성코드를 대량 삽입할 수 있습니다.



무료 네트워크 분석 프로그램인 와이어샤크입니다. 기능이 다양하며, 설치가 간편하여 가장 많이 사용되고 있습니다. 네트워크 상에서 데이터를 캡쳐하여 네트워크 상위 레이어 프로토콜에 대한 정보를 제공해줍니다. 이 와이어샤크 프로그램은 pcap 네트워크 라이브러리를 사용합니다.



네. 올리디버거입니다. 어셈블리 코드, 레지스터, 덤프, 스택 부분 등 리버싱에 많이 쓰이기도 하는 프로그램입니다. 무료로 이용할 수 있으며 32비트 어셈블러 레벨 분석이 가능합니다.



스턱스넷 바이러스란 여기 나온 설명 그대로 '발전소, 공항, 철도 등 기간시설을 파괴할 목적으로 제작된 바이러스' 입니다. USB 플래시 드라이브 또는 MP3 플레이어 등을 통해 서버에 침투합니다. 스턱스넷은 프로그래머블 로직 컨트롤러(PLC)를 감염시키고, 프로그램을 재설계하며 이것을 감춥니다. 매우 정교하여 작동 원리가 완전히 밝혀지지 않았습니다. 



여기서 SCADA는 Supervisory Control And Data Acquisition의 약자로 '감시 제어 및 데이터 취득'을 의미합니다. 일반적으로는 '특정 산업현장 전체 또는 지리적으로 넓게 퍼져있는 산업단지를 전반적으로 감시하고 제어하는 시스템'을 말합니다. 이 스카다 시스템은 원자력, 댐, 전력, 철도 같은 시설에서 활용됩니다.



네 말 그대롭니다. C&C 서버는 해커가 원격으로 좀비 PC를 관리하고 공격 명령을 내리기 위해 거점으로 삼은 시스템을 말합니다. 해커는 이 서버를 통해서 대규모 공격이 가능하게 됩니다. 여기서 좀비 PC란 악성코드에 감염된 PC를 말하며, C&C 서버를 통해 주로 디도스 공격에 이용됩니다.



봇넷은 좀비 PC들로 구성된 네트워크를 의미하고 봇넷 관리 콘솔을 통해 좀비 PC를 관리할 수 있으며 공격 명령을 하달할 수 있습니다.



Browser History Spy는 앞에서 나왔던 IE History X와 비슷합니다. 크롬, IE, 파이어폭스의 방문 기록을 쉽게 확인할 수 있습니다.



여기서 ECU(Electronic control unit, 전자 제어 장치)는 자동차에 부착된 컴퓨터로 차 내부에 있는 각각의 센서들을 통해 데이터를 수집하고 액추에이터로 전기신호를 보내는 역할을 합니다. 소지섭이 말한대로 '요즘 차들은 덩치가 큰 최신형 컴퓨터'라는 말이 맞습니다. 거의 모든 부분을 ECU가 제어한다고 보시면 됩니다.



여기서 와이핑 프로그램이 쓰였습니다. 디지털 기기의 정보를 초기화 시킨 후 복구 불능을 만듭니다. 



키로깅(Keylogging)이란 컴퓨터 사용자가 키보드를 통해 컴퓨터에 입력하는 내용을 낚아채는거죠. 만약에 키로거가 설치되어있고 실행중이라면, 입력한 내용이 모두 기록으로 남습니다. 무엇을 입력했는지 알 수 있는거죠.