IAT? 프로그램이 어떤라이브러리에서 어떤 함수를 사용하고 있는지 기술한 테이블. PE 파일은 어떤라이브러리를 임포트하는지 IMPORT_DESCRIPTOR 구조체에 명시함. 중요멤버 OriginalFirstThunk - INT(import name table)의 주소(rva) Name - 라이브러리 이름 문자열의 주소(rva) FirstThunk - IAT의 주소(RVA) PE로더가 임포트 함수 주소를 IAT에 입력하는 순서 1. IID의 NAME멤버를 읽어 라이브러리 이름 문자열을 얻는다. 2. 해당 라이브러리를 로딩 3. IID의 OriginalFirstThunk멤버를 읽고 INT주소를 얻는다. 4. INT에서 배열의 값을 하나씩 읽고 HINT OR NAME값을 얻는다.(IAT테이블에 이 순서대로 저..

원격에 존재하는 공격자에 서버에 접근하여 명령을 보내고 명령을 수행하면서 동작하면 RAT라고 볼수있다. (VNC, 팀뷰어 등) 은닉형 악성코드는 자신의 존재를 숨기기위해 높은권한을 획득하여 임시경로가아닌 주요경로파일에 악성코드를 생성하여 숨길수있고 윈도우 사용자 단위인 SESSION 0 시스템권한 으로 동작하게하여 악성코드가 사용자와 상호작용이 불가능하게 만들어 숨길 수 있음. SESSION 1+ (로컬,원격 데스크톱 사용자) process explorer 에서 확인가능.

문서파일구조안에 들어있는 스크립트로인해 문서열람시 악성코드가 실행되어 감염되는 악성코드. SSVIEW툴을 활용하여 HWP 파일의 문서구조를 볼수있다. Bindata - 문서에서 사용하는 스트림 데이터 BodyText - 한글 본문 내용 한글이나 워드 문서등은 저장될때 압축되기때문에 데이터를 볼려면 따로 압축을 해제하여야 함. 한글파일은 zlib으로 압축되어있으므로 압축해제하면 다음과 같이 스크립트 코드를 볼수있다. 한글- postscript 워드 - vba script 등 스크립트 코드가 문서안에 포함되어 특정 악성행위를 수행하게 된다.

UAC우회는 MEDIUM 무결성레벨 -> HIGH 무결성 레벨의 권한을 획득하는 과정 사용자가 인지하지 못하게 UAC확인창 없이 HIGH 권한을 것는 것이 목표이다. 일반적으로 레지스트리값은 변조하여 우회하고 특정 윈도우 프로그램이 레지스트리 키값에 따라 동작하는 방식이 변경됨을 이용한다.

WINDOWS에서 시스템 관리자와 사용자의 권한을 분리해주는 역할. 시스템의 주요자원을 변경하려고 시도하면 사용자에게 해당 작업 수행여부를 확인해준다. SYSTEM, HIGH(관리자), MEDIUM(일반 사용자), LOW, UNTRUSTED 가있다. 일반사용자가 관리자 권한이 필요한 작업을 하면 이러한 화면을 볼수있음. 다음 명령어 whoami /groups | findstr Medium 로 시스템의 권한을 확인할 수 있다. cmd창을 권리자권한으로 열고 권한을 확인해보면 high권한인것을 확인가능. 프로세스에 대하여도 process explorer- view-select columns integrity level을 선택하면 프로세스가 어떤 권한으로 동작하는지 확인이 가능하다. 결과화면 추가적으로 레지스..

1. crome등의 브라우저는 보내기전에 유효성 검사를 하므로 다른방식으로 우회해야함. 모든 필드에대해 정규표현식에 맞지않는 요청을 보내시오. 2. regexr.com/ 에서 javascript정규표현식으로 실습해보기 RegExr: Learn, Build, & Test RegEx RegExr is an online tool to learn, build, & test Regular Expressions (RegEx / RegExp). regexr.com (^[a-z]{3}$) - 정확히 a-z사이의 영어소문자 세글자만 탐지 (^[0-9]{3}$) - 정확히 0-9사이의 숫자 세글자만 탐지 (^[a-zA-Z0-9]*$) - 영소,영대,숫자 아무거나 탐지 * 은 마지막 문자열이 0회이상 나타나도 탐지(특수문자..