2010.05.30 14:34 WarGame

드디어 마지막 단계로군요

마지막인 만큼 분량도 대단합니다

문제는  ' 다른 악성코드를 실행하는 함수의 주소를 찾아라 ' 인데



뒤적거려야 하는 함수 개수가 장난이 아닙니다

일일히 하나씩 분석하면서 어떤 역할을 하는지 알아보기엔 너무 오래걸리겠죠

문제의 목적인 '다른 악성코드를 실행' 한다에 포커스를 두시면 쉽게 푸실 수 있습니다

특정 프로그램을 실행하는 API 를 찾으시면 굉장히 쉽게 풀 수 있겠죠



여러분도 발견하셨나요? :D


어때요 참 쉽죠?

'WarGame' 카테고리의 다른 글

[ CodeGate 2010 ] Challenge 7 풀이  (2) 2010.06.21
[ Python Challenge ] level 15  (0) 2010.06.08
[ CodeEnge Malware Analysis ] level 8  (0) 2010.05.30
[ CodeEnge Malware Analysis ] level7  (0) 2010.05.30
[ CodeEngn Malware Analysis ] level6  (0) 2010.05.30
[ CodeEnge Malware Analysis ] level5  (0) 2010.05.27
Posted by LinkC

2010.05.30 13:52 WarGame


다음은 악성코드 Flow의 일부분이다.
분석결과 이 악성코드는 특정 사이트에 접속을 시도 하고 있는데
접속이 안될경우 몇초 단위로 재접속을 한다.
몇ms 단위로 재접속을 하는가

Flow 의 경우 level6 에서 달라진 점이 없네요

특정 시간 단위로 재접속을 한다고 하는데

이때 대표적으로 쓰이는게

Sleep, WaitFor ... 함수가 있겠죠

Flow 가 크지 않으니 눈으로 직접 확인하셔도 2개만 쓰인것을 볼 수 있고

둘 중 하나가 정답입니다

' 몇 ms 단위로 재접속을 하는가 ' 가 문제이니까

접속이 안될 경우 접속이 될 때 까지 반복을 해야 할 것이고

이는 반복문으로 이루어져있겠죠





포착하셨나요?

그게 정답입니다 :D


'WarGame' 카테고리의 다른 글

[ Python Challenge ] level 15  (0) 2010.06.08
[ CodeEnge Malware Analysis ] level 8  (0) 2010.05.30
[ CodeEnge Malware Analysis ] level7  (0) 2010.05.30
[ CodeEngn Malware Analysis ] level6  (0) 2010.05.30
[ CodeEnge Malware Analysis ] level5  (0) 2010.05.27
[ CodeEnge Malware Analysis ] level4  (0) 2010.05.26
Posted by LinkC

2010.05.24 11:34 WarGame


악성코드 분석은 딱히 해본적이 없는거 같아서

잡아보게 됐습니다

근래 Python 코드만 보다가 C언어 줄줄 써져있는거 보니

눈이 팽팽 돌아가던군요 -.-

그 소스 입니다





이 소스를 보고 공격 방법을 알아내는게 1번 문제의 목표군요

3 - 8 번째 줄을 보시면

TCP/IP Header 값을 설정하시는 것을 볼 수 있구요

그 다음 while 문 부터가 본격적인 과정인거 같군요

변수 명을 보면 DDOS, SpoofIP 등이 등장합니다

아쉽게도 이게 답은 아닙니다 -.-

42 - 44번째를 보시면

Port 를 1000 - 10000번째에서 임의로 선택하고

IP 도 임의로 설정해서 목적 IP로 패킷을 보내는 것을 볼 수 있습니다

목적은 타겟 IP 의 서비스를 방해하는 것으로 쉽게 알아 챌 수 있죠

그럼, 구체적인 공격방식은 뭘까요

그에 앞서 , Client 와 Server 간 통신 방식인

3 Way Hand Shaking 을 살펴보겠습니다






여기서 연관지어 볼 점은

임의로 생성된 IP가 Client 일 때 입니다

그 IP가 Client 가 되면 어떻게 될까요?

물론, 서버로의 Syn seq은 전달되고, 서버에서는 이를 받고

ack를 보내게 됩니다

하지만 보내는건, 공격자에서 해줬다지만

ack 도 공격자로 가게 될까요 , 아니면 임의로 생성된 IP로 갈까요?

이를 이해하시면, 정상적으로 통신이 되지 않는 것을 알 수 있으실겁니다

바로 이 방식이 이 공격 방식의 핵심인데요

정보보안 개론 책에서 본 말로 인용을 하자면

급수대에 수도꼭지가 몇 개 있는데

손오공이 머리카락을 몇개 뽑아 분신을 만들어 그 수도꼭지를 다 차지해버린 꼴입니다

다른 사람은 수도꼭지를 이용 할 수 없는 상황이죠


이해가 가시나요?



Posted by LinkC
이전버튼 1 이전버튼

블로그 이미지
LinkC

태그목록

Tistory Cumulus Flash tag cloud by BLUEnLIVE requires Flash Player 9 or better.

공지사항

Yesterday32
Today19
Total315,771

달력

 « |  » 2018.08
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

최근에 받은 트랙백

글 보관함


. .