LoJax UEFI 룻킷
Lojax UEFI 룻킷에 대한 설명입니다. Lojax UEIF 룻킷은 그 동안 이론적으로만 논의되던 UEFI 레벨의 룻킷이 처음으로 발견된 사례입니다. RWEverything이라는 하드웨어 자원에 접근 가능한 드라이버를 사용하여 UEFI 에 백도어가 설치된 프로그램을 올리는 방식...
Articles
Apple Silicon - 하드웨어 기반 보안 기능 리뷰
얼마전 애플에서는 WWDC 2020을 통해서 Apple Silicon을 발표하였습니다. Apple Silicon은 Mac 기종들에서 자체 생산된 System-on-Chip (SoC)을 사용하는 것을 골자로 합니다. 이러한 새로운 칩으로의 전환을 통해서 애플 랩탑과 데스크탑 라인에 ...
퍼징의 기초 - Code Coverage의 이해
2006년 블랙햇에서 Shawn Embleton 등은 Sidewinder 발표를 통해서 코드 커버리지에 기반한 퍼징 방법론에 대해서 발표합니다. 이후 2008년 Fuzz By Number라는 발표에서 찰리 밀러는 더 많은 코드 커버리지를 커버하는 샘플 셋을 가질 때에 덤 퍼징 조차...
Hardware Hacking 101 - Bit-banging
지난 회 하드웨어 입문 JTAG과 Continuity Test를 통해서 스펙을 알수 없는 하드웨어에 대한 UART, JTAG 등의 핀들을 알아 내는 데에 필요한 장비와 테크닉에 대해서 알아 보았습니다. 이번에는 여러 테크닉 중에서 하드웨어 칩에 대한 소프트웨어적인 컨트롤을 가능하게...
Hardware Hacking 101 - 입문, JTAG (Part1)
최근 하드웨어 해킹과 보안은 사이버 시큐리티의 새로운 화두가 되어 가고 있습니다. 하루 하루 쏟아져 나오는 많은 IoT 디바이스, 그리고 기존에 오랫동안 존재해 왔던 레거시 디바이스들의 보안 취약점들은 새로운 보안 위협으로 떠오르고 있습니다.
Hardware Hacking 101 - Continuity Test
지난 회에서는 하드웨어 해킹을 하기 위한 엔트리 포인트를 찾기 위한 과정의 일환으로 먼저 어떻게 MCU를 떼어 내고, 스펙 문서를 이용하여 JTAG 핀들을 찾는 과정을 설명하였습니다.
인텔 CPU 보안 기능과 공격의 역사
최근 인텔에서 2020년 하반기를 목표로 Tiger Lake 출시를 선언했습니다. 이 CPU에는 그 동안 기대에 부풀어 있었던 인텔 CET가 탑재 될 예정입니다. 이 CPU는 기본적으로 Shadow Stack과 Control Flow Enforcement를 통해서 ROP와 함께 S...
Living Off The Land
최근 몇년 간 “Living Off The Land” 는 APT 공격에서나 Commodity Malware를 막론하고 하나의 트렌드로 자리 잡고 있습니다. “Living Off The Land”의 원래 의미는 문명에서 벗어나 대자연속에서 살아 가는 자급자족의 삶의 방식, “off ...
MITRE Att&ck Framework
MITRE Att&ck Framework는 공격자들을 분류하고 EDR 등의 보안 프러덕트나 서비스를 평가하기 위한 좋은 프레임 워크로 활용되고 있습니다. 이 영상을 통해서, MITRE Att&ck Framework에 대한 설명과 예제를 공유합니다.
PowerShell Event Collection
다음은 파워쉘 이벤트들을 컬렉션 할 수 있는 여러 방법에 대한 설명입니다. 이러한 이벤트들을 활성화하고 수집하는 방법으로 악성 파워쉘을 사용하는 윈도우즈 말웨어들에 대한 디텍션을 강화할 수 있습니다. 또한 이러한 텔레메트리는 머신 러닝을 위한 좋은 데이타로 활용될 수 있습니다.
파워쉘 시큐리티 1 - 아티팩트 발굴과 분석
파워쉘은 윈도우즈 플랫폼에서 윈도우즈 커맨드를 대체하기 위한 용도로 개발 되었습니다. 또한 파워쉘은 도메인 환경에서 분산된 윈도우즈 엔드포인트 디바이스들을 관리하기 위한 툴로서도 각광을 받아 왔습니다. 또한 이러한 추세와 함께, 공격자의 입장에서도 파워쉘은 Living-Off-Th...
SMBGhost Exploit 리스트와 설명
2020년 3월 SMBGhost라는 SMB v3 취약점이 출현했습니다. 버그의 특성도 굉장히 심플하면서, 여러가지 메모리 레이아웃의 우연이 겹쳐서 Full RCE가 되는 점 등, 윈도우즈 커널 보안을 공부하기 위한 좋은 타겟입니다.
Threat Hunting - 센서와 클라우드
ThreatHunting은 이제 많은 기업 환경에서 필수적으로 수행해야 하는 디펜더로서의 활동이 되었습니다. 특히 최근 EDR (Endpoint Detection and Response) 제품군의 급부상과 함께 많은 관심을 받게 되었습니다. 많은 EDR 제품들은 이벤트와 로그를 클...
Time Travel Debugging을 사용한 윈도우즈 리버스 엔지니어링 1
리버스 엔지니어링 방법론은 계속 변화하고 있습니다. 전통적인 디버거를 사용하는 방법에서, 최근에는 급격히 자동화 된 툴들을 사용하는 경향성이 커지고 있습니다. 특히, 취약점 연구에 있어서 Code Coverage Guided Fuzzing과 같이 코드의 실행 커버리지를 측정하여 인...
Frida를 사용한 윈도우즈 인터널스 리버스 엔지니어링
Frida는 최근 몇년간 새로운 프로그램 행위 분석 플랫폼으로서 각광을 받고 있습니다. 안드로이드나 아이폰 등의 모바일 플랫폼 뿐만 아니라 최근 윈도우즈 플랫폼에서도 그 간편한 사용법으로 인해서 사용자 층을 넓혀 가고 있습니다. 다른그림에서는 많은 트레이닝과 내부 리서치를 WinD...
윈도우즈 커널 공격과 방어 - Privilege Escalation
윈도우즈 커널 공격과 방어 - RW Primitive에서는 윈도우즈 커널을 공격하기 위한 첫번째 단계인 RW Primitives 확보에 대해서 알아 보았습니다. 이번에는 커널에 대한 RW 권한을 가지고 있을 때에 어떠한 방법으로 프로세스의 권한을 상승시킬수 있는지에 대한 설명을 하...
윈도우즈 커널 공격과 방어 - RW Primitive
윈도우즈 커널 보안은 이제 많은 경우 윈도우즈에서 SYSTEM 권한을 확보하기 위한 마지막 타겟으로 많이 연구 되고 있습니다. 이번 시리즈를 통해서 최신 윈도우즈 커널의 보안 장치들에 대한 기술적인 설명들을 최근의 몇몇 익스플로잇들의 예제를 사용해서 설명할 예정입니다.
윈도우즈 말웨어 분석 방법론 - FormBook 디텍션
FormBook 말웨어는 지난 몇년간 점점 더 세력을 확장하고 있는 말웨어 패밀리입니다. 최근 S2W랩에서 FormBook Tracker unveiled on the dark web이라는 리포트 발표를 통하여 FormBook의 위험성을 알리고, 주의를 다시 한번 환기 시키는 기회가...
윈도우즈 말웨어 분석 방법론 - artifacts 확보
윈도우즈 플랫폼에서의 말웨어 분석은 점점 더 어려운 작업이 되어 가고 있습니다. Living-Off-The-Land 공격 기법과 같은 탐지 회피를 위한 여러 종류의 공격 기법으로 다분화하면서 한 리서처가 다양한 분야의 말웨어를 분석하는 것이 점점 어려워지고 있으며, 최근에는 PE에...
Windows Mitigations - EAF (Export Address Filtering)
WDEG (Widows Defender Exploit Guard)는 기존 EMET (Enhanced Mitigation Experience Toolkit)으로 알려진 익스플로잇 방어 도구를 Windows 10 시스템에 통합하여 제공하는 서비스입니다. 기존 EMET에서 제공하던 여러...
윈도우즈 룻킷 - 윈도우즈 디펜더 무력화
윈도우즈 10 시스템에서는 DSE로 인해서 사실상 룻킷을 설치하는 것이 어렵다라는 의견들이 많습니다. 하지만, 2018년도에 발견된 Detrahere와 같은 말웨어들은 여러 기법들을 조합해서 윈도우즈 10에서 효과적으로 여러 방어 장치를 무력화하는 방법을 사용합니다. 이러한 기법들...