Technology Notepad Technology Notepad

자신이 사용하는 리눅스 머신이 있다면 SSH 로그인 시 OTP (One Time Password) 인증을 추가하여 2 factor authentication 를 적용해 보면 어떨까요? 일단 저는 해보았습니다. 실제로 필자가 다니는 회사에서는 98%이상이 윈도우 기반의 운영체제를 사용합니다. 그리고 나머지 운영체제 중 필자가 포렌식 분석업무를 위해 Ubuntu 를 사용하고 있는 것이 있는데 어제는 그 머신 중 Ubuntu 에 Google OTP 를 적용하여 SSH 로그인 시 2 factor authentication 을 하도록 해 두었습니다. 아래 URL은 구현을 위해 참고한 곳인데 너무 설명이 잘 되어 있어서 내가 따로 이런 글을 쓰는데 많은 망설임을 준 곳이기도 합니다. http://www.linux...

최근 침해사고 대응을 하면서 고객사의 네트워크가 취약하다는 것을 어떻게 하면 효과적으로 전달할 수 있을까? 고민하다가 시각화(Visualization)하는 방법을 사용하면 좋겠다고 생각하였습니다. 시각화를 위해서는 어떠한 데이터를 시각화 할 것인지? 그리고 어떻게 표현한 것인지를 우선적으로 고민해야 합니다. 고객사에서 분석을 하기위해 네트워크 IP 를 하나 할당 받았는데 공인 IP 였습니다. 실로 감회가 새로웠습니다. 그러고보니 공인 IP 를 사용해 본 것이 2000년도 이후로는 한번도 없었던 것 같군요. 일단 부여받은 IP로 설정하여 Wireshark 를 실행해 보았습니다. 역시나!!! 사내에서 사용하고 있는 모든 IP 대역이 제가 실한한 Wireshark 를 통해 확인할 수 있었고, 내부 사설 IP ..

최근 침해사고대응을 하다보면 파일명이 단 하나인 것을 심심치 않게 볼 수 있다. 예를 들면 x.exe 와 같은 것을 말한다. 이런 규칙들로 구성된 파일을 찾기 위해서는 기존의 파일 브라우저를 통해서는 전체를 한 눈에 확인하는 것은 어렵다. 이 글에서 예를 들고자 하는 것은 인케이스(EnCase) 이다. 인케이스는 기본적으로 알파뱃과 특수문자 그리고 숫자로 이루어진 파일명을 기준으로 정렬한다. 그러기 때문에 a.exe 와 b.exe 사이에는 수 많은 파일들이 존재하게 된다. 인케이스에서 Conditions 를 이용하면 어렵지 않게 파일명이 한 자리인 파일들만을 목록화 하여 확인할 수 있다. 조건은 아래와 같다. Description 이 "Folder" 가 아니면서파일명 뒤에서 내번째에 피리어드(".")가 ..

어제 PDF 파일이 분석 요청 들어왔습니다. 뭐, PDF는 SZ 에서 그렇게 심각하게 다루고 있는 분야가 아니여서 사실 그냥 넘어가려고 했던 것도 사실입니다. ^^; 그런데, 타사에서 Exploit 로 진단하고 있는 것을 알게되자, 그럼 나도 잡아야지!!! 라는 생각에 한번 들여다 보기로 했습니다. 대충 눈으로 훑어 보기 우선 PDF를 텍스트 뷰어로 열어 보면 스크립트 같은 텍스트들이 보이고 중간 중간에 stream 이라는 문자열이 보입니다. 그 부분에 악성코드가 있을 확율이 높기 때문에 풀어보기로 했습니다. 확인했으면 준비물 챙기기 해당 스트림을 풀기위한 준비물이 있습니다. 시작 옵셋 - 위에서 살펴본 stream 다음 입니다. 물론 케리지 리턴 값은 빼야겠지요. 길이 - 길이는 stream 문자 앞에..

윈도우 실행파일 구조인 PE (Potable Executable) 에는 EXPORT 라는 외부노출함수를 지원합니다. 일반적으로 DLL (Dynamic Load Library) 에서 사용되며 외부로 노출되는 함수는 일반적으로 (ASCII 기반의 문자열로 구성된) 이름을 기반으로 작성됩니다. 더불어 이 글에서 이야기 하고자 하는 “EXPORT 함수의 위치”는 일반적으로 해당 DLL 안에 존재합니다. 이러한 값들은 IMAGE_EXPORT_DIRECTORY 구조체에 AddressOfFunctions 라는 변수에 의해 RVA (Relative Virtual Address) 함수주소가 나열된 곳의 시작점을 가리키고 있습니다. typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Cha..

대칭키(Symmetric Key)를 사용하여 암호를 하는 것은 암호 서비스 하는 측면에서 볼때 키관리에 비효율적이다. 단적인 예를 들자면 Alice 가 n 명과 서로 다른 암호문장을 보내기 위해 Alice 는 n 개의 키를 가지고 있어야 한다는 이야기가 된다. 그래서 Diffie 와 Hellman 이 서로 암호화 통신을 하고 싶은 사람들이 대칭키와 같은 정보 교환없이도 그들만이 알 수 있는 암호문을 서로 주고 받을 수 있도록 프로토콜을 고안하였다. 이 프로토콜의 핵심은 유한체상의 이산대수문제를 수학적으로 풀기어렵다는 것에 기초한다. 주절이 말로 설명하는 것 보다 그림을 보는 것이 보다 정확한 정보 전달이 될 것 같아서 Microsoft Office 2010 Power Point 로 문서를 만든 후 동영상..

암호문을 깨기 위해 사용하는 방법 중 가능한 모든 방법을 대입하여 공격하는 전수공격(brute force) 기법이 존재한다. 이는 가장 확실한 방법이기는 하지만 소요되는 시간이 너무나 길어 현실성이 없는 경우가 대부분이다. 그러나 수학적 논리는 종종 인간의 직관을 뛰어넘는 경우가 있다. 통계학적으로 그렇게 전수공격이 비현실적이지만은 안은가보다, 여기서 소개할 생일공격(birthday attack) 또는 생일역설(birthday paradox) 을 살펴보면 불가능하게만 보였던 전수공격이 한번 시도해볼 수 있는 여지를 가지고 있다고 생각하게 만들 것이다. 최소한 몇명이 모여있으면 그 중에 생일이 같은 두 사람이 있을 확률이 없을 확률보다 높을까? 한번 생각해보시길 바람니다. 100명 혹은 1000명 몇 명정..

해쉬(HASH) 함수는 가변적 길이의 입력값을 고정적인 짧은 길이의 결과를 출력하는 함수이다. 이러한 특성상 계산복잡도가 높은 RSA 알고리즘에서 길이가 상대적으로 긴 원문을 서명하는 것이 아니라 원문을 해쉬한 결과를 서명하는 방법에도 사용되어 지고 있다. 동일한 입력에 대해 동일한 결과를 출력하는 성질을 메시지 무결성(Identification) 에 많이 사용되는 기술로 MD5, SHA1 등의 알고리즘이 존재한다. 명 칭 출력길이 개발자 비 고 SHA-1 160 Bit 미국 NIST RIPEMD 160 Bit EU RIPE MD5 128 Bit 미국 RSA Collisions for random IV HAS0160 160 Bit 한국 KISA 이런 해쉬함수들은 기본적인 다음과 같은 세가지 성질을 만족한..