악분의 블로그

▶ 영상: youtu.be/piGz8Wga7yY 1. 젠킨스 도커 이미지 다운로드 sudo docker pull jenkins/jenkins 2. 젠킨스 도커 이미지 실행 * 공유 디렉터리를 생성한 후 docker run명령어로 실행 sudo docker run -p 8080:8080 -p 50000:50000 -v [공유 디렉터리 절대경로]:/var/jenkins_home jenkins/jenkins * 인증 문자열 기억(제일 처음 로그인에 사용) 3. 젠킨스 홈페이지 방문 * 인증 문자열 입력 * 플러그인 설치 4. 참고자료 [1] jenkins docker hub: hub.docker.com/_/jenkins [2] jnkins/jenkins docker hub: hub.docker.com/r/je..

File -> Settings -> plugins -> mustache 검색 -> 설치(Install 버튼)

영상: youtu.be/6N2UrPxy4oU 1. 플러그인 설치 1.1 설정 창 열기: [File -> Settings] 클릭 1.2 plugins메뉴 검색 -> lombok 플러그인 검색 -> 플러그인 설치 2. 롬북 어노테이션 설정 플러그인에서 제공하는 어노테이션을 사용하기 위한 설정 필요 2.1 설정창에서 compiler메뉴 검색 -> Build Project automatically(프로젝트 자동 빌드) 활성화 2.2 compiler -> Enable annotation processing 활성화 2.3 Apply -> OK버튼 클릭 후 인텔리제이 재부팅 Apply버튼 꼭 눌러야 함 3. 재부팅과 확인 소스파일에서 Getter, Builder등 롬북 어노테이션이 써지는지 확인

1. 오류발생 - kuebadmin init명령어를 실행하는 과정에서 생기는 에러 2. 해결 - 리눅스 스왑메모리를 비활성화 $ sudo swapoff -a && sudo sed -i '/ swap / s/^/#/' /etc/fstab

▶ njrat 0.7버전 링크: https://github.com/AliBawazeEer/RAT-NjRat-0.7d-modded-source-code ▶ 영상: https://youtu.be/LQdIU7o5zeU 1. 개요​ 1.1 NJRAT역사 공격자가 피해자 PC를 원격에서 제어하는 원격 제어 트로이목마입니다. 2013년 처음 탐지되었고 2020년 지금까지 꾸준히 업데이트되고 있습니다. .NET Visual Basic으로 만들어졌고 0.7버전이 공개적으로 유출되었습니다. 최신 버전 1.x는 유출된 0.7버전에 비해 데이터를 훔치는 인포스틸러 기능과 악성코드를 다운로드 받고 실행하는 기능이 추가되었습니다. ​ ​ 1.2 악성행위 요약 njrat는 서버와 클라이언트 분류됩니다. 서버는 클라이언트를 생성하..

019년 그램(CPU:i5-8U시리즈, RAM:16GB)을 1년 써본 결과 저의 답은 "아니오"입니다. 오히려 2014년쯤에 구매했던 노트북(CPU:i7-4770hq)이 더 잘돌아갑니다. ​ 1. 적합하지 않는 이유 적합하지 않은 가장 큰 이유는 스냅샷 로딩속도 느림과 여러 가상머신 운영불가입니다. ▶악성코드 분석은 스냅샵을 자주 찍고 그 시점으로 이동을 많이 합니다. SSD를 사용했지만 스냅샷을 불러오는 과정이 터무니 없이 느립니다. 컴퓨터 기준(i7-8770) 3초작업이 그램에서 10초 이상 걸립니다. ▶remnux등 악성코드 분석 도구를 사용하기 위해서 여러 가상머신을 사용할 때 너무 느립니다. 물론 도커를 사용해도 되지만 도커에서 동작하지 않은 도구들이 있습니다. ​ 2. 꼭 그램을 사용해야 한다..

▶악성코드 링크: https://app.any.run/tasks/c346e9ef-47a1-4420-b6d6-080ca346ddf8/ ▶프로세스모니터 링크: https://drive.google.com/file/d/1opitQhOUEZ5K6oRheBT6_BH3aAPcpT5i/view?usp=sharing ▶영상: https://youtu.be/wEogBkYWgAY 1. 요약 악성행위를 하지 않았지만 실제로 한 것처럼 속여 돈을 요구하는 악성코드입니다. ​ 1.1 가짜 화면 악성코드는 시스템이 파괴된 것처럼 보이는 잠금화면을 보여줍니다. 실제로 공격자가 구축한 웹페이지를 전체화면으로 보여준것 뿐입니다. 피해자에게 곧 계정/비밀번호, 사진 등 데이터를 훔치겠다는 글과 연락처를 남깁니다. 1.2 실행 지연 악성..

윈도우, 리눅스, 안드로이드 악성코드를 공유하는 무료 사이트를 소개합니다. 바로 bazaar.abuse.ch입니다!. 특징 이 사이트의 특징은 정말 많습니다. 제일 마음에 드는 것은 샌드박스 연동과 API제공입니다. ​ ​ ▶ 특징 1. 악성코드 무료 다운로드 2. 샌드박스 제출과 결과 레포트 연동 3. 풍부한 필터링 3.1 악성코드 패밀리 3.2 탐지된 야라룰 3.3 기타 등 4. 개발을 위한 API제공 ​ Daily 악성코드 0:00(미국시간 기준)에 1~2일 주기로 선별된 악성코드를 제공합니다. 약 10~15개의 윈도우, 리눅스, 안드로이드 악성코드를 공유합니다. 샌드박스 연동 무료로 이용할 수 있는 샌드박스(또는 자동 분석 서비스)에 악성코드 분석 요청을 하고 결과 레포트를 자동으로 연동합니다. ..

※ anyrun 샌드박스 링크: https://app.any.run/tasks/4a0c5896-8686-47e7-9ee9-515cbc051e45/ ※ cape샌드박스 링크: https://capesandbox.com/submit/status/37168/ ※ 영상: https://youtu.be/ZDpvck1RKkg 1. 요약 비트코인 주소를 복사-붙여넣기로 전송하면 공격자에게 비트코인을 전송하는 악성코드입니다. 비트코인 주소는 34글자이므로 대부분 사람들은 복사-붙여넣기를 사용합니다. 악성코드 이것을 이용해서 복사한 순간 공격자 비트코인 주소로 변경하는 원리입니다. ​ 1.1 구현 방식: 클립보드 모니터링 악성코드는 AddClipboardFormatListenerAPI를 사용해서 클립보드를 관리하고 비트..

안랩에서 여러 개의 웨비나를 올렸는데요. 악성코드와 침해사고 분석에 관련된 영상이 많습니다. 그 중 Fileless공격을 설명하는 좋은 영상이 있어 소개합니다. ​ https://youtu.be/Y_e1oZUWaZI ​ 영상에서는 백신탐지를 우회하기 위해 Fileless공격이 2016년 부터 증가한다고 설명합니다. 분석할 파일 대상이 없어 백신탐지를 회피하기 쉽다고 부연설명을 합니다. 또 다른 Fileless가 증가할 수 있었던 이유인 파워쉘(powershell)에 대한 설명과 시연도 있었습니다. ​ Fileless 탐지를 위해 포렌식을 응용하고 있다고 하는데요. 악성코드가 실행한 흔적을 남기는 로그를 분석한다고 언급합니다. 대표적인 도구가 윈도우 이벤트와 sysmon이 있습니다.