모의 침투 연구회에 글이 올라와서 빠르게 대충(?) 분석해보았다. 리눅스 악성코드 샘플은 처음보는 본인... 세세한 수식은 확인해보고 추가로 포스팅을 완성하겠음. 분석 시작 'bash라는 이름의 프로세스' 주목하자...! 유저 그룹권한이 모두 mysql임을 주목하자 샘플 파일은 9개의 파일로 이루어져있다. 처음에는 이 9개의 파일이 한곳에서 모든 작업을 하는지 아니면 악성코드의 일부분인지 몰라 분석이 가능할까 싶었다. 일단 elf파일들을 제외한 나머지 text 쉘 파일들만 다 열어보았다. autorun 파일이다. 현재 경로를 dir에 복사하고 crontab으로 반복작업을 수행할 파일을 cron 파일로 redirect crontab 유저 중 upd를 grep하는건 아마 실행 명령어가 잘 들어간지 확인해보려..

파일 내부의 resource 들을 간편하게 수정할 수 있도록 해주는 프로그램입니다. 다운로드 받기

설치 스크립트apt-get update -y apt install golang upx-ucl -y cd /opt && git clone https://github.com/tiagorlampert/CHAOS cd CHAOS go run CHAOS.go

cd /opt git clone https://github.com/n1nj4sec/pupy cd pupy;cd pupy git submodule init git submodule update pip install -r requirements.txt ./pupygen.py 크레덴셜에 현재 사용중인 계정의 암호를 넣는다.

칼리 리눅스에서 MITMf 설치할때 python 라이브러리, 의존성 패키지, Bdfactory 라이브러리 등을 필요로하여 귀찮다.고로 스크립트를 만들어 놓았으니 쓰시길..... apt-get update -y cd /opt && git clone https://github.com/byt3bl33d3r/MITMf apt-get install -y python-dev python-setuptools libpcap0.8-dev libnetfilter-queue-dev libssl-dev libjpeg-dev libxml2-dev libxslt1-dev libcapstone3 libcapstone-dev libffi-dev file cd /opt/MITMf && pip install -r requirements..

cmd를 관리자 권한으로 실행한다. 위와 같이 관리자: 명령 프롬프트 라고 떠야한다. 스크립트netsh advfirewall firewall add rule name="ICMP Allow" protocol=icmpv4:8,any dir=in action=allow