해킹의 꽃 안녕하세요 권형서 입니다. 해킹의 꽃, exploit. 제목이 조금 오글거리거나 건방져 보일수도 있는데요. 여기 대부분 보안공부를 시작한지 얼마 안된 분들인 만큼, 제가 보안공부를 해 오면서 힘들게 정복한 수많은 산들이 있다고 하면, 여러분들께 그 산을 좀더.

Slides:

Advertisements

Similar presentations

지지금 우리나라에서는 정보보안전문가가 약 500 명도 되지 않는다. 그그리고 지금 컴퓨터를 쓰지 않는 곳이 없다. 또, 농협 해킹 등 여러 가지 이유 등으로 유망하다.

Advertisements

Revers3r( 임재혁 ). Contents 1. About me 2. Pwntools 에 대해 … 3. Pwntools 설치 4. Pwntools 의 다양한 기능들 5. Pwntools 를 이용한 익스플로잇 몇 가지.

GOgOS 사양 체크 GOgOS 는 Microsoft PowerPoint 로 제작되었습니다. 파워포인트로 이용 가능한 기능 ( 도형, 실행 설정, 애니메이션, 매크로, VBA) 으로 제작되어 Microsoft PowerPoint 2007 이상 및 PowerPoint 2010.

출석수업 과제 – 총 5문제, 10월 25일 제출 정보통계학과 장영재 교수.

Global FC(Food Culture) Reporter 5기 신청서

INTERFACE 보안 소모임. SHI(Security & Hacking in Interface)

컴퓨터와 인터넷.

무료문자 보내기 62. 창업자께서 현재 스마트폰 무제한 약정 요금제를 사용하고 계시다면

네트워크 기술을 통한 현재와 미래 소개.

<<< 시스템등록정보 “하드웨어-장치관리자” 설정 >>>

요한복음 3:16.

1. 신뢰할 수 있는 싸이트 등록 인터넷 익스플로러 실행 후 실행

SQL Injection Member 최병희, 김상우, 조용준, 유창열.

재미있는 요리 활동 바다반 친구들 모두모두 즐겁게 요리해요! 언양초 바다반 교사 백주영.

SAS Foundation Client 9.4 설치 가이드

1장. 이것이 C 언어다.. 1장. 이것이 C 언어다. 프로그래밍 언어 1-1 C 언어의 개론적 이야기 한글, 엑셀, 게임 등의 프로그램을 만들 때 사용하는 언어 ‘컴퓨터 프로그래머’라는 사람들이 제작 C 언어(C++ 포함)를 가장 많이 사용함.

(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크

발표자 : 손충호 조원 : 유진우, 노유성, 조사랑, 손충호

Bluetooth Billionton Setup

소프트웨어 30일 평가판 사용후기 (CY10Q4 프로모션 응모용)

Matasploit의 소개와 사용법

정보화 사회와 컴퓨터 보안.

12강. 액션태그 액션태그란? forward, include, param 태그 살펴보기

Malware (Sample) Static/Dynamic Analysis (no reversing)

도서 교 환 권 도서 증 정 권 자녀 자녀 학년 이름 2017년 초등 1~2학년 교과서 개정 강좌 참석자 선물 연락처

(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크

이런 직업도 있어요^^ 빅데이터분석전문가 Q : 어떤 일을 하는 직업인가요?

디지털회로설계 (15주차) 17. 시프트 레지스터와 카운터 18. 멀티바이브레이터 * RAM & ROM.

Transmission & Analysis

시스템 인터페이스 Lab3 Unix 사용법 실습.

소마큐브로 3*3*3(정육면체)만드는 방법 탐구하기

욕심이 잉태한즉 죄를 낳고 죄가 장성한즉 사망을 낳느니라 야고보서 1장 15절 말씀 -아멘-

자녀들아 모든 일에 부모에게 순종하라 이는 주 안에서 기쁘게 하는 것이니라 골로새서 3장 20절 말씀 -아멘-

29강 JAVA 스레드 - 스레드란? - 멀티스레드 문법 - synchronized Lecturer Kim Myoung-Ho

LIT-GenAppSetup ※ Texting+ 클라이언트 프로그램은 제품 인증을 받은 제품입니다.

삼성(PC Manager Plus, PC Link2000)

27강 JAVA Collections - II - Map계열 컬렉션 클래스 살펴보기 - Set계열 컬렉션 클래스 살펴보기

FileMaker를 이용한 데이터 관리 옥현진(KICE).

컴퓨터 시스템 하드웨어 컴퓨터 시스템 소프트웨어 C P U Control Unit 입 력 장 치 출 력 장 치 ALU

아버지께 참되게 예배하는 자들은 영과 진리로 예배할 때가 오나니 곧 이때라 아버지께서는 자기에게 이렇게 예배하는 자들을

5강. 배열 배열이란? 배열의 문법 변수와 같이 이해하는 배열의 메모리 구조의 이해 레퍼런스의 이해 다차원 배열

20강 패턴을 통한 객체지향 언어의 이해 - II - 난이도 있는 패턴 예제 - I Lecturer Kim Myoung-Ho

9강. 클래스 실전 학사 관리 프로그램 만들기 프로그래밍이란 결국 데이터를 효율적으로 관리하기 위한 공구

성령님은 무엇을 도와 주실까요? 이 세상을 만드신 분이세요 우리를 구원해 주신 분이세요 우리를 도와 주시는 분이세요

네트워크 환경 구축과 이미지 전송 호스트/타겟 통신 직렬 통신을 이용한 이미지 전송 수퍼 데몬 BOOTP 환경 구축

말하기 ㆍ 듣기 2학년 2학기 5.마음을 전해요 >1)주고받는 마음 (2/4) 내 마음 전하는 말 하기.

Steven D. Levitt Stephen J. Dubner

18차시/ 행동예절(6/7) 전화를 걸 때의 예절 지도/ 선생님 달서시니어 유아전통예절교육봉사단.

하나님의 말씀 이 백성은 내가 나를 위하여 지었나니 나를 찬송하게 하려 함이니라 이사야 43장 21절 말씀 -아멘-

AT MEGA 128 기초와 응용 I 기본적인 구조.

안녕하세요!.

인공 지능 시대에 필요한 인재 행복한 미래를 만드는 기술자 김송호.

언어예절 교과서 124쪽~126쪽.

함수, 모듈.

그러므로 형제들아 내가 하나님의 모든 자비하심으로 너희를 권하노니 너희 몸을 하나님이 기뻐하시는 거룩한 산 제물로 드리라

사회공학적 기법을 이용한 공공장소 Wi-fi 망에서의 해킹 시연 울산대학교 정보보안동아리 UNKNOWN

2018년 11월 12일 박성진 Web & Internet [09] 레이아웃 P2 2018년 11월 12일 박성진

하나님의 말씀 이스라엘이여 여호와의 구원을 너는 행복한 사람이로다 그는 너를 돕는 방패시요 너 같이 얻은 백성이 누구냐

미 술 5 학년 4.이야기 세상 (5-6/6) 초기화면 마술 그림을 그리고 작품 감상하기.

사람에게 보이려고 그들 앞에서 너희 의를 행하지 않도록 주의하라

영접하는 자 곧 그 이름을 믿는 자들에게는 하나님의 자녀가 되는 권세를 주셨으니 요한복음 1장 12절 말씀 -아멘-

1장 C 언어의 개요 C 언어의 역사와 기원 C 언어의 특징 프로그램 과정 C 프로그램 구조 C 프로그램 예제.

HW1 채점 기준 총 15점 HW1_BOF 폴더에 제공되는 프로그램에서 BOF를 일으킬 것 (3점)

방승욱 여은수 민세훈 해킹.

DBMS & SQL Server Installation

1. PortBlock 이란 RJ-45 물리 블록킹 개념 RJ-45 블록킹 Site별 전용 Key

펌웨어(S/W) Upgrade 방법 Samsung Kies3

오늘의 강의 제목을 입력하세요 소 속 : 인문대학 국어국문학과 이 름 : 홍길동 교수 1.

XSS 취약점을 이용한 웹메일 해킹

Presentation transcript:

해킹의 꽃 안녕하세요 권형서 입니다. 해킹의 꽃, exploit. 제목이 조금 오글거리거나 건방져 보일수도 있는데요. 여기 대부분 보안공부를 시작한지 얼마 안된 분들인 만큼, 제가 보안공부를 해 오면서 힘들게 정복한 수많은 산들이 있다고 하면, 여러분들께 그 산을 좀더 쉽게 정복할수 있게 오늘 발표를 준비 하였습니다. 해킹의 분야를 나누자면, 시스템 해킹, 웹 해킹, 디지털 포렌식, 리버스 엔지니어링 으로 크게 나눌수 있습니다. 조금 공부하다보면 왜 이렇게 나누는지 아실겁니다. 각 분야별로 어떤일을 하시는지 알게 되실겁니다. 저는 보안공부를 시작해서 이때까지 일편단심으로 시스템해킹만 파왔습니다. 한 우물만 파다보니. 내가 정말 이 분야에 재능이 있긴 한걸까? 라는 생각도 많이 하고, 나보다 어리지만 훨씬 잘하는 그런 친구들도 많이 봐 왔습니다. 하지만 제가 시스템 해킹을 계속 공부하는 이유는, 시스템 해킹만의 독특한 희열이 있습니다. 그 희열중에 최고봉은 제가 생각하기에 exploit이고, 저뿐만 아니라 다른 시스템해커들도 모두 추구하는 방향이기도 합니다. 지금부터 제가 설명하는 것은, 가장 menual한 방법의 exploit이라고 생각하시면 될 것 같습니다.

해커의 등급 엘리트 세미 엘리트 디벨로프트 키디 스크립트 키디 레이머 길버트 아라베디언 이라는 유명한 분이 다음과 같이 해커의 실력에 따라 등급을 부여하였습니다. 이름을 보시다 시피 최상위와 그 다음단계는 엘리트가 붙습니다. 이 엘리트와 키디를 분류하는 가장 큰 차이점이 바로 exploit을 만들 수 있느냐 없느냐의 차이 입니다.

최근 악성코드 유형 Ref) Alyac Report 2013

Exploit 이란? Reversing Memory BUG BUG Kernel Kernel Memory 사전적 의미: {나쁜 목적으로) 이용하다. 해킹에서의 의미: 컴퓨터의 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그, 보안 취약점등 설계상 결함을 이용해 공격자의 의도된 동작을 수행하도록 만드는 것 Memory BUG BUG Kernel Kernel Memory exploit은 쉽게 말해서, 취약점을 이용한 공격입니다. 예를 들어서 설명 하자면 보통 영화에서 악당들이 주인공의 자녀를 납치해서 주인공을 조종하는 그런 영화, 다들 한번쯤 보신적 있으십니까? 이것을 해킹에 비유하자면, 악당은 해커이며, 주인공은 프로그램이며, 주인공의 자녀는 프로그램의 버그나 보안 취약점, 설계상의 결함이 되겠습니다. 이해가 좀 되셧나요? 그럼 이 그림은 무엇을 의미하는 것일까요? 이것은 제 나름대로 exploit을 하는데 가장 많이 쓰이는 4개의 요소입니다.

Exploit 유형 Local Remote 공격 방법 공격 방법 상대방이 외부에 서비 스 하고있는 프로그램 취약점을 공격 특징 ssh, telnet에 접속후 코드실행 데이터 파일을 통한 사회공학적 기법이 쓰임 특징 특징 매우 크리티컬 난이도가 높다. Local Remote exploit의 유형은 크게 2가지로 나눌수 있습니다. 로컬과 리모트로 나누는데, 이를 나누는 기준은 간단하게, exploit코드를 어디서 실행하냐 입니다. exploit코드를 내컴퓨터에서 실행해서 공격하면 리모트, 상대방 컴퓨터에서 실행하면 로컬이 됩니다. 대표적 공격 유형 대표적 공격 유형 Web hacking OS attack Deamon Service Attack Spear pishing vector

Exploit 목적 Denial of Service 특정 컴퓨터 or 서비스 마비 백신 무력화 Hooking 정보를 가로채기 Key logging Abusing 버그를 통한 승부조작 맵핵, 아이템 복사 등 Spoofing 접근 물가능한 정보를 추 출하기 위한 취약점 공격 Sql injection memory leak 시스템 장악 DOS-백신 무력화 시스템 장악 스푸핑-sql inject 어뷰징 후킹을 통한 키로깅

B F M U 대표적 버그의 유형 Format string Memory leak Use after free Buffer overflow F Format string M Memory leak U Use after free 대표적 버그의 유형 BOF format_string memory_leak UAF

DEMO GOM Player 2.0.12(.ASX) Stack Overflow Exploit

보안대책 IPS 침입 탐지 시스템 IDS 침입 차단 시스템 Anti Virus Memory Protection Technique Virtual Machine 진부한 이야기지만 백신, - 하지만 제로데이 취약점은 막지못해 침입 탐지 시스템(IPS) / 침입 차단 시스템(IDS) 메모리 보호 기법 샌드박스 환경 - vm

이런 기술을 가지고 어떤 직업으로 전직 가능한가? Bug Hunter 시스템 엔지니어 악성코드 분석가 Cracker