Drive-by download
Drive-by download Drive-by download는 악성코드가 유포되는 방식 중 하나로, 인터넷에서 컴퓨터 소프트웨어의 의도되지 않는 다운로드와 관련해서, 각각 다음과 같은 두가지를 의미합니다. target website가 공격도구라고 생각될 수 있습니다. 예를들면, 크립토락커(CryptoLocker), 매트릭스(Metrix), 헤르메스(Hermes)로 알려진 랜섬웨어는 주로 Drive-by download 방식으로 유포되었다고 알려져 있습니다. 또한 최근엔 갠드크랩(GandCrab)이란 랜섬웨어가 Drive-by download 방식으로 유포되고 있다고 합니다.) 1. 결과에 대한 이해가 없는 개인이 허가한 다운로드들(예를 들면 알려지지 않은 위조 실행 파일이나, 액티브X 컴퓨넌트 또는 ..
침입 패킷분석2
패킷분석2 statistic을 통해 주로 어떤 패킷을주고 받았는지 확인합니다. http 패킷쪽에서 Media Type의 패킷이 어느정도 분포하고 있습니다. 따라서 웹에서 첨부파일이 있다는 짐작을 할 수 있습니다. packet counter를 보면 2xx번대의 정상적인 패킷들을 제외하고, 4xx대의 오류(없는 페이지 접근)를 주로 발생시키는 것을 확인할 수 있습니다. 4xx대의 오류는 brute force 공격이나 SQL인젝션에서 많이 발생시킵니다. 무차별 대입을 시도하니 당연한 결과입니다. 192.168.206.133에서 8180포트로 접근한 것을 살펴보면 /manager/html/upload와 shell.jsp에 접근한 것을 볼 수 있습니다. 그러므로 피해 서버의 ip는 192.168.206.133이고..
침입 패킷분석1
패킷분석1 해당 패킷들이 어디서 http, ftp 등 어디서 발생했는지를 확인하기 위해, 먼저 패킷들의 통계를 보면 TCP쪽에 몰려있는 것을 확인할 수 있습니다. 그중에서도 HTTP가 비중이 많이 높게 나타납니다. MIME Multipart Media Encapsulation 패킷은 낮게 나타니기 때문에 용량이 큰 파일들이 왔다갔다 하는 것은 아니라고 볼 수 있지만, 작지만 어느정도 비율을 차지하고 있으므로, 어떤 파일이 이동한다는 것을 확인할 수 있습니다. 또한, Line-based text data가 상당한 비중으로 차지하고 있는걸 볼 수 있는데, 브라우저에서 얻어온 형식들 이라고 생각하면 됩니다. 이러한 MIME Multipart Media Encapsulation과 Line-based text d..
point 명령어 p 명령어는 변수 값, 함수의 주소값도 볼 수 있습니다. (gdb) info locals a = {_int = 10, _char = 37 '%', _double = -0.51} //struct my_struct a b = (struct my_struct *) 0x251ff4 //struct my_struct *b (gdb) p a //구조체 a $1 = {_int = 10, _char = 37 '%', _double = -0.51} (gdb) p b $2 = (struct my_struct *) 0x251ff4 //포인터로 선언된 *b 구조체 (gdb) p *b $3 = {_int = 1024, _char = 10 '\n', _double = 3.14 } //포인터를 사용하여 값 확인 ..
귀무가설(null hypothesis, H0) 통계학에서 처음부터 버릴 것을 예상하는 가설입니다. 차이가 없거나 의미있는 차이가 없는 경우의 가설이며, 이것이 맞거나 맞지 않다는 통계학적 증거를 통해 증명하려는 가설입니다. 예를 들어, 범죄 사건에서 용의자가 있을 때 형사는 용의자가 범죄를 저질렀다는 추정인 대립가설을 세우게 됩니다. 이때 귀무가설을 용의자는 무죄라는 가설입니다. 대립가설(alternative hypothesis, H1) 보통 모집단에서 독립변수와 결과변수 사이에 어떤 특정한 관련이 있다는 꼴입니다. 어떤 가능성에 대해 확률적인 가설검정을 할때 귀무가설과 함꼐 사용됩니다. 이 가설은 귀무가설처럼 검정을 직접 수행하기는 불가능하며, 귀무가설을 기각함으로써 받아드려지는 반증의 과정을 거쳐 수..