XOR로 인코딩 하여 내부적으로 혹은 다른 모듈로 복호화를 진행하는 악성코드들이 발견되고 있습니다. 따라서 XOR로 인코딩 된 파일 확보 시 XOR 키를 찾아서 다시 디코딩 작업을 거쳐야 하는데 이런 과정을 자동화 해주는 스크립트를 작성해 보았습니다. 간단하게 https://jjoon.net/page/?p=149 글에 나왔던 파일에 대해 자동으로 디코딩 해주는 스크립트라 보면 될 거 같습니다. #!/usr/bin/python import operator, sys def find_key(filename): file […]
얼마전 발표된 Internet Explorer 취약점(MS10-002)을 이용한 공격이 이루어 지고 있다. 중국에서 제작된 툴을 이용하여 삽입되는 것으로 보이는 코드가 국내 사이트에 많이 발견되고 있다.형태는 항상 주말을 기해 삽입되고 있으며 최종 다운로드 및 실행되는 파일 역시 새로 삽입될때는 국내 안티바이러스 제품에서 진단되지 않는 새로운 파일을 넣고 있다. 대부분 게임핵 류 악성코드로 국내 온라인 게임 계정을 탈취하는 기능을 […]
얼마전 분석한 PDF 파일에 대한 분석 과정을 기록합니다. 우선 PDF 파일을 분석하는 방법은 여러 방법이 있지만 제가 사용한 방법이 정석은 아닙니다. 더 좋은 방법이 있으면 공유해 주시면 감사하겠습니다. Type : PDF document, version 1.6 MD5 : a8e7cbfeb13ddf4c640ed6388663fec4 Size : 8.95KB (9,172 Byte) 우선 PDF 파일내에 악성 자바스크립트가 있을거라 보고 이전에도 소개한적이 있는 Pdf-Paser 툴을 이용하여 […]
외국에서 Autorun 계열 악성코드가 시작프로그램에 등록하는 과정에서 교묘하게 사용자의 눈을 속이는 방식으로 숨기고 있다고 하여 한국어로 재구성을 해보았습니다. 그럼 아래 그림을 먼저 보도록 하겠습니다.<img src=" http://jjoon.net/wp-content/uploads/2009/12/1183243082.png” class=”aligncenter” width=”577″ height=”325″ alt=”사용자 삽입 이미지” />위 화면에서 무언가 이상한점을 발견하셨나요? 얼핏봐서는 아무리 봐도 이상한 점을 찾을 수 없을 겁니다. 그럼 아래 그림을 보도록 하죠. 이제 이해가 되시는가요? 그렇습니다. […]
몇일 전 Adobe Reader/Acrobat 관련 0-Day 취약점(CVE-2009-3459)이 발표되었습니다. (자세한 내용 : http://blogs.adobe.com/psirt/2009/10/adobe_reader_and_acrobat_issue_1.html) 현재 Adobe 사에서 해당 취약점에 대한 패치는 공개 하였으나 PDF 파일에서 해당 취약점이 존재하는지 확인할 경우가 있을거 같아 포스팅을 합니다. 얼마전에 PDF 파일 분석하기 라는 내용으로 포스팅을 한 글이 있습니다. 해당 글에 보면 PDFiD(PEiD 이름에서 따온 것으로 추측….) 툴이 나옵니다. 이 툴을 이용하여 […]
제 목 : PDF 파일 분석하기 작성자 : ByJJoon 작성일 : 2009. 8. 18 최근 PDF 관련 취약점이 많이 나오며 PDF 파일에 악의적인 스크립트가 삽입되는 사례가 많이 발견되고 있습니다. PDF 파일에 악의적인 스크립트가 삽입되었는지 여부를 확인하기 위해 이 문서를 작성합니다. 사용되는 툴 pdf-parser (http://blog.didierstevens.com/programs/pdf-tools) PDFiD (http://blog.didierstevens.com/programs/pdf-tools) Malzilla (http://malzilla.sourceforge.net/downloads.html) 이번 문서에서는 위의 툴들을 사용할 것입니다. 위의 […]
제 목 : Malzilla를 이용한 악성 스크립트 분석 작성자 : ByJJoon 작성일 : 2009. 8. 1 서론 최근 국내 웹페이지들이 주말을 기점으로 대대적으로 악성코드가 삽입되는 사례가 많이 발견되고 있습니다. 이러한 악성코드가 삽입된 웹페이지 분석 시 좀 더 빠르고 심도있게 분석하여 최종 다운로드 URL을 빨리 파악하여 악성코드를 다운로드 받아 빠르게 대응하고자 해당 문서를 작성 합니다. 들어가기에 […]
어제 국내외 기관, 은행, 포털사이트에 대한 대규모적인 DDOS 공격으로 인해 사이트가 마비되는 상황이 발생했다.[관련기사]이유는 바로 악성코드에 의한 DDOS! – [링크]이번에 이렇게 크게 이슈가 되기 전에 TCP/UDP 80번 포트에 대한 징후가 보이기 시작했었는데……앞으로는 이러한 증상 발생 시, 우선 DDOS를 의심하여 해당 샘플을 확보하여 분석토록 하자!기억 하자 -_- (스트링만 뽑아 봤어도……)그리고 마지막으로 웃긴 캡쳐 하나!
얼마전 발표된 Internet Explorer 취약점(MS10-002)을 이용한 공격이 이루어 지고 있다. 중국에서 제작된 툴을 이용하여 삽입되는 것으로 보이는 코드가 국내 사이트에 많이 발견되고 있다.형태는 항상 주말을 기해 삽입되고 있으며 최종 다운로드 및 실행되는 파일 역시 새로 삽입될때는 국내 안티바이러스 제품에서 진단되지 않는 새로운 파일을 넣고 있다. 대부분 게임핵 류 악성코드로 국내 온라인 게임 계정을 탈취하는 기능을 […]
외국에서 Autorun 계열 악성코드가 시작프로그램에 등록하는 과정에서 교묘하게 사용자의 눈을 속이는 방식으로 숨기고 있다고 하여 한국어로 재구성을 해보았습니다. 그럼 아래 그림을 먼저 보도록 하겠습니다.<img src=" http://jjoon.net/wp-content/uploads/2009/12/1183243082.png” class=”aligncenter” width=”577″ height=”325″ alt=”사용자 삽입 이미지” />위 화면에서 무언가 이상한점을 발견하셨나요? 얼핏봐서는 아무리 봐도 이상한 점을 찾을 수 없을 겁니다. 그럼 아래 그림을 보도록 하죠. 이제 이해가 되시는가요? 그렇습니다. […]