일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- hash
- speed-measure-webpack-plugin
- self-signed
- open redirect
- 변태는
- 많다..
- sha256
- md5
- encrypt
- 보이스피싱 #대검찰청 #명의도용 #비밀번호 #계좌번호 #공공기관 #가짜검찰청
- CJ대한통운 #쿠팡 #통관번호오류 #통관고유번호오류 #안주원팀장 #모건인베스트
- https
- shell_gpt
- XSS
- react
- 로맨스스캠
- decrypt
- Craco
- 스캠
- 채팅환전사기
- NUGU
- MongoDB #NoSQL #CreateUser #DropUser #mongod #mognod.conf
- 사진도용
- 모의해킹
- esbuild
- Malware Sample
- ssrf
- CryptoJS
- aes
- 취약점
- Today
- Total
목록전체 글 (209)
annyoung
해당 포스팅은 PC버전에 최적화 되어 있으므로 PC버전으로 접속해 주세요. 나이먹고 메이플 한다고 하면 유치하지만 잉여로울때 가끔하는 취미 생활..?이다..ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 메이플 외에도 쿠키런이나 모두의 마블을 하고 있다.(휴.. 이런게 인생망이라는건가..) 아무튼.. 평소에는 악성코드 분석하거나, 해킹 공부하거나, 인터넷 서핑(SNS, BLOG, 등등) 하거나, 영화를 보곤 한다. 잉여가 아니라는걸 강조하고 싶기에 적는다. 하이퍼 스탯은 크리티컬 발동 5(크리 부족..), 크리티컬 최소(왜 찍었지.), 데미지 10, 보스데미지10.어빌리티는 매우 돌렸다가 보공 17%나와서 잠구고 계속 돌리는데 재사용의 "재"짜도 안보인다.-_- 한번 돌릴때마다 13100씩 줄어드는데.. 그리고 내성은 고자다.아..
엄청 바보같이 랜섬웨어 걸렸다. VM Fusion에 빌드된 WIn XP에다가 Cryptowall 3.0 바이너리 꺼내놓고 VM Fusion 공유폴더에 read 권한만 주고 분석하려고 실행했는데 이상하게 걸렸다.. 뭐지? 분명 설정에는 퍼미션에는 Read Only로 되어 있는데.. 왜 걸린걸까.. 덕분에 Document 폴더의 거의 모든게 날아갔다. 오늘은 기분이 좋으니 술을 마셔야할 것 같다. p.s 이제부터 랜섬웨어 분석안할테다... 한다해도 페러렐, VM 툴즈 다 지우고 할꺼다....
제로보드를 사용중인데 이 녀석이 나타난다면 감염되는 이유는 단 한 가지다. 인터넷을 찾아 보니 그누보드, 제로보드 모두 다 Mass SQL Injection을 당했다고 한다. /bbs/icon/ 경로에 group_qazwsxedc.jpg, visitLog.php 이 두녀석이 있을꺼다.꼭 삭제 해주자. 웹쉘이다. ���JFIF``��C ��C ��"�����}!1AQa"q2걨�#B굽R蘭$3br�%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz깂뀊뇠뎷뮄뵓뼏삕슓$ⅵ㎤ø껙뉘떱많봔쳐탬픽�錄桐虜妹伴栒鴨鉛僥揄膣逮擢票�����w!1AQaq"2�B몼굽#3R�br�$4�%�&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz굛꼨냷닀뒕뱮븭뿕솞∀ㄵ├Łげ낫독렇뭔쩠컵판훔杆..
베이코리언즈에서 랜섬웨어를 찾아낼 수 있는 껀덕지가 없다. 광고서버를 통해서 DBD(Drive By Download)되어서 실행되는 것 같은데 시연의 법칙인가.. 직접 이리저리 탐색해도 걸리지 않는다.-_-;; 무튼.. 유포되고 있는 랜섬웨어는 확장자를 ccc로 변경 및 파일 내용을 암호화 해버린다. (CryptoWall의 변종으로 보이고 있다.) 물론.. 당했다면 어쩔 수 없는 노릇이고.. 다음 피해자를 막기 위해서는 덧글이나 방명록에 어떤 방식으로 감염된건지(추측도 가능.), 언제 감염된건지 자세하게 기록 해주셨으면 합니다. 당분간 베이코리언즈 및 불법 동영상 스트리밍 서비스는 이용 중단할 것. 제보 및 발견 하는대로 분석하겠습니다.😊
nopsled@smleeo3o:~/Documents/python/malware (=`ω´=)$ nc 192.168.0.5 80OPTIONS / HTTP/1.1Host: 192.168.0.5 HTTP/1.1 200 OKDate: Tue, 24 Nov 2015 18:18:42 GMTServer: Microsoft-IIS/6.0X-Powered-By: ASP.NETMS-Author-Via: DAVContent-Length: 0Accept-Ranges: noneDASL: DAV: 1, 2Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCHAllow: OPTION..
2015-11-24 03:18:29http://ipsi.catholic.ac.kr/main/index.asp59835DC727054D056A8E0E3914989598211.174.52.78KRHTML/IFRAME.gen 악성코드 경유지로 이용된 건지는 확실치는 않으나 HTML/IFRAME generate로 탐지가 되었다. 이유가 있으니 탐지했겠지. 샘플 입수는 못했으므로 자세한 내용은 없음.. 추가내용))가톨릭대학교 말고도 카이스트 twilight 홈페이지에서도 침해사고(?)의 흔적이 보인다. 아마 가톨릭대학교 입학처도 ro521.com이 iframe 박혀 있었던 것으로 추정된다.
외부 요청으로 인하여 사이트 주소 및 제목이 마스킹 처리 되었습니다. 현재, 파밍에 사용되는 바이너리만 업로드 되어 있다. 사이트가 침해 당하여 유포지로 사용되는듯 싶다. FileName hripr.exe MD5 5D55740A1849BA19DCE2A94E59F2515C SHA-1 925FC976BB9EE71E1F70595B011994394AC6285F Packer PE-PACK v1.0 by ANAKiN 1998 (???) 악성코드 정보표 (언패킹 방법에 대해서는 http://nopsled.tistory.com/164 를 참고하면 된다.) RedTom21@hotmail.com악성코드 제작자의 메일주소인가? 모르겠다. 00401B0B /$ 55 PUSH EBP00401B0C |. 8BEC MOV EBP,..
Manual unpack for PE-PACKPE-PACK 메뉴얼 언패킹 00402904 7D DB 7D ; CHAR '}'00402905 00 DB 0000402906 > $ 74 00 JE SHORT hripr.00402908 ; Entry Point..00402908 >- E9 F3460300 JMP hripr.004370000040290D 00 DB 000040290E 00 DB 00 디버깅을 시작할 때 JE SHORT과 JMP가 있는걸 볼 수 있다. F8을 두 번 눌러 step-over 해준다. 00437000 60 PUSHAD00437001 E8 00000000 CALL hripr.00437006 그럼 위와 같은 코드를 만날 수 있다. F8을 눌러 한번 더 진행한다. (진행하게 되면 EIP는 ..
- 악성코드 분석 개요 현재, (검은사제들)2015.720p.HDRip-H264.by-kyh, 그놈이다FATAL INTUITION, 2015.720p.HDRip-H264.by-kyh -, 탐정 파일에 대한 악성코드 유포가 확인 되었습니다. 이 외에도, 여러가지 토렌트(최신 영화)를 대상으로 악성코드 유포를 하고 있는것으로 예상 됩니다. - 악성코드 분석 내용 BCU확장자 파일은 정상적인 동영상 파일이며 콥스,저작권사,경찰 등의 단속을 피하기 위해 BCU암호화를 진행하였습니다 ● Check Bypass, Movie Decrypt 는 일부 백신에서 오진 할 수 있으니 실시간 검사 혹 백신을 종료 하신뒤 실행하여 주시길 바랍니다 ●● 위 두 프로그램은 절대적으로 바이러스 프로그램이 아닌..
시작하기 전에, 이거 때문에 엄청난 삽질을 했다... 물론 엄청 안되서 삽질을 했지만.. 파이썬의 인코딩 형식은 \u로 시작한다. 하지만 html에서는 %u로 시작했기 때문에 unescape가 불가능 했던 것이다... 이 간단한 것 때문에 매~우 삽질을 했다. 방법은?#-*- coding:utf8 -*-#!/usr/bin/pythonimport sysreload(sys)sys.setdefaultencoding('utf-8') word = unicode('%uC548%uB155%uD558%uC138%uC694%7E%21%20%uC774%uAC74%20%uBB38%uC790%uC5F4%uC785%uB2C8%uB2E4.%24_%24'.replace('%u','\\u'), 'unicode-escape')prin..