일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | |
7 | 8 | 9 | 10 | 11 | 12 | 13 |
14 | 15 | 16 | 17 | 18 | 19 | 20 |
21 | 22 | 23 | 24 | 25 | 26 | 27 |
28 | 29 | 30 |
- CryptoJS
- 로맨스스캠
- CJ대한통운 #쿠팡 #통관번호오류 #통관고유번호오류 #안주원팀장 #모건인베스트
- Malware Sample
- react
- ssrf
- 사진도용
- decrypt
- 많다..
- https
- hash
- esbuild
- open redirect
- self-signed
- sha256
- md5
- 변태는
- Craco
- 모의해킹
- 취약점
- aes
- MongoDB #NoSQL #CreateUser #DropUser #mongod #mognod.conf
- encrypt
- speed-measure-webpack-plugin
- XSS
- 보이스피싱 #대검찰청 #명의도용 #비밀번호 #계좌번호 #공공기관 #가짜검찰청
- 채팅환전사기
- shell_gpt
- NUGU
- 스캠
- Today
- Total
목록분석생활 (78)
annyoung
몇일전 메일로 분석 문의가 들어와서 급하게 써본다.. TLS callback을 어떻게 bypass를 하냐는 문의였는데 솔직히 TLS callback(), IsDebuggerPresent()를 사용해서 안티 디버깅 하는건 나도 몰랐던 부분인데 덕분에 공부도 하고 좋았던 것 같다. TLS callback을 사용하는 악성코드를 어떻게 우회를 하냐며 여러 샘플을 보내주셨는데 한두개 정도 우회 하는 방법에 대해서 설명하려고 한다. 샘플1, loa.exe FileName loa.exe MD5 B3677D1BA7DD15C842D0A0DA4778719A SHA-1 C7C94FFA1DD05CF8F29E9B88FB034E58D4691609 Pack VMProtect v.2.07[표1] TLS callback을 사용하는 샘..
FileName ajk.exe MD5 3CEB54A7BCA642F7A5E997A96F603A40 SHA-1 4EFD870132D70901850E569DB9939BB2B837737E Packer VMProtet 2.0x 여기도 exploit이 업로드 되어 있는건 아니고 바이너리만 업로드되어 유포지로 사용중. .C...........www.pinterest.com..... .C...........www.pinterest.com..................www.pinterest.com.edgekey.net../......+....e9343.aakamaiedge.I.Z.............9 블로그와 비슷한 기능을 가진 pinterest.com에 DNS 쿼리를 날린다. https://www.pintere..
FileName java.exe MD5 F92A5666EA36C16B839E87950E4D6ED9 SHA-1 55C32079EC63BC4D1A9E8FD33BA829E463EAB0B2 Packer PECompact 2.0x Heuristic Mode -> Jeremy Collakeexploit은 발견되지 않지만 바이너리는 유포되고 있다. GET /fcg-bin/cgi_get_portrait.fcg?uins=2835357196?=31241 HTTP/1.1Accept: */*Accept-Language: koCache-Control: no-cacheContent-Type: application/x-www-form-urlencodedAccept-Encoding: gzip, deflateUser-Agent: Mo..
FileName java.exe MD5 9E89057C09D22FE07F486B1A39C23609 SHA-1 E6CBE9BC705F2BF0110AA6D52449A816461B6103 Packer PECompact 2.0x Heuristic Mode -> Jeremy Collake 현재 유포지로 사용 중인데, 현재 사이트에서 exploit은 발견되진 않지만 바이너리는 현재 최상위 디렉토리에 업로드되어 있다. C:\드라이브에 디렉토리를 생성한다. 그리고 윈도우 시작시 자동으로 부팅을 위해 레지스트리에 등록한다. C:\ 경로에 악성코드 드랍 후 프로세스 실행을 위해서 파라미터를 구성한 후에 CreateProcessA를 이용하여 프로세스를 실행한다. 드랍된 dll은 rundll32.exe를 이용하여 KoolMi..
SHA256:6f248cc9d914356e8511b323a229d782f599cc114f5071ec06a92c9915bf867b파일 이름:FD_Auto_IE_1.09_beta4.exe탐지 비율:23 / 56분석 날짜:2015-04-11 00:08:30 UTC ( 6일, 15시간 전 ) 안티바이러스결과업데이트ALYacTrojan.Generic.1289512320150410AVwareTrojan.Win32.Generic!BT20150410Ad-AwareTrojan.Generic.1289512320150410AvastWin32:Malware-gen20150411BitDefenderTrojan.Generic.1289512320150411ComodoUnclassifiedMalware20150410CyrenW32/..
크리겟(해외 쇼핑몰) 사이트에서 파밍이 많이 유포 되는데 정말 많이 말썽이다. 보안에 구멍이 있는 원천적인 근본을 차단해야 하는데 말이다. 정확히는 모르겠지만 게시판에서 파일 업로드 부분에서 삽입된 듯 싶다. Exploit code중에서도 가장 main에 해당한다. 여기서 사용되는 암호화된 유포지를 찾아 복호화 하는게 우선이다. >>> bmw = [263,275,275,271,217,206,206,278,278,278,205,275,263,260,268,256,267,275,256,205,258,270,205,266,273,206,258,263,260,259,264,275,270,273,206,278,264,269,205,260,279,260,159]>>> for i in range(0, len(bmw)..
[문의] 평일 09:00 ~ 18:00 [1588-2188] 이렇게 페이지 소스 가장 하단에 iframe으로 자동으로 애플리케이션을 받게 하는데, 경로가 현재 디렉토리인걸 알 수 있으므로 애플리케이션을 쉽게 받을 수 있다. 만약 자신이 door.php?tel=010&tel2=1234&tel3=4 or 4=4로 인증했다면, 같은 디렉토리 내에 apk파일이 생성된다. 저는 010-1234-1 or 1=1로 인증 받았으므로 어플을 받으러 가보겠습니다. http://ji.*******.com/50ea3a6672d7a62c7930667e73949117/010-1234-1 or 1=1.apk 위와 같이 접속하면 쉽게 다운 받을 수 있다. ※ MD5 해쉬는 다르지만 악성 행위는 뱅킹앱 교체로 유포지 서버(210.20..
민원24 // 안드로이드가 아닌경우 doortodoor.co.kr로 페이지 변경먼저.. User-Agent를 체크하여 Android가 아닌 경우엔 doortodoor.co.kr로 페이지를 리다이렉션 시킨다. 안드로이드인 경우에만 페이지를 볼 수 있다. 따라서 User-Agent는 간단하게 Header를 조작하여 Android로 바꿔준다.(필자의 경우 Chrome의 User Switcher for chrome을 사용하여 Android로 변경) [민원24를 가장한 피싱 메인 페이지] [핸드폰 번호가 다른 경우] - 사실상 "2회 남음"에 대해서 언급을 하는데 거짓말이다. 무한대로 시도가 가능함. [핸드폰 번호가 맞는 경우]- 안드로이드 애플리케이션을 다운로드할 수 있음.실제 CJ대한통운 모바일 사이트와 똑같..
프라이스골프 사이트에 CK VIP Exploit이 업로드되어 어디선가 유포되고 있는 중... function ckl(){var bmw=new Array(263,275,275,271,217,206,206,213,214,205,208,216,215,205,208,209,215,205,208,211,214,217,215,207,208,206,262,262,205,260,279,260,159);return bmw;}function ckls(){return "B2kHkHkgFPKLKLFBFkKwFmFZF2KwFmFKF2KwFmFHFkFPF2FgFmKLBkBkKwByk2Bygg";} 실제 필요한 부분은 이 부분이기 때문에.. 간단하게 파이썬으로 복호화 시도 프라이스골프 사이트에서는 파밍 바이너리가 업로드되어 있지않..
GET /fcg-bin/cgi_get_portrait.fcg?uins=230*******?=7559 HTTP/1.1Accept: */*Accept-Language: koCache-Control: no-cacheContent-Type: application/x-www-form-urlencodedAccept-Encoding: gzip, deflateUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 1.0.3705)Host: users.qzone.qq.comConnection: Keep-Alive HTTP/1...