일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | |
7 | 8 | 9 | 10 | 11 | 12 | 13 |
14 | 15 | 16 | 17 | 18 | 19 | 20 |
21 | 22 | 23 | 24 | 25 | 26 | 27 |
28 | 29 | 30 |
- https
- Craco
- 변태는
- 취약점
- self-signed
- aes
- MongoDB #NoSQL #CreateUser #DropUser #mongod #mognod.conf
- 로맨스스캠
- 많다..
- ssrf
- 사진도용
- speed-measure-webpack-plugin
- CJ대한통운 #쿠팡 #통관번호오류 #통관고유번호오류 #안주원팀장 #모건인베스트
- open redirect
- 모의해킹
- CryptoJS
- XSS
- Malware Sample
- esbuild
- hash
- NUGU
- 보이스피싱 #대검찰청 #명의도용 #비밀번호 #계좌번호 #공공기관 #가짜검찰청
- 스캠
- encrypt
- sha256
- decrypt
- 채팅환전사기
- react
- md5
- shell_gpt
- Today
- Total
목록분석생활 (78)
annyoung
수정내역2019-02-01 : 침해사고된 wordpress, theme 버전 추가 2019-02-11 : linux crontab list check2019-02-12 : 치료방법 추가 개요여태까지 리눅스 파일 권한의 중요성을 몰랐다.. 침해된것도 7일전 쯤 알았다. 아무튼 간에 영어로 쓰고 싶지만 한국사람들을 먼저.. 지금도 고치는 법을 몰라서 열심히 계속 늘려가면서 써보겠다. 한 10월쯤 회사에 외국인이 들어오면서 git으로 wordpress를 버전관리하면서 사용하고 있었는데 어느날 갑자기 침해당해있었다.. 확인해보니 거의 1년간 침해된 사실을 모르고 있었다. * main : wordpress 5.0.3 , avada theme 5.4.1* plugins : elementor, xyz php inje..
Title : Your sample "67sooon@naver.com" already arrived DHL Local office Content :Dear @@@ , HANGZHOU ZHENGSHUO TECHNOLOGY CO.,LTD has arranged a shipment for you. The shipment will be collected from them on march 22, 2016 and has DHL consignment number: 905492361. Do you want to follow your package? Track your shipment userid 파라미터를 통해서 이메일을 넣는다.비밀번호 쓰면 smtp나 database에 저장시킨다. DHL 공식홈페이지에서 tracki..
압축파일을 하나 던져 주면서 "자세한 내용을 보려면 첨부된 파일을 열어보어라."라고 한다. 해당 압축파일은 패스워드가 걸려 있지 않은 zip파일이며 zip안에는 js파일이 하나 들어있다. FileName Label_00594831.zip MD5 c097a0e10cfcb30b6fb81ac72452c6e7 SHA-1 9fde521ab6b1ba477d0b96df2c46d31b20124e22 [표1] 압축파일 정보 FileName Label_00594831.doc.js MD5 f35820c6003536e8e706f8059963157f SHA-1 7eccb24fb6d61fbbe6bfe953c8d7e93e91690b0d [표1] 악성 스크립트 정보 js파일을 열어보면 난독화가 되어 있는데, 비교적 복호화가 쉬운 자..
이미지 출처 : https://www.facebook.com/iliwhoth2/posts/1163720230358996 페북에 이런 게시물이 올라와서 현시각(02-12 17:05)에 좋아요 1.4K정도 된다. 진짜로 이런일이 가능한가?라고 생각을 해봤는데. 가능은 하다. 평소에 녹음이 백그라운드로 돌아갔다면(자고 있는데 녹음이 되어 있는 경우) 의심이 많이 가긴 한다. 안드로이드에서 녹음을 한 후 밖으로 나가면 녹음 앱이 꺼지는 건지는 모르겠다만.. 그런데, 녹음 파일이 긴 시간동안(10시간 이상) 됬다면 두 가지 방법으로 나눌 수 있다. 1. 10시간 이상 폰을 켜놓는다. 2. 녹음된 파일을 읽어들이고 덮어쓰기를 한다. (한마디로 저장된 A라는 녹음 파일을 읽어, B라는 녹음 데이터를 붙이는 방식. 결..
토렌트에X라는 사이트에서 히말라야를 가장한 악성코드가 유포되고 있다. 히말라야 동영상은 MPEG 타입의 헤더부분이 배포자에 의해 수정되어 동영상 열람이 처음부터 불가능하다. 불가능한걸 보고 윈도우에서 "동영상 재생이 안될 경우.chm"파일을 열게 되면 악성코드를 다운받아 PC에 실행하는 역할을 하며 악성코드에 감염이 된다. FileName 동영상 재생이 안될 경우.chm MD5 8D582989BAABF0D5EDA730C7BFE8457D SHA-1 AB31D30940551897C1498B2028949CBBA32AF004 packer Not packed(Type : Downloader) [표1 - 악성코드 정보] 해당 악성코드는 위와 같은 텍스트를 띄워준다. 이렇게 띄워줌과 동시에 HTML에 삽입된 악성 스..
FileName esd.exe MD5 EE56D8856646A61D7A2B329FD571955C SHA-1 A29591FA756521B8BDDAE4A0D0B6495B6E25F772 Packer UPX 3.0 리소스 해커로 열어보면 REGISTRY라는 리소스가 추가되어 있다. 딱봐도 암호화 해두었으니까 Resource에 관련된 API에 BP박고 시작한다. 일반적인 UPX패턴과 살~짝 다르다 0047D027부분에서 CALL EAX를 하는데 저기 부분으로 들어가면 UPX 2.0의 일반적인 패턴을 보여준다. 004497B0 . 60 PUSHAD ; NOW EIP004497B1 . BE 00A04300 MOV ESI,esd.0043A000004497B6 . 8DBE 0070FCFF LEA EDI,DWORD PTR..
제로보드를 사용중인데 이 녀석이 나타난다면 감염되는 이유는 단 한 가지다. 인터넷을 찾아 보니 그누보드, 제로보드 모두 다 Mass SQL Injection을 당했다고 한다. /bbs/icon/ 경로에 group_qazwsxedc.jpg, visitLog.php 이 두녀석이 있을꺼다.꼭 삭제 해주자. 웹쉘이다. ���JFIF``��C ��C ��"�����}!1AQa"q2걨�#B굽R蘭$3br�%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz깂뀊뇠뎷뮄뵓뼏삕슓$ⅵ㎤ø껙뉘떱많봔쳐탬픽�錄桐虜妹伴栒鴨鉛僥揄膣逮擢票�����w!1AQaq"2�B몼굽#3R�br�$4�%�&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz굛꼨냷닀뒕뱮븭뿕솞∀ㄵ├Łげ낫독렇뭔쩠컵판훔杆..
2015-11-24 03:18:29http://ipsi.catholic.ac.kr/main/index.asp59835DC727054D056A8E0E3914989598211.174.52.78KRHTML/IFRAME.gen 악성코드 경유지로 이용된 건지는 확실치는 않으나 HTML/IFRAME generate로 탐지가 되었다. 이유가 있으니 탐지했겠지. 샘플 입수는 못했으므로 자세한 내용은 없음.. 추가내용))가톨릭대학교 말고도 카이스트 twilight 홈페이지에서도 침해사고(?)의 흔적이 보인다. 아마 가톨릭대학교 입학처도 ro521.com이 iframe 박혀 있었던 것으로 추정된다.
외부 요청으로 인하여 사이트 주소 및 제목이 마스킹 처리 되었습니다. 현재, 파밍에 사용되는 바이너리만 업로드 되어 있다. 사이트가 침해 당하여 유포지로 사용되는듯 싶다. FileName hripr.exe MD5 5D55740A1849BA19DCE2A94E59F2515C SHA-1 925FC976BB9EE71E1F70595B011994394AC6285F Packer PE-PACK v1.0 by ANAKiN 1998 (???) 악성코드 정보표 (언패킹 방법에 대해서는 http://nopsled.tistory.com/164 를 참고하면 된다.) RedTom21@hotmail.com악성코드 제작자의 메일주소인가? 모르겠다. 00401B0B /$ 55 PUSH EBP00401B0C |. 8BEC MOV EBP,..
Manual unpack for PE-PACKPE-PACK 메뉴얼 언패킹 00402904 7D DB 7D ; CHAR '}'00402905 00 DB 0000402906 > $ 74 00 JE SHORT hripr.00402908 ; Entry Point..00402908 >- E9 F3460300 JMP hripr.004370000040290D 00 DB 000040290E 00 DB 00 디버깅을 시작할 때 JE SHORT과 JMP가 있는걸 볼 수 있다. F8을 두 번 눌러 step-over 해준다. 00437000 60 PUSHAD00437001 E8 00000000 CALL hripr.00437006 그럼 위와 같은 코드를 만날 수 있다. F8을 눌러 한번 더 진행한다. (진행하게 되면 EIP는 ..