annyoung

우선 글을 작성하기전, 스미싱 보다는 불법 금융? 광고에 해당한다. (근데 그렇다고 금감원에서 고지하는 불법에 해당하는건 아닌것 같더라.) 2021년 10월 17일에 키보드를 해외구매로 구매했는데, 때마침 통관번호오류 문자를 받았다. 해당 단축 URL은 카카오에서 제공하는 QR코드 내프로필 공유 서비스로 이동된다. 카카오에서 제공하는 QR코드 사진을 스캐너에 읽혀보면, URL 링크가 하나 뜨는데 해당 링크를 단축 URL을 통해 이동시킨다. qr.kakao.com 도메인으로 넘어가서 카카오는 딥링크(intent url)를 통해 카카오 QR코드 서비스를 실행시키고 프로필 보기 페이지로 넘어간다. 여기서 마주하는 프로필은 CJ물류보관센터라는 프로필인데 여기서 프로필 변경 히스토리를 보면 사진 변경 시간이 30..

오늘 친구 하나가 검찰청 사칭 보이스피싱에 걸릴뻔 했다. 검찰청 내부 아이피 주소 불러줄테니 들어가서 접속하라고 했나보다. 우선 기본적인 정보는 보이스피싱을 진행하기 전에 정보 수집이된 것으로 판단된다. 친구와 보이스피싱간의 녹취록을 들어보면 이름, 생년월일, 자택 주소(?) 또는 주변 주소지에 대해서는 아는것 같다. 내 친구는 지금 광명에 거주하고 있는데, 철산 우리은행?에 방문하신 적이 있느냐? 라고 물어봤기 때문이다. 그리고 이것 외에도, 아이폰을 사용하고 있느냐라고도 물어보았다. 안드로이드의 경우 apk를 설치하면 되지만 아이폰의 경우 프로파일 설정을 통해 다운받거나 해야되기 때문인듯. 알려준 아이피의 서버 위치는 미국 시애틀에 있다. 클론으로 만들어진 대검찰청 피싱 사이트는 위와 같은 기술 스택..

185.130.44.108 - - [20/Aug/2020 20:39:20] "GET /v2/_catalog HTTP/1.1" 404 - 185.130.44.108 - - [20/Aug/2020 20:39:20] "GET /.env HTTP/1.1" 404 - 185.130.44.108 - - [20/Aug/2020 20:39:20] "GET /.git/config HTTP/1.1" 404 - 위의 1번 라인처럼 Docker Registry HTTP API V2에 사용되는 내용이나 .env와 같은 php laravel framework 등에서 사용하는 환경 설정 configuration 파일. 또는, /.git/config 처럼 git configuration 파일 같은 것들을 자동 크롤링하곤한다. 참고해..

몇일전 APP_ID 요구했다가 카페에서 정지 먹었다 ㅡㅡ... 오늘와서 알았는데 APP_ID는 Apple score board에서도 가져올수 있기 때문에 그닥 중요하지는 않더라. DATA LOAD할때 고유 값으로 검증하는것도 아니고 바로 유저 정보가 불러와지더라.. 해당 API를 이용해서 매크로 만들기 딱 좋아보인다. 하지만 나는 그렇게 열정이 넘치지 않기 때문에,, 그냥 깊게는 안들어가고 몇가지 데이터만 분석해봤다. 김봉식에서 사용하는 1000 => 1A와 같이 치환하는 공식이 있는데 이걸 뭐라고 해야할지 몰라서 열심히 뒤져봤는데 뭐 딱히 안나온다.. 아는 분들은 댓글 부탁드립니다,,, 내 생각엔 number to alphabet converting인줄 알았는데 아니더라... { "d\_a": "921..

수정내역2019-02-01 : 침해사고된 wordpress, theme 버전 추가 2019-02-11 : linux crontab list check2019-02-12 : 치료방법 추가 개요여태까지 리눅스 파일 권한의 중요성을 몰랐다.. 침해된것도 7일전 쯤 알았다. 아무튼 간에 영어로 쓰고 싶지만 한국사람들을 먼저.. 지금도 고치는 법을 몰라서 열심히 계속 늘려가면서 써보겠다. 한 10월쯤 회사에 외국인이 들어오면서 git으로 wordpress를 버전관리하면서 사용하고 있었는데 어느날 갑자기 침해당해있었다.. 확인해보니 거의 1년간 침해된 사실을 모르고 있었다. * main : wordpress 5.0.3 , avada theme 5.4.1* plugins : elementor, xyz php inje..

Title : Your sample "67sooon@naver.com" already arrived DHL Local office Content :Dear @@@ , HANGZHOU ZHENGSHUO TECHNOLOGY CO.,LTD has arranged a shipment for you. The shipment will be collected from them on march 22, 2016 and has DHL consignment number: 905492361. Do you want to follow your package? Track your shipment userid 파라미터를 통해서 이메일을 넣는다.비밀번호 쓰면 smtp나 database에 저장시킨다. DHL 공식홈페이지에서 tracki..

압축파일을 하나 던져 주면서 "자세한 내용을 보려면 첨부된 파일을 열어보어라."라고 한다. 해당 압축파일은 패스워드가 걸려 있지 않은 zip파일이며 zip안에는 js파일이 하나 들어있다. FileName Label_00594831.zip MD5 c097a0e10cfcb30b6fb81ac72452c6e7 SHA-1 9fde521ab6b1ba477d0b96df2c46d31b20124e22 [표1] 압축파일 정보 FileName Label_00594831.doc.js MD5 f35820c6003536e8e706f8059963157f SHA-1 7eccb24fb6d61fbbe6bfe953c8d7e93e91690b0d [표1] 악성 스크립트 정보 js파일을 열어보면 난독화가 되어 있는데, 비교적 복호화가 쉬운 자..

이미지 출처 : https://www.facebook.com/iliwhoth2/posts/1163720230358996 페북에 이런 게시물이 올라와서 현시각(02-12 17:05)에 좋아요 1.4K정도 된다. 진짜로 이런일이 가능한가?라고 생각을 해봤는데. 가능은 하다. 평소에 녹음이 백그라운드로 돌아갔다면(자고 있는데 녹음이 되어 있는 경우) 의심이 많이 가긴 한다. 안드로이드에서 녹음을 한 후 밖으로 나가면 녹음 앱이 꺼지는 건지는 모르겠다만.. 그런데, 녹음 파일이 긴 시간동안(10시간 이상) 됬다면 두 가지 방법으로 나눌 수 있다. 1. 10시간 이상 폰을 켜놓는다. 2. 녹음된 파일을 읽어들이고 덮어쓰기를 한다. (한마디로 저장된 A라는 녹음 파일을 읽어, B라는 녹음 데이터를 붙이는 방식. 결..

토렌트에X라는 사이트에서 히말라야를 가장한 악성코드가 유포되고 있다. 히말라야 동영상은 MPEG 타입의 헤더부분이 배포자에 의해 수정되어 동영상 열람이 처음부터 불가능하다. 불가능한걸 보고 윈도우에서 "동영상 재생이 안될 경우.chm"파일을 열게 되면 악성코드를 다운받아 PC에 실행하는 역할을 하며 악성코드에 감염이 된다. FileName 동영상 재생이 안될 경우.chm MD5 8D582989BAABF0D5EDA730C7BFE8457D SHA-1 AB31D30940551897C1498B2028949CBBA32AF004 packer Not packed(Type : Downloader) [표1 - 악성코드 정보] 해당 악성코드는 위와 같은 텍스트를 띄워준다. 이렇게 띄워줌과 동시에 HTML에 삽입된 악성 스..

FileName esd.exe MD5 EE56D8856646A61D7A2B329FD571955C SHA-1 A29591FA756521B8BDDAE4A0D0B6495B6E25F772 Packer UPX 3.0 리소스 해커로 열어보면 REGISTRY라는 리소스가 추가되어 있다. 딱봐도 암호화 해두었으니까 Resource에 관련된 API에 BP박고 시작한다. 일반적인 UPX패턴과 살~짝 다르다 0047D027부분에서 CALL EAX를 하는데 저기 부분으로 들어가면 UPX 2.0의 일반적인 패턴을 보여준다. 004497B0 . 60 PUSHAD ; NOW EIP004497B1 . BE 00A04300 MOV ESI,esd.0043A000004497B6 . 8DBE 0070FCFF LEA EDI,DWORD PTR..