| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 |
- 많다..
- CryptoJS
- 다우오피스
- XSS
- MongoDB #NoSQL #CreateUser #DropUser #mongod #mognod.conf
- 모의해킹
- 취약점
- intelmac
- 네이버카페
- 안전결제
- self-signed
- 채팅환전사기
- 거래사기
- ue4dumper
- Sequoia
- open redirect
- Malware Sample
- 허리디스크
- speed-measure-webpack-plugin
- 척추관협착증
- 중고나라
- 보이스피싱 #대검찰청 #명의도용 #비밀번호 #계좌번호 #공공기관 #가짜검찰청
- shell_gpt
- esbuild
- 변태는
- CJ대한통운 #쿠팡 #통관번호오류 #통관고유번호오류 #안주원팀장 #모건인베스트
- ssrf
- NUGU
- 로맨스스캠
- Frida
- Today
- Total
목록분석생활 (83)
annyoung
성인광고를 이용한 인증서 탈취
성인광고를 이용하여 어플 인증을 받게하여 가입시킨다. 하지만 해당 솔루션 제작자의 두 얼굴 중 하나 인증서 업로드 문자메시지 업로드 택시비용 목적으로 금융정보 탈취
여러번 frame을 이용하여 파밍 유포
document.write로 iframe을 생성 hex encode되어 frame 생성 hex decode 결과 frame을 생성 frame 주소로 가보니 다시 hex encode되어 있어 복호화 hex decode 결과 취약점 유포지 분석 후 디코딩 결과 트래픽 초과로 현재 접속 안 됨.
파밍과 스미싱이 결합된 서버
C드라이브에 dll생성 CreateProcessA와 rundll32.exe를 이용하여 자식 프로세스 생성 및 dll Export 함수 실행 해지된 디지털 서명 사용. Safe Guard Vulnerability patcher를 사칭하여 유포 중 스미싱도 같이 관리하는 듯 싶다.
Image File Execution Options
타겟 프로세스가 시작되면서 디버깅 옵션을 줄 수 있습니다. 이말은 즉슨, taskmgr.exe가 켜지면서 olldybg에 자동으로 attach가 되게끔 설정이 가능하다는 말. 방법은 레지스트리를 Image file execution options를 설정하여 다른 프로그램이 켜지는 것이 가능하여 분석에 도움이 됩니다. 저 같은 경우엔 작업관리자 대신 process explorer.exe를 켜지게 하여 분석에 빠른 도움이 되기도 합니다. 1. 프로세스를 디버깅할 목적으로 사용하는 경우엔 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]에 서브키를 생성합니다. (여기서 서브키의 이름은 타겟..
VMware 공유 폴더 설정 및 사용하기
Vmware 메뉴 탭 -> VM -> Settings… Shared Folders를 선택하고 OK 바로가기를 하나 만들고 \\vmware-host\Shared Folders\[공유한_폴더명] 를 써넣어주시면 됩니다. 그럼 바로가기 만든 디렉토리에서 [공유한_폴더명] 디렉토리를 찾을 수 있습니다. 이것으로 Real PC에서 Virtual PC간의 바이너리 이동이 더욱 편해졌네요.
파밍 악성코드 언패킹
그전에 이어서 포스팅. Pecompact ver.2.7.78a ~ 3.11.00 언패킹이 되고 나서.. 해당 바이너리를 계속 포스팅하겠다. 대부분의 악성코드가 VirtualAlloc을 이용해서 10000000에 메모리를 할당하고 거기에 데이터를 써 넣는다. 그렇기에 올리디버거 command line에 bp VirtualAlloc을 이용하여 브레이크 포인트를 박아준다. 박아줬으면 Alt+B를 눌러서 브레이크포인트가 잘 박혔나 확인. 잘 박혔다. 그럼 이제 F9눌러서 쭉 진행한다. 10000000에 데이터를 써 넣기 위해서 메모리 할당 해주는 것을 볼 수 있다. 쭉 진행하다가 메모리 영역을 보면 10000000이 할당되어 있고 10000000영역에 데이터도 정확히 들어간걸 볼 수 있다. 덤프뜬다. 추가로 계..
PEcompact ver.2.78a ~ 3.11.00 Manual unpacking
해당 바이너리는 PEcompact ver.2.78a ~ 3.11.00로 패킹되어 있지만 언패커가 없는 상황 그러므로 어쩔 수 없이 매뉴얼 언팩을 시도. 오늘도 어김없이 OEP를 찾아 떠난다. 올리디버거로 열어보면 다음과 같은 주소에서 시작이 되는데 계속 진행시켜준다. ZwContinue가 나오면 F7을 눌러서 진행합니다. (정확하진 않지만 루트킷 방식이라 생각됨. SYSENTER가 나오는 것으로 보아 SSDT Hooking) FastSystemCall이 나오는데 F7로 다시 한번 더 실행 SYSENTER가 나오는데 F8로 진행합니다. 진행하면 PUSHAD대신 PUSH EBP, EBX, ECX, EDI, ESI, EDX를 이용하여 레지스터 값들을 저장시키는 것을 볼 수 있습니다. F8을 눌러서 계속 진행합..
지능화된 범죄
페이스북 그룹에 가끔 올라오는 통장 임대.. 빌려주는것만해도 불법이다. 홈페이지를 덤프떠서 자기 홈페이지인 것처럼 사용하고 있는데.. 회사 홈페이지랑 정말 똑같이 생겼다. 역시 툴의 힘이랄까.. 게시판에 글쓰는 기능의 경우 원래 홈페이지로 리다이렉션 시켜버리는..
anti VM bypass - parallels
How to bypass anti VM at parallels 더미다 특정 버전에서는 VMware 뿐만 아니라 Parallels를 탐지합니다. 현재 악성코드에서 Parallels 탐지하는 악성코드는 한번도 보진 못했지만 언젠간 쓸일이 있을것 같아서 작성합니다.(물론 맥북에서 게임 하려고 하는 것도 있지만..) [Themida] Sorry, this application cannot run under a Vitual machine구체적인 예를 들자면 메이플스토리에서는 Themida를 사용하여 VM을 탐지합니다. HKLM\HARDWARE\DESCRIPTION\System에 들어가면 VideoBiosVersion이 있는데 이 데이터 부분을 삭제해주시면 됩니다. Parallels(R) VGA-Compatible..
커스텀으로 패킹된 악성코드 메뉴얼 언팩 - OEP를 찾아서
뭐.. 내가 잘하고 있는건지 못하고 있는건지 잘 모르겠다. 전문적인 지식을 가져야지.. 똑같이 따라하는게 아니라 왜 그러는지 이해하며.. 1. LoadLibraryA를 통해서 Kernel32.dll을 로드시킨다. 2. GetProcAddress를 이용하여 여러 API를 가져온다.ex) CloseHandle, ReadFile, CreateFileA, 등.. 3. 자기 자신을 읽어와서 바이너리 내부에 있는 암호화된 내용을 복호화 하기 시작. 4. 0x004314EB에서 복호화를 시도.참조 되는 메모리 영역 주소는 다음의 이미지에서 언급하겠다. 5. 대략.. 0x0041A384에서 부터 복호화가 시작되며 레지스터를보면 복호화가 시작되고 있다는걸 알 수 있다. 쭉 진행..