일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- esbuild
- 스캠
- open redirect
- CJ대한통운 #쿠팡 #통관번호오류 #통관고유번호오류 #안주원팀장 #모건인베스트
- 보이스피싱 #대검찰청 #명의도용 #비밀번호 #계좌번호 #공공기관 #가짜검찰청
- hash
- self-signed
- MongoDB #NoSQL #CreateUser #DropUser #mongod #mognod.conf
- ssrf
- 변태는
- Malware Sample
- https
- decrypt
- sha256
- 많다..
- 사진도용
- md5
- react
- 척추관협착증
- 허리디스크
- 모의해킹
- NUGU
- CryptoJS
- Craco
- XSS
- 취약점
- speed-measure-webpack-plugin
- shell_gpt
- 채팅환전사기
- 로맨스스캠
- Today
- Total
목록Repository (212)
annyoung
토렌트에X라는 사이트에서 히말라야를 가장한 악성코드가 유포되고 있다. 히말라야 동영상은 MPEG 타입의 헤더부분이 배포자에 의해 수정되어 동영상 열람이 처음부터 불가능하다. 불가능한걸 보고 윈도우에서 "동영상 재생이 안될 경우.chm"파일을 열게 되면 악성코드를 다운받아 PC에 실행하는 역할을 하며 악성코드에 감염이 된다. FileName 동영상 재생이 안될 경우.chm MD5 8D582989BAABF0D5EDA730C7BFE8457D SHA-1 AB31D30940551897C1498B2028949CBBA32AF004 packer Not packed(Type : Downloader) [표1 - 악성코드 정보] 해당 악성코드는 위와 같은 텍스트를 띄워준다. 이렇게 띄워줌과 동시에 HTML에 삽입된 악성 스..
일하는데 계속 에러가 터졌는데 try, except때문에 except으로 자꾸 빠지고.. try, except 뺴자니 structure가 너무 바뀌고.. 귀찮아서 계속 삽질했는데 함정이 있었다. 발견하고 나서의 나 자신을 봤을땐 극히 혐오스러웠다.. 늙어가고 있구나.. 생일인데 카페에서 코딩이나 하고 있다니.. 휴 힘들군!
FileName esd.exe MD5 EE56D8856646A61D7A2B329FD571955C SHA-1 A29591FA756521B8BDDAE4A0D0B6495B6E25F772 Packer UPX 3.0 리소스 해커로 열어보면 REGISTRY라는 리소스가 추가되어 있다. 딱봐도 암호화 해두었으니까 Resource에 관련된 API에 BP박고 시작한다. 일반적인 UPX패턴과 살~짝 다르다 0047D027부분에서 CALL EAX를 하는데 저기 부분으로 들어가면 UPX 2.0의 일반적인 패턴을 보여준다. 004497B0 . 60 PUSHAD ; NOW EIP004497B1 . BE 00A04300 MOV ESI,esd.0043A000004497B6 . 8DBE 0070FCFF LEA EDI,DWORD PTR..
해당 포스팅은 PC버전에 최적화 되어 있으므로 PC버전으로 접속해 주세요. 나이먹고 메이플 한다고 하면 유치하지만 잉여로울때 가끔하는 취미 생활..?이다..ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 메이플 외에도 쿠키런이나 모두의 마블을 하고 있다.(휴.. 이런게 인생망이라는건가..) 아무튼.. 평소에는 악성코드 분석하거나, 해킹 공부하거나, 인터넷 서핑(SNS, BLOG, 등등) 하거나, 영화를 보곤 한다. 잉여가 아니라는걸 강조하고 싶기에 적는다. 하이퍼 스탯은 크리티컬 발동 5(크리 부족..), 크리티컬 최소(왜 찍었지.), 데미지 10, 보스데미지10.어빌리티는 매우 돌렸다가 보공 17%나와서 잠구고 계속 돌리는데 재사용의 "재"짜도 안보인다.-_- 한번 돌릴때마다 13100씩 줄어드는데.. 그리고 내성은 고자다.아..
엄청 바보같이 랜섬웨어 걸렸다. VM Fusion에 빌드된 WIn XP에다가 Cryptowall 3.0 바이너리 꺼내놓고 VM Fusion 공유폴더에 read 권한만 주고 분석하려고 실행했는데 이상하게 걸렸다.. 뭐지? 분명 설정에는 퍼미션에는 Read Only로 되어 있는데.. 왜 걸린걸까.. 덕분에 Document 폴더의 거의 모든게 날아갔다. 오늘은 기분이 좋으니 술을 마셔야할 것 같다. p.s 이제부터 랜섬웨어 분석안할테다... 한다해도 페러렐, VM 툴즈 다 지우고 할꺼다....
제로보드를 사용중인데 이 녀석이 나타난다면 감염되는 이유는 단 한 가지다. 인터넷을 찾아 보니 그누보드, 제로보드 모두 다 Mass SQL Injection을 당했다고 한다. /bbs/icon/ 경로에 group_qazwsxedc.jpg, visitLog.php 이 두녀석이 있을꺼다.꼭 삭제 해주자. 웹쉘이다. ���JFIF``��C ��C ��"�����}!1AQa"q2걨�#B굽R蘭$3br�%&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz깂뀊뇠뎷뮄뵓뼏삕슓$ⅵ㎤ø껙뉘떱많봔쳐탬픽�錄桐虜妹伴栒鴨鉛僥揄膣逮擢票�����w!1AQaq"2�B몼굽#3R�br�$4�%�&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz굛꼨냷닀뒕뱮븭뿕솞∀ㄵ├Łげ낫독렇뭔쩠컵판훔杆..
베이코리언즈에서 랜섬웨어를 찾아낼 수 있는 껀덕지가 없다. 광고서버를 통해서 DBD(Drive By Download)되어서 실행되는 것 같은데 시연의 법칙인가.. 직접 이리저리 탐색해도 걸리지 않는다.-_-;; 무튼.. 유포되고 있는 랜섬웨어는 확장자를 ccc로 변경 및 파일 내용을 암호화 해버린다. (CryptoWall의 변종으로 보이고 있다.) 물론.. 당했다면 어쩔 수 없는 노릇이고.. 다음 피해자를 막기 위해서는 덧글이나 방명록에 어떤 방식으로 감염된건지(추측도 가능.), 언제 감염된건지 자세하게 기록 해주셨으면 합니다. 당분간 베이코리언즈 및 불법 동영상 스트리밍 서비스는 이용 중단할 것. 제보 및 발견 하는대로 분석하겠습니다.😊
nopsled@smleeo3o:~/Documents/python/malware (=`ω´=)$ nc 192.168.0.5 80OPTIONS / HTTP/1.1Host: 192.168.0.5 HTTP/1.1 200 OKDate: Tue, 24 Nov 2015 18:18:42 GMTServer: Microsoft-IIS/6.0X-Powered-By: ASP.NETMS-Author-Via: DAVContent-Length: 0Accept-Ranges: noneDASL: DAV: 1, 2Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCHAllow: OPTION..
2015-11-24 03:18:29http://ipsi.catholic.ac.kr/main/index.asp59835DC727054D056A8E0E3914989598211.174.52.78KRHTML/IFRAME.gen 악성코드 경유지로 이용된 건지는 확실치는 않으나 HTML/IFRAME generate로 탐지가 되었다. 이유가 있으니 탐지했겠지. 샘플 입수는 못했으므로 자세한 내용은 없음.. 추가내용))가톨릭대학교 말고도 카이스트 twilight 홈페이지에서도 침해사고(?)의 흔적이 보인다. 아마 가톨릭대학교 입학처도 ro521.com이 iframe 박혀 있었던 것으로 추정된다.
외부 요청으로 인하여 사이트 주소 및 제목이 마스킹 처리 되었습니다. 현재, 파밍에 사용되는 바이너리만 업로드 되어 있다. 사이트가 침해 당하여 유포지로 사용되는듯 싶다. FileName hripr.exe MD5 5D55740A1849BA19DCE2A94E59F2515C SHA-1 925FC976BB9EE71E1F70595B011994394AC6285F Packer PE-PACK v1.0 by ANAKiN 1998 (???) 악성코드 정보표 (언패킹 방법에 대해서는 http://nopsled.tistory.com/164 를 참고하면 된다.) RedTom21@hotmail.com악성코드 제작자의 메일주소인가? 모르겠다. 00401B0B /$ 55 PUSH EBP00401B0C |. 8BEC MOV EBP,..