피싱사이트 (2) 썸네일형 리스트형 피싱사이트 확인 간만에 피싱사이트를 체크했다최근 유행하는 뱅커류 패턴은 과거와 비슷했다 감염 -> 큐큐닷컴 블로그 -> 호스트 등록 -> 피싱사이트 유도 특이점은 큐큐닷컴 블로그가 시간단위로 등록된 IP 주소가 변경되고 있었다(쿠쿠가 분석한 내용과 내가 직접 확인한 내용이 달라서 쿠쿠한테 실망했지만.. 역시 쿠쿠는 옳다)언제부터 인지는 모르지만 오늘 확인했으니 오늘부터 변경된거라고 믿는... - 16.06.03 피싱사이트 확인 - 파밍 악성코드 네이버 광고배너를 이용한 파밍코드라는 기사를 접했다 국내 저명한 사이트들 다수가 변조되어 관련 코드를 쉽게 구할수 있었다 입수한 코드는 일부 파일만 존재했지만 최종파일을 얻을수 있었다 CK EK 구조도를 그려보면 아래와 같다 입수한 플래시 파일안의 쉘코드를 통해 최종파일을 확인할 수 있었다 XOR 0E2 복호화 진행 908.jpg 최종 파일을 만날수 있다 908.jpg 는 XOR 70 으로 코드를 변환하면 MZ 구조로 변한다 908.exe 확인 언패킹 후 코드를 살펴보니 다음 위치에 파일 생성을 확인했다 Local Settings\Temp\9C.tmp\육6.bat 66.bat 파일의 역할은 hosts.ics 파일을 생성하여 파밍사이트를 저장한다 실제 생성된 hosts.ics 네이버, 다음 사이트를 들어가.. 이전 1 다음