Magnitude (3) 썸네일형 리스트형 Magnitude EK 패턴확인 Magnitude EK 패턴에 변화가 있었던듯하다 4월초부터 패턴에 변화를 준듯한 느낌이다 4월에 정리한 내용이지만 까먹을까봐 정리해본다 탐지된 패킷을 확보해서 흐름을 보면 검은색 부분이 좀 이상하지 아니한가? 아래에 이어서 설명 패킷을 순서대로 보면 아래와 같다 코드의 마지막에 쓰는 부분이 먼저 나오고, 코드의 처음부분이 뒤에 나온다? Flags - Warning/Sequence 부분에 실마리가 있었다 Out-of-Order? 패킷이 잘못된 순서 번호를 수신할 경우 순서 번호를 탐지하기 위해 사용하는 메시지 패킷의 순서를 바꿔서 과거 만들어논 룰에는 매칭이 안된것이다 +_+ 또 언제 다른 패턴으로 변경될진 모르지만 아직까진 잘 탐지되는듯 하다 - Magnitude EK 기록 - Magnitude EK 작년부터 Magnitude EK 급증으로 인한 정리 hxxp://alteryog***.net/ (원인) -> 감염 원인 사이트 찾기가 관건 + 감염 원인 사이트에 의해 아래 코드가 동작된다 + 위 사이트를 디코딩 하면 주소가 나오지만 1회성 도메인이다 (단, IP는 유효하다고 판단) hxxp://96ba43i953h5oc.hitfirm.site/613=768&1139=0&953=96&1037=96&954=96&1146=738&1036=96&966=96&2054=true&967= 96&1032=32&572=1024&1041=1024&1492=0& (1회성 도메인, 217.172.190.49) + 악성 행위 동작 흐름 확인 (현재 동작되지 않음) hxxp://64nd25fg2e30n7i.diskpop.bid.. Magnitude EK Magnitude EK 가 요즘 자주 보인다 샘플을 여러개 모아 공통적인 부분을 스노트룰로 만들었더니 더 자주보인다.. 다행인건 탐지코드의 상당수가 해외 사이트라는 점 !! 탐지 코드 디코드 방법 새로운 EK 가 탐지되면 보기쉬운 룰로 만들어봐야 겠다 - 16.04.11 - 이전 1 다음
