공부/콤퓨타 (47) 썸네일형 리스트형 SWF/CVE-2018-15982 SWF/CVE-2018-15982 취약점에 대해 찾아봤다 Office 문서에 포함 된 ActiveX 호출과 함께 플래시 제로 데이(use-after-free () 버그) 코드를 악용하는 방식이라고 한다ActiveX 플러그인은 Flash Player를 호출하여 공격코드를 실행하는 구조인 셈이다 샘플을 구해 확인해봤다D0 CF 로 시작하는 엑셀문서로 확인 예전부터 사용하던 OfficeMalScanner 을 사용해서 스캔을 돌려봤다tra.xls 는 포멧타입이 엑셀이고 0xa18 주소에 Flash signature 가 Embedded 된 부분을 확인했다 tra.xls 문서의 프로젝트는 Sheet1 을 가리키고 있었다 구조는 잘 모르지만 하단부분을 보니 아래와 같은 Flash 파일을 언급하는 부분이 보였다VB_C.. 2018년도 과학수사 국제학술대회 대검찰청으로 포렌식 세미나를 다녀왔다공무원 또는 기관에 종사하는 분들이 주를 이뤘다 09:30 ~ 17:10 까지 이어진 세미나 시간클라우드 엣지에 대한 열띤 논의가 있었지만 세미나의 결론을 한줄로 표현하자면기술의 발전 속도를 법이 따라오지 못한다 였던거 같다 판사님, 검사님, 일본검사님, 미국FBI 직원 등등 저명한 분들의 발표를 듣고 생각할 수 있는 시간을 가진거 같아 좋았다 :)상세 내용은 기밀성을 유지해야될거 같아서 생략(귀찮아서 그런거도 쬐끔 있음) 점심은 구내식당에서 먹는다고 해서 기대를 안했는데생각 외로 코스요리가 나와서 맛있게 잘 먹었다 :) 서비스업에 다니는 나로써는 반대편 시각에서의 불만과 개정사항에 대한 의견을 들을수 있는 좋은 기회였다고 생각한다내년에도 기회가 된다면 들어야겠다 - .. decimal 최근 호스트 주소에 숫자값으로 적힌 로그들이 유행하는듯 하다 샘플을 보면 오픈바스(http://www.openvas.org) 스캐너를 이용한 스캔 공격이고 호스트 부분에 숫자값이 적힌 공격 로그라는 점을 알 수 있다공격자가 아무 생각없이 날렸을거 같진 않고 확인해보니 http:// 주소에 Integer 이든 Hexadecimal 등 숫자값으로 와도 자동변환되는 구조다즉, 8진수를 넣든 16진수를 넣든 저 공격은 통한다는 것이다MS에서 그렇게 만들었으니 그런가 보다 ;;* 해당 아이피는 임의대로 변환한 값으로 공격 대상과는 연관이 없다 GET /openstock/scr/soustab.php?dsn[phptype]=../../../../../../../../../../../etc/passwd%00 HTTP/.. Burp suit 업무상 프록시 툴을 사용해서 체크할 일이 종종 생긴다 과거엔 파로스를 가지고 주구장창 쓰다가 피들러로 넘어갔던 기억이 떠오른다 파로스가 맥버전이 나온거 같고 피들러는 모노프로젝트를 설치하면 닷넷 프레임워크를 사용할 수 있다는 정보를 입수 파로스는 왠지 끌리지 않아 피들러 모노프로젝트를 검색해서 실행해 봤다 모노프로젝트란? 모노(Mono)는 C# 컴파일러와 공통 언어 런타임을 필두로 하는 Ecma 표준 및 닷넷 프레임워크 호환 도구를 개발하는 자유 및 오픈 소스 계획으로 현재 노벨에서 이 계획을 지휘하고 있다. 모노는 리눅스, BSD, Mac OS X, 오픈솔라리스를 필두로 하는 다양한 유닉스 계 운영체제에서 이용할 수 있으며 윈도에서도 이용할 수 있다. 사실 마이크로소프트에서 이미 FreeBSD와 Mac.. jjencode 몇년전에 난독화 문제로 가끔 출제되던 유형이었던거 같은데 최근 jjencode 난독화를 사용한 네이버,다음 피싱사이트가 최근 확인된다 아래는 문제의 jjencode 난독화가 삽입된 코드 아래는 jjencode 를 복호화한 코드 복호화를 하나씩 하려면 너무 많은 시간이 필요해서 구글링해보니 좋은 자료가 있었다 깃헙에서 아래 코드를 다운받아 쉽게 복호화가 가능했다 https://github.com/jacobsoo/Decoder-JJEncode/blob/master/decoder.html 최근 유행하는 네이버, 다음 피싱사이트를 꼬아논거 보니 jjencode 가 자주 보일거 같은 느낌이다 - 17.08.01 jjencode 를 보고 반가운 어느날 - Magnitude EK 패턴확인 Magnitude EK 패턴에 변화가 있었던듯하다 4월초부터 패턴에 변화를 준듯한 느낌이다 4월에 정리한 내용이지만 까먹을까봐 정리해본다 탐지된 패킷을 확보해서 흐름을 보면 검은색 부분이 좀 이상하지 아니한가? 아래에 이어서 설명 패킷을 순서대로 보면 아래와 같다 코드의 마지막에 쓰는 부분이 먼저 나오고, 코드의 처음부분이 뒤에 나온다? Flags - Warning/Sequence 부분에 실마리가 있었다 Out-of-Order? 패킷이 잘못된 순서 번호를 수신할 경우 순서 번호를 탐지하기 위해 사용하는 메시지 패킷의 순서를 바꿔서 과거 만들어논 룰에는 매칭이 안된것이다 +_+ 또 언제 다른 패턴으로 변경될진 모르지만 아직까진 잘 탐지되는듯 하다 - Magnitude EK 기록 - powershell + zlib 압축구조 악성코드 powershell 을 사용한 악성코드는 몇해전부터 이슈가 되어 왔지만, zlib 구조는 4~5년전 악성코드때 보고 오랜만인거 같다 이번 코드의 구조는 powershell, base64, zlib 압축구조를 이용한 케이스 였다 * 이 코드로 base64로 동일하게 디코딩을 하면 compress 에 의해 풀리지 않는다 * 구글링을 통해 해제코드를 확인할 수 있었다* 깃 참조: https://github.com/novafloss/django-saml2-sp/blob/master/sptest/saml2sp/codex.py * 최종 유포지로 추.. Magnitude EK 작년부터 Magnitude EK 급증으로 인한 정리 hxxp://alteryog***.net/ (원인) -> 감염 원인 사이트 찾기가 관건 + 감염 원인 사이트에 의해 아래 코드가 동작된다 + 위 사이트를 디코딩 하면 주소가 나오지만 1회성 도메인이다 (단, IP는 유효하다고 판단) hxxp://96ba43i953h5oc.hitfirm.site/613=768&1139=0&953=96&1037=96&954=96&1146=738&1036=96&966=96&2054=true&967= 96&1032=32&572=1024&1041=1024&1492=0& (1회성 도메인, 217.172.190.49) + 악성 행위 동작 흐름 확인 (현재 동작되지 않음) hxxp://64nd25fg2e30n7i.diskpop.bid.. 이전 1 2 3 4 5 6 다음
