본문 바로가기

공부/콤퓨타

 (47)
ImageMagick RCE ImageMagick_RCE 기록 공격자가 공격코드가 포함된 이미지를 업로드 하고, 원격에서 해당 코드를 실행시켜 서버를 장악할 수 있는 원격코드 실행취약점 취약버전 : ImageMagick "6.9.3-10" "7.0.1-1"이하의 버전 이미지 매직? 이미지매직(ImageMagick)은 그래픽 이미지를 새로 만들거나, 고치는 데 사용되는 자유-오픈 소스 소프트웨어이다. 이미지 매직은 대부분의 이미지 형식을 읽고, 변환하거나 쓸 수 있다. 이미지의 외곽을 자르거나, 색을 바꾸는 것을 비롯한 다양한 효과를 줄 수 있으며, 이미지의 회전, 합치기, 문자삽입, 선, 다각형, 타원, 베지에 곡선을 그려넣거나, 이미지 늘이기 등의 작업을 할 수 있다. 취약점? 취약버전 : ImageMagick "6.9.3-10"..
뱅커류 패턴 변화 아주 오랜만에 뱅커류 코드를 보았다 변화가 있었다 기존 패턴: hxxp://r.qzone.qq.com/cgi-bin/user/cgi_personal_card?uin=27604402** 최근 패턴: hxxp://r.pengyou.com/fcg-bin/cgi_get_portrait.fcg?uins=27604402** -> portraitCallBack({"2760440263":["http://qlogo4.store.qq.com/qzone/2760440263/2760440263/100",0,-1,0,0,0,"174.139.51.1**",0]}) - 16.11.25 어느날 -
wsf(Windows Script File) 랜섬웨어 변종 wsf 의 코드가 변경된 점이 확인되었다 간략히 보면 끝나는 구조이다 코드 하단 부분을 보면 eval(cipacipa); 이 확인된다기존처럼 콘솔로그로 변경하면 에러가 확인된다 구글검색해보니 CDATA 오류로 확인되었다// 으로 주석처리 하던지, 그냥 만 남기고 다 지우던지 하면 해결된다 eval(cipacipa); 디코딩 확인결과, 기존과 비슷한 MZ 로 파일 형식을 바꾸는듯한 코드가 확인된다 function pereimenovalVpereimenovalPICHrtfta(filePath){ var pereimenovalVpereimenovalTRADrosteks=WScript["CreateObject"]("ADODB.Stream"); pereimenovalVpereimenovalTRADrosteks["..
wsf(Windows Script File) 랜섬웨어 .wsf 파일을 이용한 랜섬웨어 악성코드가 확인되었다wsf(Windows Script File) 이렇다고 한다 ( https://msdn.microsoft.com/ko-kr/library/cc787126(v=ws.10).aspx ) 달라진점은 .js 파일이 .wsf 로 바뀐점코드에 이 추가된점 가상환경에서 실행해서 그런지 메모리 오류가 뜨지만, 코드를 심플하게 변경해서 실행하면 동작이 잘되었다코드안의 내용은 기존 locky 형태와 동일했다 - 16.07.14 wsf 파일 확인 -
JS.Nemucod (네머코드) JS.Nemucod 로 진단되는 유형을 네머코드라고 하나보다 네머코드? 어원은 모르겠다 록키에 이어 네머코드라.. .js 파일을 보면 역시 어렵게 난독화 되어있지만 항상 말미에 키 값은 존재한다 파일을 정렬해서 보면 하단에 eval 코드가 보인다 eval 을 console.log 로 바꿔보자 복호화 코드 확인 (지금도 재현되어 주소는 일부 생략) 코드를 보면 아래와 같이 혼합된다 hxxp://**persia.com/counter/?ad=13RxZ5U1ZH1qhmj7HV7T1Cx8rWZWJxoyzL&id=rfYYChWoe6ZvZElnibSeG4f1GrI0-fCcb5POcbGXBG9hWkcmTUqGxRJEiKmpR06ggc9reVom&rnd=01~05 url 은 5개 존재하고, 01~05 까지 파일을 가져오..
록키 랜섬웨어, Trojan/Win32.Locky 최근 언론에서 록키 랜섬웨어 재 등장이란 뉴스가 자주 보인다 Trojan/Win32.Locky 랜섬웨어란 금전을 요구하는 악성코드라고 생각하면 되겠다 록키라고 명명된 이유는 아마도 파일명 정보에 locky 라고 변경되어 록키라고 부르는거 같다 내 기준으로 볼때 해당 코드는 5월 초반부터 확인되었고, 최근엔 js 코드가 점점 난독화 과정이 복잡해 지는 구조이다 주로 메일의 첨부파일 안에 삽입된 코드는 swift*** 란 이름으로 들어있다 스위프트 코드가 떠들썩해서 인지는 몰라도 최근 유행했던 이름을 넣은거 같다 역시 지저분하게 난독화되어 있다 /*@cc_on 은 지난번 소개 했으니 생략 (* 컴공부의 과거글 참조) 소스코드 하단에 보면 eval(b); 부분이 키가 되는데 즉, 코드를 실행하는 부분으로 이 ..
피싱사이트 확인 간만에 피싱사이트를 체크했다최근 유행하는 뱅커류 패턴은 과거와 비슷했다 감염 -> 큐큐닷컴 블로그 -> 호스트 등록 -> 피싱사이트 유도 특이점은 큐큐닷컴 블로그가 시간단위로 등록된 IP 주소가 변경되고 있었다(쿠쿠가 분석한 내용과 내가 직접 확인한 내용이 달라서 쿠쿠한테 실망했지만.. 역시 쿠쿠는 옳다)언제부터 인지는 모르지만 오늘 확인했으니 오늘부터 변경된거라고 믿는... - 16.06.03 피싱사이트 확인 -
Angler EK Angler EK 를 분석하면서 키포인트만 간단하게 정리작년보다 진화해서 짜증났다;; 1. 랜딩 페이지 디코딩 확인> 랜딩 페이지 원본 주소 확인 (etacider-schotelrek.biocertindia.com/TpbS-klY-HUOdhT/CTyO-819-HyCvM/)> 단서: CTyO-819-HyCvM 랜딩 페이지 원본 코드에서 복호화에 사용되는 키값 확인> 중요한 키값 확인zi = LaB7YP(DV , OLnxdqo); // 235번째 줄 > 디코딩 확인console.log(zi); 혹은 document.write("") 태그로 확인 가능 > 디코딩 확인결과 원본 코드에 포함된 스크립트 외 5개의 추가 스크립트 확인 2. 첫번째 스크립트 확인> 중요한 키값 확인x.src = xText(s); > ..

티스토리툴바