공부/콤퓨타 (47) 썸네일형 리스트형 @cc_on (JavaScript) @cc_on 문(JavaScript) 스크립트에서 주석 내의 조건부 컴파일 지원을 활성화 +_+ 몇일전 확인했던 자바스크립트 코드에 아래 문구가 확인되었다 /*@cc_on eval(avhPdzBix); @*/ 나름 추리해서 이넘이 코드를 실수 했구나..어리석은 생각을.. 결국 IE 환경에선 해당 코드가 실행되는 구조다괜한 걱정을 코드의 가장 하단부분 확인요즘 자바스크립트 코드는 두번씩 꼬는게 특징인가 보다reverse() 함수로 보기 어렵게 해놓다니.. rav\n;"n56x\\l" = mq rav\n;"ht76x\\" = gedotdarq rav\n;"27x\\C" = ecapsetihwxelfq rav\n;"56x\\ta56x\\" = modnarq rav\n;"36x\\ej26x\\O" = deerd.. GET /CHANGELOG.txt GET /CHANGELOG.txt 는 무얼 얻기 위한 스캔일까?고민중에 구글신이 알려준 답변은 아래와 같았다 아무 이유 없는 스캔은 없나보다 Recently I've been seeing a major uptick in the following type of requests to my Apache logs:"GET /CHANGELOG.txt HTTP/1.1" 404 211About a month ago, I received none. Now I receive a dozen or so each day. Occasionally they are accompanied by other more obvious vulnerability scans, but usually they come by themselves.Th.. 메일 첨부파일 확인 최근 메일에 첨부파일로 등장하는 코드를 봤다보통 js 파일로 구성되고, VBScript 를 이용해서 악성파일을 다운받는 구조인데, 오늘 본것은 이 과정을 보기 어렵게 2번 난독화한 파일이다 원본파일 확인-> q1 으로 합쳐지는 코드가 상당히 길다;; 1차 코드 디코딩 과정-> document.write(ymakavtt); 혹은 console.log(ymakavtt); 2차 코드 디코딩 과정-> document.write(ts2tdyff); 혹은 console.log(ts2tdyff); 최종 코드 확인-> 최종 유포지는 현재 뜨거운 상태로 미 공개* 3개의 유포지의 도메인은 각각 다르지만 MD5 속성값은 동일, 즉 같은 파일 - 16.05.09 - Magnitude EK Magnitude EK 가 요즘 자주 보인다 샘플을 여러개 모아 공통적인 부분을 스노트룰로 만들었더니 더 자주보인다.. 다행인건 탐지코드의 상당수가 해외 사이트라는 점 !! 탐지 코드 디코드 방법 새로운 EK 가 탐지되면 보기쉬운 룰로 만들어봐야 겠다 - 16.04.11 - CK EK 변화 확인 오늘 ck vip 코드가 살짝 바뀌었다 기존 형태키값은 t 바뀐 형태키값 t 도 난독화되어 있다하지만 결국엔 110 = t 였다 - 16.04.01 만우절날 바뀐코드 확인 - ISO 27001 Internal Information Security Management Systems Auditor Training Course 내부 통제항목 Annex A Reference control objectives and controls A.5 Information security policies - 정보보호 정책 A.6 Organization of information security - 정보보호 조직 A.7 Human resource security - 인적자원 보안 A.8 Asset management - 자산관리 A.9 Access control - 접근통제 A.10 Cryptography - 암호 A.11 Physical and environmental security - 물리적 및 환경적 보안 A.. 파밍 악성코드 네이버 광고배너를 이용한 파밍코드라는 기사를 접했다 국내 저명한 사이트들 다수가 변조되어 관련 코드를 쉽게 구할수 있었다 입수한 코드는 일부 파일만 존재했지만 최종파일을 얻을수 있었다 CK EK 구조도를 그려보면 아래와 같다 입수한 플래시 파일안의 쉘코드를 통해 최종파일을 확인할 수 있었다 XOR 0E2 복호화 진행 908.jpg 최종 파일을 만날수 있다 908.jpg 는 XOR 70 으로 코드를 변환하면 MZ 구조로 변한다 908.exe 확인 언패킹 후 코드를 살펴보니 다음 위치에 파일 생성을 확인했다 Local Settings\Temp\9C.tmp\육6.bat 66.bat 파일의 역할은 hosts.ics 파일을 생성하여 파밍사이트를 저장한다 실제 생성된 hosts.ics 네이버, 다음 사이트를 들어가.. DLL 인젝션 개념 DLL(Dynamic Link Library, 동적 링크 라이브러리) * DLL 은 MS 윈도우에 구현된 동적 라이브러리 * DLL 내부에는 다른 프로그램이 호출하여 사용할 수 있는 다양한 함수들이 존재 *DLL 은 다수의 실행 파일에 공유될 수 있기 때문에 디스크 용량이나 메모리 절약 가능 묵시적 링킹(Implicit linking) * 실행 파일 자체에 어떤 DLL의 어떤 함수를 사용하겠다는 정보를 포함시키고, 운영체제가 프로그램 실행시 해당 함수들을 호출하여 초기화한 후 사용 명시적 링킹 (Explicit linking) * 프로그램이 실행 중일때 API를 이용하여 DLL 파일이 있는지 검사하고 동적으로 원하는 함수만을 불러와서 사용 ex) LoadLibrary(), GetProcAddress(),.. 이전 1 2 3 4 5 6 다음
