공부/콤퓨타 (54) 썸네일형 리스트형 뱅커류 패턴 변화 아주 오랜만에 뱅커류 코드를 보았다 변화가 있었다 기존 패턴: hxxp://r.qzone.qq.com/cgi-bin/user/cgi_personal_card?uin=27604402** 최근 패턴: hxxp://r.pengyou.com/fcg-bin/cgi_get_portrait.fcg?uins=27604402** -> portraitCallBack({"2760440263":["http://qlogo4.store.qq.com/qzone/2760440263/2760440263/100",0,-1,0,0,0,"174.139.51.1**",0]}) - 16.11.25 어느날 - wsf(Windows Script File) 랜섬웨어 변종 wsf 의 코드가 변경된 점이 확인되었다 간략히 보면 끝나는 구조이다 코드 하단 부분을 보면 eval(cipacipa); 이 확인된다기존처럼 콘솔로그로 변경하면 에러가 확인된다 구글검색해보니 CDATA 오류로 확인되었다// 으로 주석처리 하던지, 그냥 만 남기고 다 지우던지 하면 해결된다 eval(cipacipa); 디코딩 확인결과, 기존과 비슷한 MZ 로 파일 형식을 바꾸는듯한 코드가 확인된다 function pereimenovalVpereimenovalPICHrtfta(filePath){ var pereimenovalVpereimenovalTRADrosteks=WScript["CreateObject"]("ADODB.Stream"); pereimenovalVpereimenovalTRADrosteks[".. wsf(Windows Script File) 랜섬웨어 .wsf 파일을 이용한 랜섬웨어 악성코드가 확인되었다wsf(Windows Script File) 이렇다고 한다 ( https://msdn.microsoft.com/ko-kr/library/cc787126(v=ws.10).aspx ) 달라진점은 .js 파일이 .wsf 로 바뀐점코드에 이 추가된점 가상환경에서 실행해서 그런지 메모리 오류가 뜨지만, 코드를 심플하게 변경해서 실행하면 동작이 잘되었다코드안의 내용은 기존 locky 형태와 동일했다 - 16.07.14 wsf 파일 확인 - JS.Nemucod (네머코드) JS.Nemucod 로 진단되는 유형을 네머코드라고 하나보다 네머코드? 어원은 모르겠다 록키에 이어 네머코드라.. .js 파일을 보면 역시 어렵게 난독화 되어있지만 항상 말미에 키 값은 존재한다 파일을 정렬해서 보면 하단에 eval 코드가 보인다 eval 을 console.log 로 바꿔보자 복호화 코드 확인 (지금도 재현되어 주소는 일부 생략) 코드를 보면 아래와 같이 혼합된다 hxxp://**persia.com/counter/?ad=13RxZ5U1ZH1qhmj7HV7T1Cx8rWZWJxoyzL&id=rfYYChWoe6ZvZElnibSeG4f1GrI0-fCcb5POcbGXBG9hWkcmTUqGxRJEiKmpR06ggc9reVom&rnd=01~05 url 은 5개 존재하고, 01~05 까지 파일을 가져오.. 록키 랜섬웨어, Trojan/Win32.Locky 최근 언론에서 록키 랜섬웨어 재 등장이란 뉴스가 자주 보인다 Trojan/Win32.Locky 랜섬웨어란 금전을 요구하는 악성코드라고 생각하면 되겠다 록키라고 명명된 이유는 아마도 파일명 정보에 locky 라고 변경되어 록키라고 부르는거 같다 내 기준으로 볼때 해당 코드는 5월 초반부터 확인되었고, 최근엔 js 코드가 점점 난독화 과정이 복잡해 지는 구조이다 주로 메일의 첨부파일 안에 삽입된 코드는 swift*** 란 이름으로 들어있다 스위프트 코드가 떠들썩해서 인지는 몰라도 최근 유행했던 이름을 넣은거 같다 역시 지저분하게 난독화되어 있다 /*@cc_on 은 지난번 소개 했으니 생략 (* 컴공부의 과거글 참조) 소스코드 하단에 보면 eval(b); 부분이 키가 되는데 즉, 코드를 실행하는 부분으로 이 .. 피싱사이트 확인 간만에 피싱사이트를 체크했다최근 유행하는 뱅커류 패턴은 과거와 비슷했다 감염 -> 큐큐닷컴 블로그 -> 호스트 등록 -> 피싱사이트 유도 특이점은 큐큐닷컴 블로그가 시간단위로 등록된 IP 주소가 변경되고 있었다(쿠쿠가 분석한 내용과 내가 직접 확인한 내용이 달라서 쿠쿠한테 실망했지만.. 역시 쿠쿠는 옳다)언제부터 인지는 모르지만 오늘 확인했으니 오늘부터 변경된거라고 믿는... - 16.06.03 피싱사이트 확인 - Angler EK Angler EK 를 분석하면서 키포인트만 간단하게 정리작년보다 진화해서 짜증났다;; 1. 랜딩 페이지 디코딩 확인> 랜딩 페이지 원본 주소 확인 (etacider-schotelrek.biocertindia.com/TpbS-klY-HUOdhT/CTyO-819-HyCvM/)> 단서: CTyO-819-HyCvM 랜딩 페이지 원본 코드에서 복호화에 사용되는 키값 확인> 중요한 키값 확인zi = LaB7YP(DV , OLnxdqo); // 235번째 줄 > 디코딩 확인console.log(zi); 혹은 document.write("") 태그로 확인 가능 > 디코딩 확인결과 원본 코드에 포함된 스크립트 외 5개의 추가 스크립트 확인 2. 첫번째 스크립트 확인> 중요한 키값 확인x.src = xText(s); > .. @cc_on (JavaScript) @cc_on 문(JavaScript) 스크립트에서 주석 내의 조건부 컴파일 지원을 활성화 +_+ 몇일전 확인했던 자바스크립트 코드에 아래 문구가 확인되었다 /*@cc_on eval(avhPdzBix); @*/ 나름 추리해서 이넘이 코드를 실수 했구나..어리석은 생각을.. 결국 IE 환경에선 해당 코드가 실행되는 구조다괜한 걱정을 코드의 가장 하단부분 확인요즘 자바스크립트 코드는 두번씩 꼬는게 특징인가 보다reverse() 함수로 보기 어렵게 해놓다니.. rav\n;"n56x\\l" = mq rav\n;"ht76x\\" = gedotdarq rav\n;"27x\\C" = ecapsetihwxelfq rav\n;"56x\\ta56x\\" = modnarq rav\n;"36x\\ej26x\\O" = deerd.. 이전 1 2 3 4 5 6 7 다음
