본문 바로가기

공부

(174)
powershell + zlib 압축구조 악성코드 powershell 을 사용한 악성코드는 몇해전부터 이슈가 되어 왔지만, zlib 구조는 4~5년전 악성코드때 보고 오랜만인거 같다 이번 코드의 구조는 powershell, base64, zlib 압축구조를 이용한 케이스 였다 * 이 코드로 base64로 동일하게 디코딩을 하면 compress 에 의해 풀리지 않는다 * 구글링을 통해 해제코드를 확인할 수 있었다* 깃 참조: https://github.com/novafloss/django-saml2-sp/blob/master/sptest/saml2sp/codex.py * 최종 유포지로 추..
Magnitude EK 작년부터 Magnitude EK 급증으로 인한 정리 hxxp://alteryog***.net/ (원인) -> 감염 원인 사이트 찾기가 관건 + 감염 원인 사이트에 의해 아래 코드가 동작된다 + 위 사이트를 디코딩 하면 주소가 나오지만 1회성 도메인이다 (단, IP는 유효하다고 판단) hxxp://96ba43i953h5oc.hitfirm.site/613=768&1139=0&953=96&1037=96&954=96&1146=738&1036=96&966=96&2054=true&967= 96&1032=32&572=1024&1041=1024&1492=0& (1회성 도메인, 217.172.190.49) + 악성 행위 동작 흐름 확인 (현재 동작되지 않음) hxxp://64nd25fg2e30n7i.diskpop.bid..
ImageMagick RCE ImageMagick_RCE 기록 공격자가 공격코드가 포함된 이미지를 업로드 하고, 원격에서 해당 코드를 실행시켜 서버를 장악할 수 있는 원격코드 실행취약점 취약버전 : ImageMagick "6.9.3-10" "7.0.1-1"이하의 버전 이미지 매직? 이미지매직(ImageMagick)은 그래픽 이미지를 새로 만들거나, 고치는 데 사용되는 자유-오픈 소스 소프트웨어이다. 이미지 매직은 대부분의 이미지 형식을 읽고, 변환하거나 쓸 수 있다. 이미지의 외곽을 자르거나, 색을 바꾸는 것을 비롯한 다양한 효과를 줄 수 있으며, 이미지의 회전, 합치기, 문자삽입, 선, 다각형, 타원, 베지에 곡선을 그려넣거나, 이미지 늘이기 등의 작업을 할 수 있다. 취약점? 취약버전 : ImageMagick "6.9.3-10"..
뱅커류 패턴 변화 아주 오랜만에 뱅커류 코드를 보았다 변화가 있었다 기존 패턴: hxxp://r.qzone.qq.com/cgi-bin/user/cgi_personal_card?uin=27604402** 최근 패턴: hxxp://r.pengyou.com/fcg-bin/cgi_get_portrait.fcg?uins=27604402** -> portraitCallBack({"2760440263":["http://qlogo4.store.qq.com/qzone/2760440263/2760440263/100",0,-1,0,0,0,"174.139.51.1**",0]}) - 16.11.25 어느날 -
wsf(Windows Script File) 랜섬웨어 변종 wsf 의 코드가 변경된 점이 확인되었다 간략히 보면 끝나는 구조이다 코드 하단 부분을 보면 eval(cipacipa); 이 확인된다기존처럼 콘솔로그로 변경하면 에러가 확인된다 구글검색해보니 CDATA 오류로 확인되었다// 으로 주석처리 하던지, 그냥 만 남기고 다 지우던지 하면 해결된다 eval(cipacipa); 디코딩 확인결과, 기존과 비슷한 MZ 로 파일 형식을 바꾸는듯한 코드가 확인된다 function pereimenovalVpereimenovalPICHrtfta(filePath){ var pereimenovalVpereimenovalTRADrosteks=WScript["CreateObject"]("ADODB.Stream"); pereimenovalVpereimenovalTRADrosteks["..
wsf(Windows Script File) 랜섬웨어 .wsf 파일을 이용한 랜섬웨어 악성코드가 확인되었다wsf(Windows Script File) 이렇다고 한다 ( https://msdn.microsoft.com/ko-kr/library/cc787126(v=ws.10).aspx ) 달라진점은 .js 파일이 .wsf 로 바뀐점코드에 이 추가된점 가상환경에서 실행해서 그런지 메모리 오류가 뜨지만, 코드를 심플하게 변경해서 실행하면 동작이 잘되었다코드안의 내용은 기존 locky 형태와 동일했다 - 16.07.14 wsf 파일 확인 -
JS.Nemucod (네머코드) JS.Nemucod 로 진단되는 유형을 네머코드라고 하나보다 네머코드? 어원은 모르겠다 록키에 이어 네머코드라.. .js 파일을 보면 역시 어렵게 난독화 되어있지만 항상 말미에 키 값은 존재한다 파일을 정렬해서 보면 하단에 eval 코드가 보인다 eval 을 console.log 로 바꿔보자 복호화 코드 확인 (지금도 재현되어 주소는 일부 생략) 코드를 보면 아래와 같이 혼합된다 hxxp://**persia.com/counter/?ad=13RxZ5U1ZH1qhmj7HV7T1Cx8rWZWJxoyzL&id=rfYYChWoe6ZvZElnibSeG4f1GrI0-fCcb5POcbGXBG9hWkcmTUqGxRJEiKmpR06ggc9reVom&rnd=01~05 url 은 5개 존재하고, 01~05 까지 파일을 가져오..
록키 랜섬웨어, Trojan/Win32.Locky 최근 언론에서 록키 랜섬웨어 재 등장이란 뉴스가 자주 보인다 Trojan/Win32.Locky 랜섬웨어란 금전을 요구하는 악성코드라고 생각하면 되겠다 록키라고 명명된 이유는 아마도 파일명 정보에 locky 라고 변경되어 록키라고 부르는거 같다 내 기준으로 볼때 해당 코드는 5월 초반부터 확인되었고, 최근엔 js 코드가 점점 난독화 과정이 복잡해 지는 구조이다 주로 메일의 첨부파일 안에 삽입된 코드는 swift*** 란 이름으로 들어있다 스위프트 코드가 떠들썩해서 인지는 몰라도 최근 유행했던 이름을 넣은거 같다 역시 지저분하게 난독화되어 있다 /*@cc_on 은 지난번 소개 했으니 생략 (* 컴공부의 과거글 참조) 소스코드 하단에 보면 eval(b); 부분이 키가 되는데 즉, 코드를 실행하는 부분으로 이 ..