공부 (174) 썸네일형 리스트형 피싱사이트 확인 간만에 피싱사이트를 체크했다최근 유행하는 뱅커류 패턴은 과거와 비슷했다 감염 -> 큐큐닷컴 블로그 -> 호스트 등록 -> 피싱사이트 유도 특이점은 큐큐닷컴 블로그가 시간단위로 등록된 IP 주소가 변경되고 있었다(쿠쿠가 분석한 내용과 내가 직접 확인한 내용이 달라서 쿠쿠한테 실망했지만.. 역시 쿠쿠는 옳다)언제부터 인지는 모르지만 오늘 확인했으니 오늘부터 변경된거라고 믿는... - 16.06.03 피싱사이트 확인 - Angler EK Angler EK 를 분석하면서 키포인트만 간단하게 정리작년보다 진화해서 짜증났다;; 1. 랜딩 페이지 디코딩 확인> 랜딩 페이지 원본 주소 확인 (etacider-schotelrek.biocertindia.com/TpbS-klY-HUOdhT/CTyO-819-HyCvM/)> 단서: CTyO-819-HyCvM 랜딩 페이지 원본 코드에서 복호화에 사용되는 키값 확인> 중요한 키값 확인zi = LaB7YP(DV , OLnxdqo); // 235번째 줄 > 디코딩 확인console.log(zi); 혹은 document.write("") 태그로 확인 가능 > 디코딩 확인결과 원본 코드에 포함된 스크립트 외 5개의 추가 스크립트 확인 2. 첫번째 스크립트 확인> 중요한 키값 확인x.src = xText(s); > .. @cc_on (JavaScript) @cc_on 문(JavaScript) 스크립트에서 주석 내의 조건부 컴파일 지원을 활성화 +_+ 몇일전 확인했던 자바스크립트 코드에 아래 문구가 확인되었다 /*@cc_on eval(avhPdzBix); @*/ 나름 추리해서 이넘이 코드를 실수 했구나..어리석은 생각을.. 결국 IE 환경에선 해당 코드가 실행되는 구조다괜한 걱정을 코드의 가장 하단부분 확인요즘 자바스크립트 코드는 두번씩 꼬는게 특징인가 보다reverse() 함수로 보기 어렵게 해놓다니.. rav\n;"n56x\\l" = mq rav\n;"ht76x\\" = gedotdarq rav\n;"27x\\C" = ecapsetihwxelfq rav\n;"56x\\ta56x\\" = modnarq rav\n;"36x\\ej26x\\O" = deerd.. GET /CHANGELOG.txt GET /CHANGELOG.txt 는 무얼 얻기 위한 스캔일까?고민중에 구글신이 알려준 답변은 아래와 같았다 아무 이유 없는 스캔은 없나보다 Recently I've been seeing a major uptick in the following type of requests to my Apache logs:"GET /CHANGELOG.txt HTTP/1.1" 404 211About a month ago, I received none. Now I receive a dozen or so each day. Occasionally they are accompanied by other more obvious vulnerability scans, but usually they come by themselves.Th.. 메일 첨부파일 확인 최근 메일에 첨부파일로 등장하는 코드를 봤다보통 js 파일로 구성되고, VBScript 를 이용해서 악성파일을 다운받는 구조인데, 오늘 본것은 이 과정을 보기 어렵게 2번 난독화한 파일이다 원본파일 확인-> q1 으로 합쳐지는 코드가 상당히 길다;; 1차 코드 디코딩 과정-> document.write(ymakavtt); 혹은 console.log(ymakavtt); 2차 코드 디코딩 과정-> document.write(ts2tdyff); 혹은 console.log(ts2tdyff); 최종 코드 확인-> 최종 유포지는 현재 뜨거운 상태로 미 공개* 3개의 유포지의 도메인은 각각 다르지만 MD5 속성값은 동일, 즉 같은 파일 - 16.05.09 - Magnitude EK Magnitude EK 가 요즘 자주 보인다 샘플을 여러개 모아 공통적인 부분을 스노트룰로 만들었더니 더 자주보인다.. 다행인건 탐지코드의 상당수가 해외 사이트라는 점 !! 탐지 코드 디코드 방법 새로운 EK 가 탐지되면 보기쉬운 룰로 만들어봐야 겠다 - 16.04.11 - 창경궁을 가다 이곳이 창경궁이구나~대학로 옆에 위치한 창경궁, 서울생활 7년만에 처음 방문했다 입장료 천원 싸다 !! 드디어 창경궁 입성생각보다 내부가 엄청 컸다 빼꼼 ㅋㅋ 날씨 정말 좋다고궁은 날씨 좋은날 봐야 제맛 !!완전 좋다 진짜 봄이 온거 같다안녕, 봄 위치는? - 16.04.02 창경궁에서 - CK EK 변화 확인 오늘 ck vip 코드가 살짝 바뀌었다 기존 형태키값은 t 바뀐 형태키값 t 도 난독화되어 있다하지만 결국엔 110 = t 였다 - 16.04.01 만우절날 바뀐코드 확인 - 이전 1 ··· 17 18 19 20 21 22 다음
