본문 바로가기

Information Security/Malware40

Deformed of Gondad Exploit Obfuscation 1. About Gondad Exploit Toolkit이라는 중국에서 만들어진 툴킷이 있다. 여러 툴킷에 대한 정보가 모이면 포스팅한 곳의 내용을 지속적으로 수정 하니 일단은 이곳(click)을 참조하면 된다. 이 Gondad 툴킷은 여러 유형의 취약점을 이용한 공격코드들을 모아서 난독화(Obfuscation)을 하는 기능이 있다. 이를 Obfuscation Exploit Pack Code라고 말할 수 있다. 난독화를 해제하여 가독성 있는 코드를 보면, 다양한 변수들에 사용되는 명칭이 'Gondad' 혹은 'Dadong'을 사용하기에 붙여진 이름이다. 발음상 가장 가까운 단어 중에 다음과 같은 중국 단어가 있다. [그림 1 네이버 백과사전] 일반적으로 난독화를 한 후 필수적으로 들어가는 /*Encryp.. 2013. 1. 18.
Making Generate Yara rules 1. About 분명 공격하는 기법은 비슷한데, 소스코드가 조금씩 다르다면? 이를 yara의 패턴탐지 기법으로 분류를 하고자 한다면? 설정한 사람이 '아차'하며 놓친부분이 존재한다면? 작은 실수를 줄이기 위해서는 명확한 알고리즘과 그에 맞는 프로그래밍 혹은 도구들을 사용하는 것이 좋다고 생각한다. 다음 소개할 툴은 O(ND) 알고리즘과 google-diff-match-patch를 이용하여 Yara rule를 출력해 주는 프로그램이다.2. Features커맨드 라인을 통해 주어진 디렉토리의 모든 파일들을 읽음읽은 파일들끼리 비교하여 분석, 일치하는 블록을 기억적어도 최소 5바이트 크기의 샘플의 70%정도 일치하는 경우에만 비교하여 일치한 블록들을 저장유사한 블록들은 인쇄할 수 있음 3. Usage 테스트는.. 2013. 1. 18.
Exploit ToolKit blackhole exploit toolkit phoenix exploit toolkit CrimePack 취약점 관련 검색을 하다보면 흔하게 볼 수 있는 exploit kit에 대한 정보들을 모으는 중 언더그라운드에서 판매되는 툴킷이 아닌가 싶다. Redkit Neo SploitCool PackBlack holePrivate no nameNuclearCrimeBossGrandsoftSweet OrangePhoenixNucSoftSakuraAssocAID Blackhole Exploit Toolkit 가격 분기당 라이센스 비용 700달러반년 라이센스 비용 1000달러년간 라이센스 비용 1500달러 툴킷 임대료1일 50달러 1주 200달러 2주 300달러3주 400달러 1달 500달러도메인 주소 변경 비용.. 2012. 8. 27.
Exploit Reference Website http://cve.mitre.org/index.html http://osvdb.org/ http://www.cvedetails.com/ 2012. 7. 16.