본문 바로가기

Information Security/Malware40

Sweet Orange exploit kit Sweet Orange exploit kithttp://pastebin.com/cw3AVJLq 2014. 9. 2.
공다팩(Gondad EK) 분석 #04 Previous : 공다팩(Gondad EK) 분석 #01Previous : 공다팩(Gondad EK) 분석 #02Previous : 공다팩(Gondad EK) 분석 #03 1. Introduction 이번 포스팅에서는 난독화 해제 방법론과 각각의 분석팀에서 공다팩 해제 방법을 다룬다. 1.1. 난독화 해제 방법론 소스코드 수정을 이용한 난독화 해제 도구를 이용한 난독화 해제 브라우저의 개발자 도구를 이용한 난독화 해제 기타 방법론 1.2. 공다팩 해제 방법 Kahu Security에서 공다팩 해제하는 방법 Bolaven에서 공다팩 해제하는 방법 필자가 공다팩 해제하는 방법 2. Deobfuscation Method 2.1. Deobfuscating by modifying the source code 소.. 2014. 8. 14.
공다팩(Gondad EK) 분석 #03 Previous : 공다팩(Gondad EK) 분석 #01Previous : 공다팩(Gondad EK) 분석 #02 1. Introduction 이번 포스팅부터 공다팩의 난독화 해제 알고리즘을 역공학하려 한다. 2. Reverse Code Engineering 2.1. Execution Unit RCE 우선 공다팩(Gondad EK) 분석 #02 에서 언급한 실행부 부터 시작하면 된다. 아래의 실행부는 소스코드 정렬을 진행한 형태이다. //{수집부} faug8="1"; // faug8에 문자 1을 할당 delete faug8; // faug8 변수를 삭제 try{ faug8+="0"+"0"+"0"+"0"+"0"+"0"+"0"+"0"+"0"; // 삭제한 faug8 변수에 문자연산 실행 - 에러 발생 }c.. 2014. 7. 11.
공다팩(Gondad EK) 분석 #02 Previous : 공다팩(Gondad EK) 분석 #01 1. Introduction 우선 공다팩을 분석하기 위해서는 자바스크립트 언어에 대한 이해도 필요하지만, 기본적으로 프로그래밍에 대한 지식이 있으면 쉽게 이해할 수 있다. 가령 try{} catch{} 구문이나, 메모리에 변수를 할당하고 삭제하는 부분 등을 예로 들 수 있다. 그 외 자바스크립트가 사용하는 다양한 함수들의 기능에 대해서는 구글 검색을 통해 이해할 수 있다. 만약 직접 자바스크립트 언어를 테스트하거나 디버깅 하고 싶다면 브라우저의 개발자 도구를 이용하는 것을 추천한다. 최근 브라우저들은 개발자 모드를 제공하는데, 특히 Console 탭에서 자바스크립트 언어를 인터프리터 형태로 실행하고 결과를 받아 볼 수 있다. 이는 브라우저가 사용.. 2014. 7. 4.