개요이미 많이 정리 되었지만 IP 난독화에 대한 정리를 할까 합니다. 모든 서버는 고유의 ip를 가집니다. 하지만 사용자들은 원하는 웹사이트에 접근할 때 ip번호를 가지고 접근하지는 않습니다. 이유는 ip 숫자를 외워 접근 하는 것 보다는 문자를 통해 접근 하는 편이 훨씬 편하기 때문입니다. DNS(Domain Name Server/Domain Name System)을 통해 문자를 ip로 바꾸어 해당 사이트(시스템/서버)에 접근 할 수 있습니다.URL : www.google.comDecimal Conversionhttp://74.125.141.99DWORD Conversion74 = 01001010 125 = 01111101 141 = 10001101 99 = 0110001101001010 0111110..
개요urlQuery.net 사이트에 대한 내용을 정리해보려고 합니다. 이 사이트는 검색 및 Web 기반의 악성코드를 분석하기 위한 서비스를 제공합니다.[그림1. urlQuery.net's main page]Profile URL은 분석하고자 하는 URL을 입력하여 분석을 하는 것입니다.Advanced settings은 브라우저, java 등 Web 기반의 악성코드에 맞는 설정을 하는 부분입니다.Date(CET)는 분석한 시간을 나타냅니다. CET는 Central European Time의 약자로 협정세계시 보다 1시간 빠른 시간대를 나타내는 이름입니다. 보통 중앙유럽국가들이 사용하는 시간으로 urlQuery.net은 유럽에서 만들어 진 것으로 추측하고 있습니다. Alerts/IDS에서 Alerts는 탐지된..
개요 이번에 포스팅 하고자 하는 주제는 Javascript Compressor기능이다. [그림 1. Jacascript 압축된 코드] Javascript Compressor를 이용하여 단순한 코드를 이렇게 변형시켜 놓았다. Compressor는 압축기 라는 의미인데 IT용어들 중에는 Packed(패킹), Obfuscation(난독화)이라는 단어가 있는데 왜 Compressor라는 단어를 사용했을까? Dean Edwards의 사이트에 들어가보자. Dean Edwards는 위 코드와 비슷한 코드를 생성할 수 있는 알고리즘을 만든 사람이다. 그의 사이트에는 다음과 같이 적혀있다. [그림 2. Dean Edwards's Javascript Packer] Javascript Compressor/Obfuscatio..
악성코드 유포지로 등록된 URL의 코드를 분석 중 위와 같은 코드를 발견하였다.처음에는 단순히 웹 개발자가 들여쓰기를 하지 않은 코드로 생각을 하였지만, 맨 위의 Parameter, Jar file, class의 쓰이는 모습을 보니 악성코드 냄새가 풀풀 풍기기 시작했다.비슷한 코드들을 사용하는 다른 URL을 보게되고 악성코드로 분류하였지만, 공격자는 어떻게 이러한 코드를 작성 할 수 있었는가에 대한 궁금증을 가지고 있었다.취약점 관련 rss피드를 보다가 Xenda's Blog에서 "Xenda's Blog : RedKit Patterns – Additional Info to @fknsec Writeup"의 제목의 글을 보았다. 1~5가지 Redkit 패턴들을 정리하였지만, 위의 코드에서 확인 할 수 있었던..
1. About Gondad Exploit Toolkit이라는 중국에서 만들어진 툴킷이 있다. 여러 툴킷에 대한 정보가 모이면 포스팅한 곳의 내용을 지속적으로 수정 하니 일단은 이곳(click)을 참조하면 된다. 이 Gondad 툴킷은 여러 유형의 취약점을 이용한 공격코드들을 모아서 난독화(Obfuscation)을 하는 기능이 있다. 이를 Obfuscation Exploit Pack Code라고 말할 수 있다. 난독화를 해제하여 가독성 있는 코드를 보면, 다양한 변수들에 사용되는 명칭이 'Gondad' 혹은 'Dadong'을 사용하기에 붙여진 이름이다. 발음상 가장 가까운 단어 중에 다음과 같은 중국 단어가 있다. [그림 1 네이버 백과사전] 일반적으로 난독화를 한 후 필수적으로 들어가는 /*Encryp..
1. About 분명 공격하는 기법은 비슷한데, 소스코드가 조금씩 다르다면? 이를 yara의 패턴탐지 기법으로 분류를 하고자 한다면? 설정한 사람이 '아차'하며 놓친부분이 존재한다면? 작은 실수를 줄이기 위해서는 명확한 알고리즘과 그에 맞는 프로그래밍 혹은 도구들을 사용하는 것이 좋다고 생각한다. 다음 소개할 툴은 O(ND) 알고리즘과 google-diff-match-patch를 이용하여 Yara rule를 출력해 주는 프로그램이다.2. Features커맨드 라인을 통해 주어진 디렉토리의 모든 파일들을 읽음읽은 파일들끼리 비교하여 분석, 일치하는 블록을 기억적어도 최소 5바이트 크기의 샘플의 70%정도 일치하는 경우에만 비교하여 일치한 블록들을 저장유사한 블록들은 인쇄할 수 있음 3. Usage 테스트는..
blackhole exploit toolkit phoenix exploit toolkit CrimePack 취약점 관련 검색을 하다보면 흔하게 볼 수 있는 exploit kit에 대한 정보들을 모으는 중 언더그라운드에서 판매되는 툴킷이 아닌가 싶다. Redkit Neo SploitCool PackBlack holePrivate no nameNuclearCrimeBossGrandsoftSweet OrangePhoenixNucSoftSakuraAssocAID Blackhole Exploit Toolkit 가격 분기당 라이센스 비용 700달러반년 라이센스 비용 1000달러년간 라이센스 비용 1500달러 툴킷 임대료1일 50달러 1주 200달러 2주 300달러3주 400달러 1달 500달러도메인 주소 변경 비용..
http://cve.mitre.org/index.html http://osvdb.org/ http://www.cvedetails.com/
