검색결과 리스트
난독화/이것 저것에 해당되는 글 9건
- 2014.07.03 네이버 계정 탈취 이슈 분석
- 2014.04.21 Xor Project 3
- 2014.03.27 SuNiNaTaS Clear!!
- 2014.03.26 오랫만에 풀어보는 Suninatas 해킹문제 1
- 2014.03.07 2014년 3월 볼라벤 보고서
- 2013.11.17 Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ 1
- 2013.06.22 Cool exploit kit 흐름도 1
- 2013.03.15 dadong's 0.44 Decoding Tool
- 2013.02.26 phpMyAdmin 취약점 웹서버 스캐닝 툴 ZmEu
글
네이버 계정 탈취 이슈 분석
q 개요
최근 해킹된 블로그를 유명 포털사이트(naver, daum, google)에서 검색 후 접속 시 악성코드 유포지로 이동하게 되는 일명 “자동납치” 방법(울지않는벌새님 블로그 인용)을 이용한 악성코드 유포가 빈번하게 발생하고 있습니다. 이 악성코드 유포 방법은 최근 많아지고 있는 “악성코드 유포지를 자동으로 찾아주는 시스템”들을 우회하기 위해 사용되는 것으로 판단됩니다. (주관적인 생각^^)
이번 분석보고서에서는 자동납치기능을 이용하여 대형 포털사이트의 ID, Password를 탈취하는 신규 피싱방법에 대해 다루어보겠습니다.
※ “자동납치”에 대한 설명과 사례는 울지않는 벌새님의 블로그에 잘 설명되어있으니 생소한 분들은 참조하시기 바랍니다.
- 울지않는벌새 블로그: http://hummingbird.tistory.com/5441
q 흐름도
[그림 1] 6월20일 발견된 자동납치 방법을 이용한 계정 유출 흐름도
[그림 2] URL 흐름도
q Analysis
[그림 3]은 Naver에서 M사이트 검색 후 접속한 그림이다. M사이트 접속 시 302 리다이렉트되어 메인 페이지(goods_main.php )로 이동 후 여러 js파일들을 호출한다. JS 파일들은 모두 M 사이트에서 정상적으로 사용하는 것이며, 정상적으로 접속했을 때와 동일하다.
[그림 3] 네이버 검색 후 변조된 사이트 접속
하지만 [그림 4]에서 보면 호출하는 js 파일 중 하나인 common.js의 일부 내용이 변조되어 추가된 것을 확인 할 수 있다.
[그림 4] common.js 파일 변조
변조된 내용을 확인해 보면, 먼저 cookie 값을 체크하여 “jumpoline” 문자열이 없으면 실행된다. 이를 체크하는 이유는 중복실행을 방지하기 위한 것으로 아래 부분에서 cookie 값에 “jumpoline~.~” 를 설정해 주는 것을 볼 수 있다. 이방법은 다동(공다팩) 등에서 많이 사용되고 있는 방법이다.
[그림 5]의 ① 부분을 보면 referrer 값을 ref 변수에 저장한다. 그리고 reg 변수에 “naver’ 문자열을 저장한다. ② 번 부분에서 referrer 값에 “naver” 문자열이 있는지 체크하기 위해서 이다. 그리고 referrer 값에 “naver”문자열이 포함될 경우 location.href 을 이용하여 특정 페이지로 이동하게 한다.
[그림 5] common.js 파일 변조 내용 상세
여기서 알아야 할 점은 referrer 값을 체크하고 “naver” 문자열이 존재할 경우만, 악의적인 페이지로 연결을 시킨다는 점이다. 이것은 네이버를 통해서(즉 네이버에서 검색 후 사이트에 온 경우) 접속한 경우만 악의적인 페이지로 연결시키는 것인데, 일반적으로 보다 많은 사람을 유도하기 위해 노력하는 악성코드 유포방법에 반하는 방법이다.
개인적으로는 악성사이트 및 위/변조 사이트를 찾아주는 자동화 시스템에 탐지되지 않기 위한 하나의 방법으로 최근에 많이 사용되는 것 같다.
[그림 6]은 referrer 값을 체크하여 naver, daum, google을 경유하여 접속한 사용자에게만 악성코드를 유포하는 방법에 사용된 스크립트 부분이다. indexOf를 사용하여 문자열이 없는 경우는 -1이기때문에 악성코드 유포지로 접근하지 않지만, 세 사이트 중 하나라도 있다면 악성코드 유포지로 접근하게 된다.
[그림 6] referrer 값을 체크하는 패턴
네이버에서 검색하여 M사이트에 접속한 사용자는 갑자기 [그림 7] 처럼 네이버 로그인 페이지가 열린다. 그림에서는 일부만 스크린샷 하였지만, 실제 네이버 로그인 페이지와 동일하게 구성되어있다. 일반사람이라면 조금 이상하지만 익숙한 페이지에 습관적으로 로그인을 할 것 같다 라고 생각되었다.
[그림 7] NAVER 로그인으로 위장한 페이지
하지만 해당 페이지는 당연히 네이버로그인 페이지가 아니다. [그림 8]에서 보면 경로도 M사이트이며 다른 사이트를 접근했는데 네이버 로그인 이라니…(현대인의 정신 없는 점을 노린건가?)
[그림 8] NAVER 로그인으로 위장한 페이지 소스
로그인 페이지의 소스를 살펴보면 로그인 버튼을 누르면 동작하는 action 값이 네이버가 아닌 다른 사이트 인 것을 확인 할 수 있다.
[그림 9] NAVER 로그인으로 위장한 페이지 소스 상세
[그림 10]은 계정정보를 입력 후 로그인 시도를 했을 때, 네이버가 아닌 특정 URL 주소로 입력한 네이버의 ID와 Password를 전송하는 것을 확인 할 수 있다.
[그림 10] 특정페이지로 NAVER 계정정보 전송
최근에 유행하는 ‘유명 포털사이트를 경유하여 변조된 사이트에 접근 시 악성행위가 동작하는 방법’에 대해 알아보았다. 탐지하는 방법이 발전하는 것 만큼 우회하는 방법도 점점 지능화되고 있다는 생각을 하게 되었다.
우리는 이러한 환경에서 자신의 회사 또는 자산을 지키기 위해, 정보를 빠르게 수집하고, 자신의 보안환경에서 탐지하고 대응할 수 있도록 하는 것이 중요하다.
해당 이슈에 대해 아직 탐지 설정이 안되어 있다면, 본문에 나왔던 내용을 참고하여 경보설정해 보는 것을 추천한다.
'난독화 > 이것 저것' 카테고리의 다른 글
| Xor Project (3) | 2014.04.21 |
|---|---|
| SuNiNaTaS Clear!! (0) | 2014.03.27 |
| 오랫만에 풀어보는 Suninatas 해킹문제 (1) | 2014.03.26 |
| 2014년 3월 볼라벤 보고서 (0) | 2014.03.07 |
| Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ (1) | 2013.11.17 |
글
Xor Project
C# 공부를하면서 처음 만들었던 툴입니다.
특정키 값으로 Xor된 쉘코드 분석시 활용할 수 있습니다. (말질라에도 동일한 기능이 있습니다)
악성파일의 경우 파일 전체가 xor된 경우가 있는데, 이럴때 말질라로는 전체를 Xor하면 시간이 많이 걸립니다. 이 툴은 말질라보다는 좀 더 빠르게 가능합니다.
* 별건 아니지만 받아가실 때 댓글하나가 글쓴이에게 큰 힘이 됩니다. ^^;;
Xor_project.zip
'난독화 > 이것 저것' 카테고리의 다른 글
| 네이버 계정 탈취 이슈 분석 (0) | 2014.07.03 |
|---|---|
| SuNiNaTaS Clear!! (0) | 2014.03.27 |
| 오랫만에 풀어보는 Suninatas 해킹문제 (1) | 2014.03.26 |
| 2014년 3월 볼라벤 보고서 (0) | 2014.03.07 |
| Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ (1) | 2013.11.17 |
글
SuNiNaTaS Clear!!
마지막 blind SQL Injection 문제도 완료!!
인증 샷~ ㅎㅎ
'난독화 > 이것 저것' 카테고리의 다른 글
| 네이버 계정 탈취 이슈 분석 (0) | 2014.07.03 |
|---|---|
| Xor Project (3) | 2014.04.21 |
| 오랫만에 풀어보는 Suninatas 해킹문제 (1) | 2014.03.26 |
| 2014년 3월 볼라벤 보고서 (0) | 2014.03.07 |
| Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ (1) | 2013.11.17 |
글
오랫만에 풀어보는 Suninatas 해킹문제
사건/사고도 많고, 이직하는 사람도 많고, IT보안에 종사하는 사람들에게는 힘들고 뒤숭숭한 시기인 것 같네요.
저 또한 조금 그러한데요. 조금 방황하다가 다시 힘내야 한다는 생각에 재미있고(?) 잡생각을 날릴 수 있는 해킹문제 풀이를 해보았습니다. 역시 한번 시작하면 시간가는 줄 모르고 집중하고 있는 저를 보게됩니다.
힘들고 맘이 뒤숭숭한 분들은 한번씩 도전해보세요~ 신납니다....(부작용으로 암걸리 수 도있지만요^^;;)
추천드리는 사이트는 Suninatas라는 사이트입니다.
아래 그림처럼 web, binary, forensic, system, misc 의 문제들로 이루어져 있고, 현재 28문제가 출제되어있습니다. (29,30은 빈문제)
예전에 15문제정도 풀다가 어려워서 미루어두었는데요. 신기하게 다시 도전하니 풀리는 문제가 많네요. 지금은 22, 23번을 빼고는 모두 풀었네요 (뿌듯...^^;;)
해킹 문제를 풀면서 좋은점은 몰라던 분야에 대해 공부하게되고, 알아가는 즐거움, 또한 몇 일씩 못풀다가 풀었을때의 짜릿함!! 그 것때문에 해킹문제를 푸는 것 같습니다.
해킹문제풀이를 안해보셨는데 시작하려면 친구나 지인과 함께 시작하시길 추천합니다. 혼자하다보면 막막함에 금방 지쳐버립니다. 하지만 가치하면 서로 경쟁심도 생기고(자랑질!! ^^;;열심히 하게하는 원동력!!) 도움도 주면서 재미있게 할수 있기 때문입니다.
맘이 뒤숭숭하고 새로운것이 필요하다면 다들 ㄱㄱ!!
전 22, 23번 풀기위해 Blind SQL Injection 공부하러 갑니다. 예전에 공부했었는데 기억이 안나네요.ㅠㅠ
점수를 많이 올렸으니 인증샷 ~~ ㅎㅎㅎ
'난독화 > 이것 저것' 카테고리의 다른 글
| Xor Project (3) | 2014.04.21 |
|---|---|
| SuNiNaTaS Clear!! (0) | 2014.03.27 |
| 2014년 3월 볼라벤 보고서 (0) | 2014.03.07 |
| Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ (1) | 2013.11.17 |
| Cool exploit kit 흐름도 (1) | 2013.06.22 |
글
2014년 3월 볼라벤 보고서
볼라벤 소모임의 열 여덜 번째 분석보고서가 나왔습니다.
제 블로그에도 소개했었던 1월이 발견된 Web EK에 대한 분석 보고서 입니다.
우리나라에서도 잘알려진 Blockhole EK 와 유사한 방법과 구조를 가지고 있지만, 좀 더 복잡해진 난독화 기법 및 유포 방법이 특징입니다. 아마 새로운 툴킷으로 생각됩니다.
특히 이번분석보고서에는 기존에 간단하게 다루었던 Java 부분의 난독화 방법과 그것을 해제하는 방법에 대해 좀 더 자세하게 다루었습니다. 난독화 공부를 하거나 Web EK에 관심 있는 분들에게 도움이 되었으면 좋겠습니다
분석보고서 보러가기
- http://thebolaven.tistory.com/entry/18차-문서-신종-Web-EK-분석-보고서
'난독화 > 이것 저것' 카테고리의 다른 글
| SuNiNaTaS Clear!! (0) | 2014.03.27 |
|---|---|
| 오랫만에 풀어보는 Suninatas 해킹문제 (1) | 2014.03.26 |
| Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ (1) | 2013.11.17 |
| Cool exploit kit 흐름도 (1) | 2013.06.22 |
| dadong's 0.44 Decoding Tool (0) | 2013.03.15 |
글
Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ
오랫만에 들어간 Kahu Security 에서 "Deobfuscating Magnitude Exploit Kit" 글을 보았다.
Magnitude EK 처음 보는 툴킷인데 이미 해외에서는 유명한 것 같다
분석내용을 보면 자바스크립트 부분은 간단해보이고, 자바 부분이 좀 복잡해 보이고 상당히 재미있어 보인다
이런건 분석해보아야 한다!!! 그래서 샘플구하려고 구글과 jsunpack 최근 샘플 다 찾아보았다.
OTL 2시간 뻘짓하고 살포시 포기했다.
혹시라도 Magnitude EK 샘플 구하신 분은 공유 부탁드립니다. 꾸벅!!
카후시큐리티 Magnitude EK 분석 바로가기
- http://www.kahusecurity.com/2013/deobfuscating-magnitude-exploit-kit/
'난독화 > 이것 저것' 카테고리의 다른 글
| 오랫만에 풀어보는 Suninatas 해킹문제 (1) | 2014.03.26 |
|---|---|
| 2014년 3월 볼라벤 보고서 (0) | 2014.03.07 |
| Cool exploit kit 흐름도 (1) | 2013.06.22 |
| dadong's 0.44 Decoding Tool (0) | 2013.03.15 |
| phpMyAdmin 취약점 웹서버 스캐닝 툴 ZmEu (0) | 2013.02.26 |
글
Cool exploit kit 흐름도
최근에 운좋게 Cool exploit kit을 이용한 악성코드 유포하는 패킷을 수집하여 분석하고 있습니다.
초기분석결과, pdf 취약점과 eot(웹폰트)취약점을 이용해 악성코드를 유포하는 것으로 확인됩니다.분석중인
패킷은 웹폰트 취약점은 존재하지 않았지만, pdf 취약점에 의해 악성코드에 감염된 것으로 되었습니다.
아래는 분석한 cool exploit kit의 흐름도 입니다.
[그림 1. cool exploit kit 흐름도]
분석이 종료되면 해당 샘플에서 사용된 난독화 방식을 정리해서 올리겠습니다.
'난독화 > 이것 저것' 카테고리의 다른 글
| 오랫만에 풀어보는 Suninatas 해킹문제 (1) | 2014.03.26 |
|---|---|
| 2014년 3월 볼라벤 보고서 (0) | 2014.03.07 |
| Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ (1) | 2013.11.17 |
| dadong's 0.44 Decoding Tool (0) | 2013.03.15 |
| phpMyAdmin 취약점 웹서버 스캐닝 툴 ZmEu (0) | 2013.02.26 |
글
dadong's 0.44 Decoding Tool
최근 위/변조 사이트를 분석하다가 아직도 다동 0.44(JSXX 0.44)가 이용되는 것을 확인하였다.
한때 다동을 풀기위해 밤을 샜던 추억이 떠올랐다.
분석팀이나 관심이 있는사람들은 다들 각자의 풀이 방법이 있겠지만, 아직 풀지 못하는 사람들도
많을 거 같아 툴을 만들어 보았다
디자인은 Bolaven Tool 형식으로 하였고, 누구나 쉽게 사용할 수 있도록 제작하였다.
이 툴은 bolaven 9차 문서[다동분석]와 함께 사람들에게 전파 예정인데, 게을러서 문서만드는 것을
자꾸 미루고 있다. ㅠㅡㅠ
'난독화 > 이것 저것' 카테고리의 다른 글
| 오랫만에 풀어보는 Suninatas 해킹문제 (1) | 2014.03.26 |
|---|---|
| 2014년 3월 볼라벤 보고서 (0) | 2014.03.07 |
| Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ (1) | 2013.11.17 |
| Cool exploit kit 흐름도 (1) | 2013.06.22 |
| phpMyAdmin 취약점 웹서버 스캐닝 툴 ZmEu (0) | 2013.02.26 |
글
phpMyAdmin 취약점 웹서버 스캐닝 툴 ZmEu
* phpMyAdmin은 웹서버상에서 MYSQL의 관리자로서 DB를 처리할 수 있도록 만들어진 PHP툴로 데이타베이스를 생성/삭제, 테이블 생성/삭제, 필드 생성/삭제, SQL 문장 실행, 권한 관리 기능 실행가능하다
ZmEu 툴로 발생된 트래픽의 헤더부분은 특정한 문자열이 포함되어 있어 아래의 패턴으로 보안장비에서 탐지가능하다.
→ 0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A 20 5A 6D 45 75 // User-Agent:.ZmEu
[그림 1. 패킷 정보]
## 추가 정보
'난독화 > 이것 저것' 카테고리의 다른 글
| 오랫만에 풀어보는 Suninatas 해킹문제 (1) | 2014.03.26 |
|---|---|
| 2014년 3월 볼라벤 보고서 (0) | 2014.03.07 |
| Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ (1) | 2013.11.17 |
| Cool exploit kit 흐름도 (1) | 2013.06.22 |
| dadong's 0.44 Decoding Tool (0) | 2013.03.15 |