0x04 reference&tools2011. 3. 7. 17:10



모두들 고생하셨습니다.

정치적으로 그리고 홍보 목적으로 전면에 나선 사람들 말고 진짜 뒤에서 고생하신 분들 많습니다.

(안타깝게도 전 다른 프로젝트에 참가 중이라 그리 많은 시간을 할애하지 못했습니다 ㅜ.ㅜ)

이번엔 초기보고서나 샘플이 빨리 공유되어 피해가 덜했던 것 같습니다.

절대 장비가 좋아서가 아닙니다. -_-

개인적으로 이번 사건은 사람의 힘으로 DDoS를 막았다고 평가하고 싶습니다.

여담이지만 들어오는 트래픽을 막는데만 힘을 쏟을게 아니라

그런 트래픽을 쏘는 좀비들을 찾아서 빨리 치료하는 또는 그런 좀비가 안생기게 하는게 정확한 해결책이라 생각됩니다.



본론으로 들어와서...

지금까지 나온 악성코드간의 관계도 그림이 있어 공유합니다.


<안철수연구소>




<이스트소프트>




<하우리>




<잉카인터넷>




처음부터 직접 분석을 하지 못했지만 나왔던 문서들을 토대로 저도 그림을 그려봤습니다.
(은근 그림 그리는거 좋아라 합니다. ~.~)







다들 수고하셨습니다!!

이번주말엔 푹~ 쉬시기 바랍니다!!










Posted by demantos

댓글을 달아 주세요

  1. malwarelab님도 잘그리시는데요;; 소질이 있으신듯 ㅠ.ㅠ 전 그림에는 센스가 영 ㅠ.ㅠ

    2011.03.07 23:59 신고 [ ADDR : EDIT/ DEL : REPLY ]
  2. 그.. 그림은 동춘이형도 한그림 그리던데.. 말워어랩님도 잘그리시는군요 (+__)ㅋ

    2011.03.09 09:08 신고 [ ADDR : EDIT/ DEL : REPLY ]

0x04 reference&tools2010. 11. 22. 22:10

http://code.google.com/p/smali/

About

There has been some recent buzz about using smali/baksmali to crack google's licensing framework. See my response here

smali/baksmali is an assembler/disassembler for the dex format used by dalvik, Android's Java VM implementation. The syntax is loosely based on Jasmin's/dedexer's syntax, and supports the full functionality of the dex format (annotations, debug info, line info, etc.)

The names "smali" and "baksmali" are the Icelandic equivalents of "assembler" and "disassembler" respectively. Why Icelandic you ask? Because dalvik was named for an Icelandic fishing village.

Curious what the smali format looks like? Here's a quick HelloWorld example to whet your appetite.
 

Download Link
smali - http://smali.googlecode.com/files/smali-1.2.5.jar
baksmali - http://smali.googlecode.com/files/baksmali-1.2.5.jar





Hacker's Dream 하시는 분들 이거 사용하셔야죠?

저만 이제 알게 된건가요? ㅜ.ㅜ

암튼 즐삽~



Dex File Format
http://www.retrodev.com/android/dexformat.html




Posted by demantos

댓글을 달아 주세요

0x04 reference&tools2010. 11. 22. 08:42



[출처 : Symantec]

Adobe는 Adobe Reader X를 발표했습니다. 널리 사용되는 PDF reader 소프트웨어의 새로운 이 버전은 권한 분리를 위한 샌드박스를 포함하고 있습니다. 

해당 샌드박스는 클라이언트 측 취약성에 대한 공격에 대해 추가적인 보안을 제공하기 위해 Microsoft Windows 무결성 수준(Integrity level)을 이용합니다.

공격자가 Adobe Reader X에 존재하는 취약성을 성공적으로 공격하더라도, 피해 컴퓨터에 대한 자유로운 액세스를 획득하기 위해서는 해당 샌드박스를 깨고 나와야 합니다.

이런 추가적인 단계의 보안 기능은 일반적인 공격으로부터 네트워크 사용자들을 보호할 수 있을 것입니다.

무결성 수준은 Windows Vista에서 처음 사용되었기 때문에, Adobe Reader X의 샌드박스는 이에 대한 지원이 이루어지는 Windows에서만 작동할 것입니다.

워크스테이션상의 Windows Vista 또는 Windows 7을 사용하는 고객들은, 관리자가 Adobe Reader X를 설치할 수 있도록 계획을 세움으로써, 이 새로운 보안 기능을 사용할 수 있도록 할 것을 권고합니다.

해당 샌드박스 기술에 대한 자세한 정보는 다음에서 확인할 수 있습니다.


Inside Adobe Reader Protected Mode - Part 1
http://blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-part-1-design.html

Inside Adobe Reader Protected Mode - Part 2
http://blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-%E2%80%93-part-2-%E2%80%93-the-sandbox-process.html
 
Inside Adobe Reader Protected Mode - Part 3
http://blogs.adobe.com/asset/2010/11/inside-adobe-reader-protected-mode-part-3-broker-process-policies-and-inter-process-communication.html

Adobe Reader X can be downloaded here:Adobe Reader X
http://get.adobe.com/reader/



Posted by demantos

댓글을 달아 주세요

0x04 reference&tools2010. 11. 17. 10:21



[출처 : Symantec]

2010년 11월 12일(GMT), Koobface 봇넷 및 내부 운영에 대한 상세 정보를 공개하는 보고서가 발표되었습니다. 이 보고서는 해당 봇넷 일부 인프라의 실질적인 폐쇄와 때를 같이해 발표되었습니다.

영국에 기반한 ISP Coreix가 Koobface 봇넷 운영에 사용되는 이미 알려진 세 개의 C&C(Command and Control) 서버 중 하나에 대한 조치를 취했습니다.

Koobface는 소셜 네트워킹 사용자를 대상으로 하는 2008년 중반에 처음 모습을 드러낸 비교적 새로운 웜입니다. Koobface가 많은 소셜 네트워킹 사이트의 사용자들을 공격할 수 있지만, 특히 Facebook 사용자 대해 효과적인데, 이 때문에 Koobface라는 이름이 붙여졌습니다.

감염된 컴퓨터의 사용자가 자신의 계정에 로그인하면, 동영상과 같은 다양한 아이템에 대한 링크를 포함한 메시지를 게시할 목적으로 세션 가로채기가 수행됩니다. 해당 링크는 종종 다계층의 리디렉션을 수행하며, 최종적으로 비디오 코덱으로 위장한 위조 안티바이러스 소프트웨어를 전형적으로 제공하는 다양한 사이트로 연결됩니다.

해당 봇넷 운영의 재정 부분은 이 보고서에서 다루고 있는 흥미로운 부분입니다. 해당 정보는 이 봇넷 운영자들이 자신들의 사업을 제어 및 모니터링할 목적으로 관리하는 "mothership" 컴퓨터에 의해 관리되고 있는 파일
및 레코드에서 수집되었습니다.

해당 보고서는 Koobface가 PPC(Pay Per Click) 광고 및 악성 프로그램의 PPI(Pay Per Install)를 위주로 한 다양한 작업들을 통해 수익을 창출하고 있다고 언급하고 있습니다. 연구원들이 조사를 수행한 기간인 2009년 6월부터 2010년 6월 동안 해당 봇넷이 창출한 자금은 거의 미화 200만 달러에 달했습니다.


Koobface: Inside a Crimeware Network
http://www.infowar-monitor.net/reports/iwm-koobface.pdf

Posted by demantos

댓글을 달아 주세요

0x04 reference&tools2010. 10. 27. 11:31


[출처 : 시만텍]
 
2010년 10월 24일(GMT), Eric Butler와 Ian Gallagher는 ToorCon 컨퍼런스에서 Firesheep이라는 새로운 도구를 발표했습니다. Firesheep은 세션 하이재킹 공격용 스크립팅 프레임워크를 제공하는 Mozilla Firefox 웹 브라우저용 플러그인으로, 이를 이용할 경우 사용자가 다양한 서비스에 대해 세션 하이재킹 공격을 수행할 수 있습니다.
 
특히, Firesheep은 안전하지 않은 HTTP 트래픽으로부터 쿠키와 같은 세션 토큰을 가로채고 이 토큰을 재사용해 위장 공격을 수행하는 것이 가능케 할 목적으로 제작되었습니다. 이러한 공격 유형은 이미 잘 알려져 있지만, Firesheep은 공격자가 매우 제한된 지식이나 노력을 통해서도 공격을 수행할 수 있는 인터페이스를 제공합니다. 또한, Firesheep은 스크립팅된 확장을 지원하며, 이로 인해 시간이 흐름에 따라 공격 대상 서비스의 수가 증가될 수 있을 것입니다. 초기 배포에서는 다수의 인기있는 소셜 네트워킹 및 메일 사이트에 대한 지원이 제공됩니다.
 
이러한 공격이 새롭거나 정교하지는 않지만, 이 도구로 인해 해당 공격이 증가될 수 있을 것입니다. Firesheep은 언론으로부터도 어느 정도의 관심을 받았습니다. 고객들은 안전하지 않은 네트워크상의 웹 기반 서비스를 이용할 때에는 주의를 기울이고, 가능하면 HTTPS 또는 VPN을 사용하도록 합니다.
 
Firesheep에 대한 자세한 내용은 다음 위치에서 확인할 수 있습니다:
 
Firesheep
http://codebutler.com/firesheep

Firesheep
http://codebutler.github.com/firesheep/





Posted by demantos

댓글을 달아 주세요

0x04 reference&tools2010. 10. 8. 09:09


Inside Adobe Reader Protected Mode - Part 1 - Design
http://blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-part-1-design.html






드디어 어도비도 sandbox 기법을 적용하는군요..




Posted by demantos

댓글을 달아 주세요

0x04 reference&tools2010. 10. 4. 11:12


[출처:Symantec]
 
Symantec은 W32.Stuxnet 악성 소프트웨어의 구조와 특성을 설명한 백서를 발표했다. Stuxnet은 지난 수 개월에 걸쳐 상당한 관심을 받았다.
 
Stuxnet은 정교한 표적 공격의 흥미롭고 독특한 예제를 제공한다. 이 소프트웨어는 이전에 공개되지 않은 다수의 취약성을 이용하며, 다수의 애플리케이션을 대상으로 하고, 산업 기계 장비를 제어하는 데 사용되는 PLC (programmable logic controller)코드를 감염시키고 변경하는 것이 최종 목표인 것처럼 보인다.
 
새로 발표된 백서는 연속으로 개재된 블로그 글에 대한 추가적인 정보를 제공하며, Stuxnet에 의해 사용되는 전파 및 감염 경로 뿐만 아니라 최종 PLC 페이로드를 설명한다. 해당 악성 프로그램의 본래 목표와 관련해 의문점이 남아 있지만, 본 분석은 잘 개발된 악성 소프트웨어를 사용해 수행 가능한 일에 대해 주목할만한 설명을 제공한다.
 
W32.Stuxnet Dossier
http://www.symantec.com/connect/blogs/w32stuxnet-dossier
 
W32.Stuxnet Dossier
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf


Posted by demantos

댓글을 달아 주세요

0x04 reference&tools2010. 10. 1. 13:43


[출처:Symantec]
 
다수의 소식통에서 특정 방식의 2단계 인증을 우회하는 Zeus 악성 프로그램의 변종에 대해 보고하고 있다. 이 새로운 변종은 S21Sec에서 처음 보고했으며, PC 및 휴대폰 기반 컴포넌트 모두를 포함한다. 이를 조합하여, 대상 은행에서 사용하는 2단계 인증 방식에 기반한 텍스트 메시지를 우회하는 데 사용될 수 있다.
 
이는 2단계 인증을 우회하기 위해 다수의 물리적 장치를 사용하는 악성 프로그램에 대한 흥미로운 예제를 제공한다. 자세한 내용은 S21sec 블로그에서 확인할 수 있다.
 
ZeuS Mitmo: Man-in-the-mobile (I)
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-i.html
ZeuS Mitmo: Man-in-the-mobile (II)
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-ii.html
ZeuS Mitmo: Man-in-the-mobile (III)
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-iii.html

Zeus In The Mobile (Zitmo): Online Banking’s Two Factor Authentication Defeated
http://blog.fortinet.com/zeus-in-the-mobile-zitmo-online-bankings-two-factor-authentication-defeated/

Posted by demantos

댓글을 달아 주세요

0x04 reference&tools2010. 9. 17. 17:39

아시는분들은 알만한 좋은 툴(사이트)입니다.

http://jsunpack.jeek.org/dec/go

악성스크립트 URL을 입력하거나 스크립트 파일을 업로드하면 자세하게 분석 후 결과를 보여줍니다.



URL을 입력하고 Submit URL(s)를 클릭하시면 다음과 같은 결과를 보실 수 있습니다.
결과가 나오기까지는 약간의 시간이 소요될 수 있습니다.



첫번째 그림 아래쪽에 보시면 Source Code라는 링크가 있는데 파이썬으로 만들어진 프로그램을 제공합니다.

https://code.google.com/p/jsunpack-n/


아쉽게도 지금은 파일을 다운로드 할 링크가 없습니다. -_-

그래서 압축파일의 절대경로 링크를 걸겠습니다. (링크는 처리님의 블로그에서...)

http://jsunpack.jeek.org/jsunpack-n.tgz

혹시 모르니 업로드도...





Posted by demantos

댓글을 달아 주세요

  1. 익명

    비밀댓글입니다

    2012.04.05 23:03 [ ADDR : EDIT/ DEL : REPLY ]

0x04 reference&tools2010. 9. 17. 08:44


[출처 : Symantec]
 
2010년 9월 15일(이하 GMT), RamzAfzar는 최근에 공개된 Adobe Reader에 영향을 주는 'CoolType.dll' TTF (TrueType Font) 취약성에 대한 서드 파티 바이너리 패치를 발표했다. Adobe가 해당 취약성을 인정했으며 2010년 9월 20일에 패치를 발표할 예정이기는 하지만, 현재 해당 취약성에 대한 아무런 공식 패치도 존재하지 않는다. 이 취약성에 대한 공개 공격 코드가 존재하며, 해당 취약성을 겨냥한 실제 네트워크상에서의 제한적인 공격이 보고되었다.
 
RamzAfzar는 이 패치 개발에 관련된 단계적인 설명을 제공한다. 이 바이너리 파일을 간략히 살펴본 결과, 해당 파일에 대한 두 가지의 수정이 이루어 졌음을 확인했다. 우선, jump를 사용해 설명된 바와 같이 해당 취약성을 발생시키는 'strcat()' 함수 호출을 회피하고 있다(그림 1을 확인한다):
 
이 jump는 관련 스택을 지정하고 'strncat()'을 호출하는 데이터 세그먼트의 위치로 이동시킨다. 이후에, 예전 'strcat()' 뒤의 원래 코드로 되돌아 간다(그림 2를 확인한다):
 
이 패치의 특성을 테스트하거나 원래 취약성에 대한 공격을 차단하는지에 대한 검증은 이루어지지 않았으나, 이러한 접근 법은 타당해 보이며 해당 바이너리는 예기치 않은 어떤 변경도 포함하고 있지 않다. 참고로, 수행된 테스트에서는 새로운 코드가 포함된 세그먼트가 실행 가능으로 설정되지 않았다; 이는, DEP로 보호되는 일부 시스템에서는 해당 패치가 정상적으로 동작하는 것을 막을 수 있을 것이다. 또한, Microsoft의 EMET 예방 도구도 해당 취약성을 겨냥한 공격에 대한 보호를 제공하는 것으로 보고되었다.
 
임시 해결방안으로 서드 파티 바이너리를 적용하는 것을 일반적으로 권하진 않지만, 관리자들은 해당 패치를 어느 정도 유용하게 사용할 수 있을 것이다. 이 패치에 대한 상세 정보 및 해당 바이너리에 대한 링크는 RamzAfzar 웹 사이트에서 확인할 수 있다:
 
[Unofficial] 0-Day Acrobat SING Table Vulnerability Patch
https://www.rafzar.com/node/22
 
Use EMET 2.0 to block Adobe Reader and Acrobat 0-day exploit
http://blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx


Posted by demantos

댓글을 달아 주세요