0x04 reference&tools2010. 11. 22. 22:10

http://code.google.com/p/smali/

About

There has been some recent buzz about using smali/baksmali to crack google's licensing framework. See my response here

smali/baksmali is an assembler/disassembler for the dex format used by dalvik, Android's Java VM implementation. The syntax is loosely based on Jasmin's/dedexer's syntax, and supports the full functionality of the dex format (annotations, debug info, line info, etc.)

The names "smali" and "baksmali" are the Icelandic equivalents of "assembler" and "disassembler" respectively. Why Icelandic you ask? Because dalvik was named for an Icelandic fishing village.

Curious what the smali format looks like? Here's a quick HelloWorld example to whet your appetite.
 

Download Link
smali - http://smali.googlecode.com/files/smali-1.2.5.jar
baksmali - http://smali.googlecode.com/files/baksmali-1.2.5.jar





Hacker's Dream 하시는 분들 이거 사용하셔야죠?

저만 이제 알게 된건가요? ㅜ.ㅜ

암튼 즐삽~



Dex File Format
http://www.retrodev.com/android/dexformat.html




Posted by demantos
0x04 reference&tools2010. 11. 22. 08:42



[출처 : Symantec]

Adobe는 Adobe Reader X를 발표했습니다. 널리 사용되는 PDF reader 소프트웨어의 새로운 이 버전은 권한 분리를 위한 샌드박스를 포함하고 있습니다. 

해당 샌드박스는 클라이언트 측 취약성에 대한 공격에 대해 추가적인 보안을 제공하기 위해 Microsoft Windows 무결성 수준(Integrity level)을 이용합니다.

공격자가 Adobe Reader X에 존재하는 취약성을 성공적으로 공격하더라도, 피해 컴퓨터에 대한 자유로운 액세스를 획득하기 위해서는 해당 샌드박스를 깨고 나와야 합니다.

이런 추가적인 단계의 보안 기능은 일반적인 공격으로부터 네트워크 사용자들을 보호할 수 있을 것입니다.

무결성 수준은 Windows Vista에서 처음 사용되었기 때문에, Adobe Reader X의 샌드박스는 이에 대한 지원이 이루어지는 Windows에서만 작동할 것입니다.

워크스테이션상의 Windows Vista 또는 Windows 7을 사용하는 고객들은, 관리자가 Adobe Reader X를 설치할 수 있도록 계획을 세움으로써, 이 새로운 보안 기능을 사용할 수 있도록 할 것을 권고합니다.

해당 샌드박스 기술에 대한 자세한 정보는 다음에서 확인할 수 있습니다.


Inside Adobe Reader Protected Mode - Part 1
http://blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-part-1-design.html

Inside Adobe Reader Protected Mode - Part 2
http://blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-%E2%80%93-part-2-%E2%80%93-the-sandbox-process.html
 
Inside Adobe Reader Protected Mode - Part 3
http://blogs.adobe.com/asset/2010/11/inside-adobe-reader-protected-mode-part-3-broker-process-policies-and-inter-process-communication.html

Adobe Reader X can be downloaded here:Adobe Reader X
http://get.adobe.com/reader/



Posted by demantos
0x04 reference&tools2010. 11. 17. 10:21



[출처 : Symantec]

2010년 11월 12일(GMT), Koobface 봇넷 및 내부 운영에 대한 상세 정보를 공개하는 보고서가 발표되었습니다. 이 보고서는 해당 봇넷 일부 인프라의 실질적인 폐쇄와 때를 같이해 발표되었습니다.

영국에 기반한 ISP Coreix가 Koobface 봇넷 운영에 사용되는 이미 알려진 세 개의 C&C(Command and Control) 서버 중 하나에 대한 조치를 취했습니다.

Koobface는 소셜 네트워킹 사용자를 대상으로 하는 2008년 중반에 처음 모습을 드러낸 비교적 새로운 웜입니다. Koobface가 많은 소셜 네트워킹 사이트의 사용자들을 공격할 수 있지만, 특히 Facebook 사용자 대해 효과적인데, 이 때문에 Koobface라는 이름이 붙여졌습니다.

감염된 컴퓨터의 사용자가 자신의 계정에 로그인하면, 동영상과 같은 다양한 아이템에 대한 링크를 포함한 메시지를 게시할 목적으로 세션 가로채기가 수행됩니다. 해당 링크는 종종 다계층의 리디렉션을 수행하며, 최종적으로 비디오 코덱으로 위장한 위조 안티바이러스 소프트웨어를 전형적으로 제공하는 다양한 사이트로 연결됩니다.

해당 봇넷 운영의 재정 부분은 이 보고서에서 다루고 있는 흥미로운 부분입니다. 해당 정보는 이 봇넷 운영자들이 자신들의 사업을 제어 및 모니터링할 목적으로 관리하는 "mothership" 컴퓨터에 의해 관리되고 있는 파일
및 레코드에서 수집되었습니다.

해당 보고서는 Koobface가 PPC(Pay Per Click) 광고 및 악성 프로그램의 PPI(Pay Per Install)를 위주로 한 다양한 작업들을 통해 수익을 창출하고 있다고 언급하고 있습니다. 연구원들이 조사를 수행한 기간인 2009년 6월부터 2010년 6월 동안 해당 봇넷이 창출한 자금은 거의 미화 200만 달러에 달했습니다.


Koobface: Inside a Crimeware Network
http://www.infowar-monitor.net/reports/iwm-koobface.pdf

Posted by demantos
0x06 vulnerability2010. 11. 11. 13:29

[출처: Symantec]
 
Adobe는 2010년 11월 8일(이하 GMT)에 짧은 블로그 업데이트를 통해, 이전에 언급된 바 있는 Adobe Reader 'printSeps' 취약성(CVE-2010-4091)을 패치할 계획이라고 밝혔습니다:
 
벤더는 2010년 11월 셋째 주에, 해당 취약성의 영향을 받는 제품들에 대한 업데이트를 발표할 예정입니다. 이 업데이트는 이전에 예정되었던 CVE-2010-3654로 등록된 다른 취약성에 대한 패치와 함께 발표될 것입니다 - 해당 취약성은 현재 패치되지 않았으며, Reader 및 Acrobat에 존재합니다.
 
자세한 정보는 다음을 확인하세요:
 
Potential issue in Adobe Reader
http://blogs.adobe.com/psirt/2010/11/potential-issue-in-adobe-reader.html


:: 위 취약점을 공격하는 악성코드 분석글 ::
full disclosure xpl.pdf Adobe Reader 9.4 poc - printSeps() / extraexploit
http://extraexploit.blogspot.com/2010/11/full-disclosure-xplpdf-adober-reader-94.html



분석해보고 싶으신 분들을 위한 서비스

Posted by demantos
0x06 vulnerability2010. 11. 5. 14:47



More on the IE 0-day - Hupigon Joins The Party [FireEye Malware Intelligence Lab]
http://blog.fireeye.com/research/2010/11/ie-0-day-hupigon-joins-the-party.html


New IE Zero-Day used in Targeted Attacks [Symantec]
http://www.symantec.com/connect/blogs/new-ie-zero-day-used-targeted-attacks


CVE-2010-3962 - yet another Internet Explorer RCE [extraexploit]
http://extraexploit.blogspot.com/2010/11/cve-2010-3962-yet-another-internet.html


Microsoft Security Advisory (2458511)
http://www.microsoft.com/technet/security/advisory/2458511.mspx


Microsoft Internet Explorer 제로데이 취약점 : Invalid flag reference를 이용한 원격 코드 실행 [울지않는벌새]
http://hummingbird.tistory.com/2546




올해 MS 취약점 100개를 찍을듯한 기세군요..







Posted by demantos
0x04 reference&tools2010. 10. 27. 11:31


[출처 : 시만텍]
 
2010년 10월 24일(GMT), Eric Butler와 Ian Gallagher는 ToorCon 컨퍼런스에서 Firesheep이라는 새로운 도구를 발표했습니다. Firesheep은 세션 하이재킹 공격용 스크립팅 프레임워크를 제공하는 Mozilla Firefox 웹 브라우저용 플러그인으로, 이를 이용할 경우 사용자가 다양한 서비스에 대해 세션 하이재킹 공격을 수행할 수 있습니다.
 
특히, Firesheep은 안전하지 않은 HTTP 트래픽으로부터 쿠키와 같은 세션 토큰을 가로채고 이 토큰을 재사용해 위장 공격을 수행하는 것이 가능케 할 목적으로 제작되었습니다. 이러한 공격 유형은 이미 잘 알려져 있지만, Firesheep은 공격자가 매우 제한된 지식이나 노력을 통해서도 공격을 수행할 수 있는 인터페이스를 제공합니다. 또한, Firesheep은 스크립팅된 확장을 지원하며, 이로 인해 시간이 흐름에 따라 공격 대상 서비스의 수가 증가될 수 있을 것입니다. 초기 배포에서는 다수의 인기있는 소셜 네트워킹 및 메일 사이트에 대한 지원이 제공됩니다.
 
이러한 공격이 새롭거나 정교하지는 않지만, 이 도구로 인해 해당 공격이 증가될 수 있을 것입니다. Firesheep은 언론으로부터도 어느 정도의 관심을 받았습니다. 고객들은 안전하지 않은 네트워크상의 웹 기반 서비스를 이용할 때에는 주의를 기울이고, 가능하면 HTTPS 또는 VPN을 사용하도록 합니다.
 
Firesheep에 대한 자세한 내용은 다음 위치에서 확인할 수 있습니다:
 
Firesheep
http://codebutler.com/firesheep

Firesheep
http://codebutler.github.com/firesheep/





Posted by demantos
0x04 reference&tools2010. 10. 8. 09:09


Inside Adobe Reader Protected Mode - Part 1 - Design
http://blogs.adobe.com/asset/2010/10/inside-adobe-reader-protected-mode-part-1-design.html






드디어 어도비도 sandbox 기법을 적용하는군요..




Posted by demantos
0x04 reference&tools2010. 10. 4. 11:12


[출처:Symantec]
 
Symantec은 W32.Stuxnet 악성 소프트웨어의 구조와 특성을 설명한 백서를 발표했다. Stuxnet은 지난 수 개월에 걸쳐 상당한 관심을 받았다.
 
Stuxnet은 정교한 표적 공격의 흥미롭고 독특한 예제를 제공한다. 이 소프트웨어는 이전에 공개되지 않은 다수의 취약성을 이용하며, 다수의 애플리케이션을 대상으로 하고, 산업 기계 장비를 제어하는 데 사용되는 PLC (programmable logic controller)코드를 감염시키고 변경하는 것이 최종 목표인 것처럼 보인다.
 
새로 발표된 백서는 연속으로 개재된 블로그 글에 대한 추가적인 정보를 제공하며, Stuxnet에 의해 사용되는 전파 및 감염 경로 뿐만 아니라 최종 PLC 페이로드를 설명한다. 해당 악성 프로그램의 본래 목표와 관련해 의문점이 남아 있지만, 본 분석은 잘 개발된 악성 소프트웨어를 사용해 수행 가능한 일에 대해 주목할만한 설명을 제공한다.
 
W32.Stuxnet Dossier
http://www.symantec.com/connect/blogs/w32stuxnet-dossier
 
W32.Stuxnet Dossier
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf


Posted by demantos
0x04 reference&tools2010. 10. 1. 13:43


[출처:Symantec]
 
다수의 소식통에서 특정 방식의 2단계 인증을 우회하는 Zeus 악성 프로그램의 변종에 대해 보고하고 있다. 이 새로운 변종은 S21Sec에서 처음 보고했으며, PC 및 휴대폰 기반 컴포넌트 모두를 포함한다. 이를 조합하여, 대상 은행에서 사용하는 2단계 인증 방식에 기반한 텍스트 메시지를 우회하는 데 사용될 수 있다.
 
이는 2단계 인증을 우회하기 위해 다수의 물리적 장치를 사용하는 악성 프로그램에 대한 흥미로운 예제를 제공한다. 자세한 내용은 S21sec 블로그에서 확인할 수 있다.
 
ZeuS Mitmo: Man-in-the-mobile (I)
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-i.html
ZeuS Mitmo: Man-in-the-mobile (II)
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-ii.html
ZeuS Mitmo: Man-in-the-mobile (III)
http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-iii.html

Zeus In The Mobile (Zitmo): Online Banking’s Two Factor Authentication Defeated
http://blog.fortinet.com/zeus-in-the-mobile-zitmo-online-bankings-two-factor-authentication-defeated/

Posted by demantos
0x04 reference&tools2010. 9. 17. 17:39

아시는분들은 알만한 좋은 툴(사이트)입니다.

http://jsunpack.jeek.org/dec/go

악성스크립트 URL을 입력하거나 스크립트 파일을 업로드하면 자세하게 분석 후 결과를 보여줍니다.



URL을 입력하고 Submit URL(s)를 클릭하시면 다음과 같은 결과를 보실 수 있습니다.
결과가 나오기까지는 약간의 시간이 소요될 수 있습니다.



첫번째 그림 아래쪽에 보시면 Source Code라는 링크가 있는데 파이썬으로 만들어진 프로그램을 제공합니다.

https://code.google.com/p/jsunpack-n/


아쉽게도 지금은 파일을 다운로드 할 링크가 없습니다. -_-

그래서 압축파일의 절대경로 링크를 걸겠습니다. (링크는 처리님의 블로그에서...)

http://jsunpack.jeek.org/jsunpack-n.tgz

혹시 모르니 업로드도...





Posted by demantos