thanks to mila
you are so sexy~ ;)
http://contagiodump.blogspot.com/2010/06/overview-of-exploit-packs-update.html
ExploitPackTable_FULL.xlsand mila thanks to Gunther from ARTeam :)
http://www.avertlabs.com/research/blog/index.php/2010/05/28/an-overview-of-exploit-packs/
'MalwareLab'에 해당되는 글 142건
- 2010.06.16 Exploit Pack Table
- 2010.06.15 Adobe Flash Player, Adobe Reader and Acrobat 취약점(CVE-2010-1297)
- 2010.06.01 책 샀어요~ 인사이드 윈도우즈 포렌식 4
- 2010.05.27 신종 피싱 기법 - Tabnapping 1
- 2010.05.19 임을 위한 행진곡
- 2010.05.12 Tor Proxy
- 2010.05.06 천안함의 진실은??? 1
- 2010.05.04 대형 쇼핑몰 사이트에 삽입되는 악성스크립트
- 2010.03.25 muza-flowers.biz [Rustock] #1
- 2010.03.02 北, 독자적 컴퓨터 운영체제 `붉은별' 개발
0x04 reference&tools2010. 6. 16. 15:59
thanks to mila
you are so sexy~ ;)
http://contagiodump.blogspot.com/2010/06/overview-of-exploit-packs-update.html
and mila thanks to Gunther from ARTeam :)
http://www.avertlabs.com/research/blog/index.php/2010/05/28/an-overview-of-exploit-packs/
0x06 vulnerability2010. 6. 15. 13:28
6월 4일경 발표된 취약점인데요..
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1297
http://www.adobe.com/support/security/advisories/apsa10-01.html
오늘 업데이트가 나왔나 봅니다.
http://nchovy.kr/forum/2/article/563
http://www.adobe.com/support/security/bulletins/apsb10-14.html
분석글 두개 링크겁니다. 참고하시기 바랍니다.
http://www.symantec.com/connect/ko/blogs/analysis-zero-day-exploit-adobe-flash-and-reader
http://blog.zynamics.com/2010/06/09/analyzing-the-currently-exploited-0-day-for-adobe-reader-and-adobe-flash/
간만에 샘플 확보해서 분석해봐야겠습니다.
Mila씨 블로그 뒤져봐야겠습니다. ㅎㅎ
0xFF small talk2010. 6. 1. 13:26
오랜만에 책 두권을 샀습니다. ^^;
(잘 보지도 않으면서...-_-;;)
아마존에서 평이 좋았던 원서를 번역한 '인사이드 윈도우즈 포렌식'과 'Windows 구조와 원리'입니다.
뭐 기존에 사거나 제본한 책도 안보는데 관심이 많아 덜컥 구매버튼을 눌러버렸다는...;;;;
공부 좀 해야겠습니다.
ZIZIHACKER 형님이 주신 Malware Forensic도 봐야하는데 말이죠...ㅜ.ㅜ
짬짬이 시간내서 보고 공유할 만한 내용이 있으면 포스팅하도록 하겠습니다.
물론 책 내용 그대로 쓰면 재미 없겠죠? ㅎㅎ
아울러 요즘 공부 좀 해볼려고 하는데 윈도우 파일 시스템인데요...NTFS...
공부할께 너무 많네요...
다음주 휴가때 공부나 해야될라나봐요...-_-;;
0x06 vulnerability2010. 5. 27. 10:58
Firefox Creative 담장자 Aza Raskin이 발견한 브라우저 취약점이라고 합니다.
http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/
탭을 이용하시는분들이 많으실텐데요..
Tabnapping 악성스크립트가 삽입된 사이트를 탭으로 열어 볼 경우 해당 브라우저의 다른 탭에 있는 내용을
컨트롤 할 수 있다고 합니다.
A New Type of Phishing Attack from Aza Raskin on Vimeo.
PoC 코드에 해당하는 자바스크립트는 (http://www.azarask.in/projects/bgattack.js)
gmail에 로그인한 탭이 있고 자바스크립트가 삽입되어 있는 탭에서 브라우징을 한 후에
다시 gmail 탭으로 넘어와서 메일을 읽거나 메일을 쓰거나하면 자바스크립트가 있던 탭의 내용이
gmail 메인 페이지로 변경되는데 단순 이미지입니다.
물론 악의적인 의도를 가지고 이미지 대신 피싱사이트로 만들면 속아 넘어가겠죠..
문제는 URL은 바뀌지 않는다는 점입니다.
하지만 favicon까지 동일하게 만들 경우 URL은 잘 보지 않고 탭의 favicon과 제목만 본다는
심리적인 부분을 이용할 수도 있다고 합니다.
PoC 코드에서도 favicon까지 원본 사이트와 동일하게 했다고 하는데 제가 실행했을때는 favicon은 바뀌지 않더군요...-_-;;
어쨋든 신종기법인건 확실한 것 같은데 Raskin의 위 포스팅 글 마지막이 좀...
The Fix
This kind of attack once again shows how important our work is on the Firefox Account Manager to keep our users safe. User names and passwords are not a secure method of doing authentication; it’s time for the browser to take a more active role in being your smart user agent; one that knows who you are and keeps your identity, information, and credentials safe.
우와~ 신기한데~ 하다가 막판에 The Fix를 보고.. 이건 머냐...하는 생각이 들더군요..
개인적인 생각으로 이런 기법을 대응할 수 있는 방법은
1. 탭브라우징이 안되는 IE6을 쓴다. -_-;;;;
2. 인터넷옵션 탭 설정에서 새탭에서 열지 말고 무조건 새창으로 열게 한다.
별로 도움이 안되는 대응방법이군요...ㅜ.ㅜ
앞으로 이 기법이 얼마나 사용될지 궁금하군요...후후~
저희는 해외에서 피싱메일 접수를 많이 하니 앞으로 좀 지켜봐야 할 것 같습니다.
p.s http://vimeo.com/12003099 에도 동일한 동영상이 있는데요
작성자의 사진을 보는 순간 히어로즈의 사일러다!! 라고 생각했었다는....;;;;
0xFF small talk2010. 5. 19. 10:45
임을 위한 행진곡
사랑도 명예도 이름도 남김 없이
한평생 나가자던 뜨거운 맹세
동지는 간 데 없고 깃발만 나부껴
새날이 올 때까지 흔들리지 말자.
세월은 흘러가도 산천은 안다.
깨어나서 외치는 뜨거운 함성
앞서서 나가니 산자여 따르라!
앞서서 나가니 산자여 따르라.
임을 위한 행진곡은 광주 민주화 운동을 기린 노래로서 백기완의 시 '묏비나리'(1980년 12월)에서 가사를 따와 광주지역 문화운동가인 김종률씨가 작곡을 하였다. 이 노래는 광주 민주화 운동 때 시민군 대변인으로 도청에서 전사한 윤상원과 1979년 겨울 노동현장에서 일하다 숨진 박기순의 영혼 결혼식을 내용으로 하는 노래굿 '넋풀이'에서 영혼 결혼을 하는 두 남녀의 영혼이 부르는 노래로 발표되었다. 그 뒤, 1982년에 제작된 음반<넋풀이-빛의 결혼식>에 수록되면서 널리 알려지게 되었다.
이후 민주화운동은 물론 각종 시민사회단체, 노동단체, 학생운동단체의 집회를 시작하는 때에 '민중의례'의 일부로서 널리 불렸다. 또한 중국어 등 외국어로도 번역되어 불리는 것으로 알려져 있다. 또한 대한민국의 대중 집회에서도 흔히 불리는 노래이다.
- from wikipedia -
대학 1학년때 참 많이 불렀던 노래입니다. 아직도 이 노래를 처음 듣던때가 생생합니다.
광주는 근현대사 민주화의 성지이고 5.18을 근현대사 민주화 운동의 핵심으로 이야기하고
5.18하면 "임을 위한 행진곡"을 부르는데 당연시 되고 있는데...
국가 행사때 애국가를 부르는것과 같이 사회 통념으로 자리 잡은 노래를...
5.18 행사한다고 광주 518 묘역에서 이 노래를 못부르게 하다니...
나라의 수장이라는 사람을 해외 국빈을 518 행사가 있을즈음 불러서 국빈이 왔으니 참석 못하겠다 하고
수장의 꼬봉은 행사 참여해서 노래 못부르게 하고
이게 무슨 민주주의 국가냐...
http://www.idomin.com/news/articleView.html?idxno=317494
0x04 reference&tools2010. 5. 12. 11:52
http://www.torproject.org/overview.html
알만한분들은 다들 아시는 Tor Proxy입니다.
Alice가 Bob과 통신을 위해 Tor Proxy를 사용하게 되면 tor node들을 통해 통신 데이터를 전송하는데
이때 전송되는 데이터는 모두 암호화되어 있어 자신을 숨길 수 있게 됩니다.
인터넷 검열이 심한(?) 국내 사용자들에게 참 좋은 툴이죠..
하지만 이런 녀석들이 악성코드에 사용되면 골치 아퍼집니다.
tor node들을 통해 좀비와 C&C가 통신을 하는 것만 해도 골치 아픈데 통신 데이터를 암호화하는데다가 암호화 방식이 비대칭 알고리즘을 사용하기 때문에 개인키를 알아내기 전에는 암호화된 데이터를 알아내는게 어렵다는 것이죠..
2010/03/25 - [0x02 analysis] - muza-flowers.biz [Rustock] #1
연구 좀 해봐야겠습니다...
0xFF small talk2010. 5. 6. 10:51
어제 이런 기사가 났었네요...
http://www.mediatoday.co.kr/news/articleView.html?idxno=88040
머 개인적으로는 북한의 소행이라고 주장하는 대한민국 군의 주장에 수긍을 하지 않고 있기 때문에
이런 기사가 좀 더 신빙성이 있어보입니다.
TOD 녹화내용 일부를 공개 안하는 것을 비롯해서 여러가지 정황들을 놓고 볼때
대한민국 군이 구린게 없다면 그렇게 가릴 이유가 없다고 생각되고
분명 뭔가 구린게 있으니 죽자 살자 가릴려고 하는거겠죠..
위 기사의 마지막부분이 상당히 인상 깊습니다.
이대로 가면 아마도 5월 중순 중간 발표 때는 좀 더 큰 알루미늄 파편을 들고 나오거나 북한이라고 명시하지는 않으면서도 북한의 소행이라는 강한 암시를 할 가능성이 크다. 그리고 6월 초 지방선거가 끝나고 나면 어뢰는 어뢰인데 누가 쏜 것인지는 알 수 없다는 식으로 흐지부지 무마할 가능성이 크다.
결국 정치인들의 대국민 사기극이라는거죠..
뭐 한두번 겪는건 아니지만 좀 짜증이 납니다..
국민들을 바보로 생각하는 정치인들 짜증나요..
0xFF small talk2010. 5. 4. 16:54
오랜만에 뵙습니다. -_-;;
일이 많다는 핑계를 대고 싶군요...흑..흑...
다들 아시는 내용이겠지만 대형 쇼핑몰 사용시에도 악성스트립트에 대한 주의를 늦추시면 안된다는 말씀을 드리고 싶습니다.
저도 그렇지만 대형 쇼핑몰이면 보안에 어느 정도 신경을 쓰기 때문에 안전할꺼라 생각하시는 분들 많으실걸로 생각됩니다.
보시는봐와 같이 Java를 사용한다는 팝업이 떴습니다.
확인해보니 해외에 있는 pdf 취약점을 공격하는 악성스크립트가 실행되어 팝업이 뜬 것으로 확인되었습니다.
그러면 이 쇼핑몰 사이트에 악성스크립트가 삽입된걸까요??
대답은 아닙니다...입니다..
대부분 쇼핑몰에서 물건을 판매하는 판매자들은 이미지를 여러개 추가하기 위해 별도의 웹서버를 호스팅 받고 있으며
대현 쇼핑몰의 글을 볼때 이런 별도의 웹서버에 있는 페이지들이 요청이 되는데
이런 별도의 웹서버에 악성스크립트가 삽입이 되어 클라이언트에 의해 요청되게 됩니다.
결국 대형 쇼핑몰도 안심하고 사용하실려면 백신엔진 최신으로 하시고 윈도우 업데이트가 모두 되어 있어야 합니다.
인터넷을 안심하고 쓸 수 있는 날이 왔으면 합니다.
0x02 analysis2010. 3. 25. 15:47
오랜만에 글 쓰는듯 합니다.
프로젝트 참가하고 있는게 일이 좀 많네요...ㅜ.ㅜ
아무튼 짬짬히 악성봇 탐지 장비를 보는데
정말 오랜만에 특이한 녀석을 하나 발견해서 포스팅해봅니다.
미리 말씀드려야 될건 아직 제대로 분석을 하지 못했다는 거죠..-_-;;
혹시나 정보가 있으신 분들께서는 따스한 도움의 손길을~ ㅎㅎ
분석 대상은 muza-flowers.biz라는 도메인입니다.
매일매일 - 어쩌면 하루에도 몇번씩 - IP가 바뀌는 녀석입니다.
그렇다고 비슷한 대역에서 바뀌는 것도 아니고 전혀 다른걸로 바뀌죠..
글을 쓰는 지금 이 순간에는 48.34.204.49입니다.
한가지 동일한건 지금까지 제가 봤던건 보두 미국이라는 점입니다.
일단 장비에서 캡쳐된 pcap 파일 하나 보시겠습니다.
캡쳐된 파일을 보시면 116.123.237.95(PC)에서 208.101.27.44(C&C??)로 HTTP Request를 날리고 Response를 받는걸 보실 수 있습니다. 실제 패킷의 내용을 까보면 Host 헤더에는 문제의 muza-flowers.biz가 있다는 것이지요..
물론 이 파일은 시간이 좀 지난 파일이기에 그 당시 muza-flowers.biz가 208.101.27.44라는 IP를 갖고 있다고 생각할 수 있겠지만 웹 브라우저에서 muza-flowers.biz로 접속이 안됩니다. (밑에서 좀 더 자세하게 언급하겠습니다)
일단 이 패킷에서 HTTP 내용을 보면 Content-Encoding이 gzip이라고 나옵니다. 하지만 Decompress하는데 실패했다는 메시지도 함께 볼 수 있습니다. (Decompression failed)
압축해제(Decompress)가 실패했다고는 했지만 혹시나 하는 마음에 HEX 스트림 가져다가 WinHex에 그대로 갖다 붙여 넣고 확장자는 gz로 해서 리눅스에서 gunzip 명령으로 압축해제를 시도는 해보았지만 역시나 안되더군요..
추측이지만 Waledac처럼 어떤 다른 압축알고리즘을 썼거나 암호화 기법을 쓴게 아닐까 하는 생각이 듭니다.
Waledac은 좀비와 C&C간의 전송 데이터를 XML -> Bzip2 -> AES -> Base64 -> +,/,= 치환 의 방식으로 인코딩해서 보냈는데 설마 이녀석도 이런 방법을 쓴건 아닐까 하는 생각도 듭니다. 아니길 바라지만요...
google신께 도움을 요청하니 아래 URL 하나를 주시더군요..
[Emerging-Sigs] Zeus? Virut? Krap? FakeAV?
http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-January/005837.html
tor 프락시를 쓰고 있다는 이야기를 하고 있습니다. 즉, pcap 파일에 있는 IP들은 모두 tor 노드이고 이 tor 노드를 거쳐서 muza-flowers.biz에 접속해서 데이터를 주고 받고 있는것인데 이렇게 되면 muza-flowers.biz를 차단해봐야 소용이 없습니다.
Zombie <--> tor nodes <--> muza-flowers.biz
차단을 하자면 tor 노드들을 차단해야 하는데 정상적인 사이트일 경우 문제가 될 수도 있습니다.
예전에 go-thailand-now.com라는 도메인을 차단한 적이 있는데 muza-flowers.biz에서 사용하는 URL과 이 도메인에서 사용하는 URL 형식이 동일한 것으로 보아 동일한 패키지가 아닌가 의심됩니다.
여러개의 pcap에서 Request URL만 모아보니 대충 몇개로 압축이 되었습니다. 확인된 URL 중 일부만 나열해봤습니다.
/blog.php?4ed4e3aa0816a1b6877015973c817814
/blog.php?e3c4e6e029a15c3939fe465ec50bf6da
/download.php?file=9ca2a87a8480702cad0f052ea08ca423
/entry.php?6abf6b5a35d51a40895647aeb7b3cbc9
/forums.php?fid=44
/forums.php?fid=73
/index.php?board=174.135
/index.php?board=42.116
/index.php?board=47.197
/index.php?board=60.209
/index.php?topic=163.243
/index.php?topic=165.78
/index.php?topic=185.15
/index.php?topic=252.80
/login.php?user=1cee36ba3569defbc0564c774a1c91fe
/login.php?user=3688a605492193f258b32919f4d7eae9
/login.php?user=ba63cc9d710ad08ab9a1fc6256c82c63
/logout.php?sessid=6ec99394eeca06ebf19d976d1ac75ed6
/logout.php?sessid=8ac0c818bfc50a3916612b381853935b
/memberlist.php?mode=viewprofile&u=199
/memberlist.php?mode=viewprofile&u=246
/memberlist.php?mode=viewprofile&u=82
/newpost.php?sub=newthread&fid=120
/newpost.php?sub=newthread&fid=247
/newpost.php?sub=newthread&fid=3
/newpost.php?sub=newthread&fid=74
/newpost.php?sub=newthread&fid=79
/posting.php?mode=post&f=107
/posting.php?mode=post&f=11
/posting.php?mode=post&f=155
/posting.php?mode=post&f=168
/redirect.php?url=812e9f2f003c43d21a4020cf0b253e0a
/redirect.php?url=fc24d4999b0d04468e577217144ef467
/search.php?doc_id=0ee24f8c065630d0510b6da4edce25a0
/search.php?doc_id=21e0498e17c4f95cb434f99795b63338
/search.php?doc_id=4eb05ed5818e18d297b0fc110310b9f3
/topic.php?tid=66
/upload.php?648e98ef1c2d271731666186e4111fb1
/upload.php?81a523949a05305ebd794f1a30140b55
/upload.php?93eb78b0ac81f40be362a0b66680aa45
/upload.php?b307ffb4011c0afcd0981256e975480b
/YaBB.pl?num=116
/YaBB.pl?num=121
/YaBB.pl?num=145
/YaBB.pl?num=178
/YaBB.pl?num=49
이외에도 더 많은 php파일들이 있을 것으로 예상됩니다. 좀 더 많은 pcap 파일들을 뒤지다보면 확인할 수 있을듯 한데요..
전송되는 데이터는 추측건데
C&C -> 좀비 : 업데이트된 tor node 리스트외 기타 명령
좀비 -> C&C : 시스템 정보나 기타 훔치고 싶은 데이터
정도가 아닐까 생각됩니다.
아직 분석을 계속하고 있는 단계라 명확한 결론이 나오질 않았는데요 정보가 많이 않아 다소 힘든감이 없지 않아 있습니다.
좀 더 분석해서 추가정보가 나오면 바로 얻데이트 하도록 하겠습니다.
추가 정보 #1
http://www.m86security.com/labs/i/Rustock-rages-on,trace.1243~.asp
0xFF small talk2010. 3. 2. 21:50
