DMZ

CyCommMech 분석

※ 명령 형식이나 사용법 등이 cyc.help 파일에 자세히 정의되어 있어 특이한 사항만 작성해 보았습니다.CyCommMech는 오픈소스 IRCBot인 EnergyMech을 변형하여 제작된 것으로 추측되며 UDP Flooding 툴인 Stealth와 함께 배포되었습니다.기본적인 실행 옵션은 아래와 같습니다. 옵션 설명   -f   read configuration from  -c   make core file instead of coredebug/reset  -r   run only for seconds  -d   start mech … Read more

Zbot 악성코드

(sample)page.7z 다운로드 ###프로세스 생성실행파일명.exe 2회 생성 후c:\DOC~1\계정명\Appl~1\Maob\uxzi.exe 2회 생성 svshost.exe>rundll32.exe 생성 후 사라짐 ###네트워크senmobert.dlinkddns.com DNS 쿼리 요청 ###레지스트리HKCU\Software\Microsoft\Windows\CurrentVersion\ uxzi.exe 생성  (윈도우 시작시 실행) uwlyipoc 서비스 생성 ###파일 생성실행 파일은 삭제c:\DOC~1\계정명\LOCAL~1\Temp\uwlyipoc.sysc:\DOC~1\계정명\LOCAL~1\Temp\tmp86ab9e96.batc:\DOC~1\계정명\Appl~1\Maob\uxzi.exe ###기타 1.코드는 델파이로 작성되었음2.메일 관련해서 무언가의 동작하는거 같음 3.복사된 uxzi는 38200h부터 저장되는 파일의 끝부분이 다른 값을 가지고 있음.38200h의 첫 4byte는 동일하며 해당 부분은 헤더의 시작을 … Read more

2012.03.20 JS 악성코드 분석 메모

현재 자바 스크립트 악성코드를 분석해보고 있는데 코드들을 상당히 난잡화 해둔 악성코드로 보였다. 무난하게 분석해 나가던 도중에 갑자기 도저히 이해할 수 없는 다음과 같은 코드를 만나고 상당히 많이 당황하였다.  ohLgj5=DDrbLO0(‘a1Qe4dG*]6zY^k8b]#&,m8$[x_GD3]Nvj5dsn7[F[8ecu[S34Rlc]4r;iadpDt='[wOrjuux8](/[^xS@0ietrc9p]/g,”)); 위의 코드 중에서 DDrbLO0은 eval 함수를 가리키고 있고 wOrjuux8는 ‘replace’ 문자열을 저장하고 있다. DDrbLO0 = eval; wOrjuux8=’replace’; 처음에는 wOrjuux8의 존재를 눈치 채지 못하고 도저히 eval 함수를 통해 … Read more

2011.1.4 Xema worm 동적 분석 메모

프로세스 생성 system -> autochl -> newdev 파일 생성 c:\Windows\system32\autochl.exe c:\Windows\system32\sserver.exe c:\Windows\system32\config\system.exe c:\Windows\system32\config\system.sav c:\Windows\Temp\newdev.exe c:\Windows\system32\lap.exe c:\Windows\system32\dllcache\log.exe 이동식:\autorun.inf 이동식:\Goback.exe 레지 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAuthoRun   145 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue   0 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell  explorer.exe c:windows\system32\sserver.exe system.exe == autochl.exe == sserver.exe == system.sav == lap.exe == log.exe

2011.10.07 KITRI 메모

APT 공격 절차 1.HOST System 제어 권한 확득 (악성코드를 통한 방법이 가장 일반적. Email,ActiveX,P2P등을 이용한 전파) 2.내부 네트워크 정보 수집 / 주요 서버 시스템 접근 권한 획득 3.주요 정보 탈취 정보 수집 기법 1.Foot printing (웹사이트,이메일 헤더 분석,직업 사이트,whois,블로그 등등을 이용, 공격 대상에 직접적으로 영향을 끼치지 않음) 2.scanning  Active Host Scanning : 동작 중인 시스템 … Read more

2011.09.30 Tacademy 안드로이드 10일차 메모

우리나라의 mms는 현재 세계 표준과 다르다. 요즘은 보안 문제로 제조사에서 sms 컨텐츠 프로바이더로의 접근을 막고 있다. Thinking in java 4/e 자바 고급 배터리 상태 접근은 BATTERY_STATS 퍼미션 필요 매니페스트 파일의 uses-feature 에 설정된 기능을 지원하지 않는 경우 설치가 되지 않도록 해줌 멀티미디어 prepare 동기식 prepareSync 비동기식 이미지버튼은 클릭 이벤트 보다는 터치 이벤트가 감지가 잘 된다.

2011.09.28 Tacademy 안드로이드 8일차 메모

SQLite3 관계형 데이터베이스 파일 기반 데이터베이스 외부키를 지원하지 않기때문에 트리거를 통해 구현해야한다. 컨텍스트 : 안드로이드가 모든 어플리케이션에게 제공하는 선물 setLickingEnables 트랜젝션이 완료되기 전에 다른 트랙젝션이 데이터베이스를 참조하는것을 방지해줌 compileStatement : preparedStatement와 비슷 rawQuery : Content Provider에서는 사용 불가 for문에서 length 값을 직접 참조하기 보다는 변수에 값을 저장하고 그 변수를 이용해서 반복문을 도는게 좋다. c:\Docum~\administrator>adb shell … Read more

2011.09.27 Tacademy 안드로이드 7일차 메모

데이터베이스 웬만하면 사용하지 않고 애플리케이션의 요구사항을 적절히 파악하여 사용 여부를 결정한다. (XML이 빠름) droidAtScreen 폰 화면 불러오는 파일 안드로이드 환경설정관리 android:dependency 다른 환경설정의 설정여부에 따라 활성화 비활성화 시킴 stream : 흐름 가장 먼저 source target 파악이 필요 통신을 위해서는 스트림(흐름)을 만들어야하고 스트림은 생성자를 통해 생성한다. 데이터의 종류에 따라서 소스, 타겟 클래스를 결정 지어야해야한다. 바이트 데이터는 … Read more
바로가기