C# – VenusUnlocker
개요 한국형 랜섬웨어 Venus Locker 가 이슈화 됐습니다. 정교한 한글번역, 정말 읽고 싶게 만드는 파일명 선정, 그리고 pdb의 한글경로 및 그럴싸한 오타까지. 공격자 국적을 유추할 수 있는 단서가 많이 나오는 랜섬웨어 샘플입니다. 복호화 가능여부 이 랜섬웨어는 C&C 서버 접근 성공 여부에 따라 사용하는 암호화 키가 다릅니다. 성공 시에는 PC 정보를 기반으로 키를 생성 및 서버로…
ReverseNote 를 운영하고, 악성코드도 분석하고, 가끔 개발도 하고, 틈틈이 놀 줄도 아는 사람이자 풀스택 분석가가 되고싶은 목마른 다이버.
"우물이 없어? 내가 팔게!"
2017.02.28 – Daily Security Issue
일일 보안이슈 워드프레스 플러그인 NextGEN Gallery 에서 SQL 인젝션 취약점 발견 사용자가 워드프레스 웹사이트 DB의 사용자정보 등 민감한 데이터를 볼 수 있어, NextGEN 은 16.5백만 다운로드를 기록한 유명 갤러리 플러그인. 이 취약점을 발견한 Sucuri 에 따르면 NextGEN 의 기본 설정인 태그 클라우드 갤러리 기능을 이용하거나 해당 사이트의 회원이 포스트(글)을 쓸 수 있는 권한이 있다면 이…
2017.02.27 – Daily Security Issue
일일 보안이슈 CloudBleed 사태 수백만개의 유명사이트들이 이용하는 클라우드페어(CloudFare) CDN에서 하트블리드 사태와 유사하게 임의 메모리를 읽을 수 있는 서버사이드 취약점이 발견됐다. 클라우드페어는 5.5백만개 이상의 웹사이트가 사용하는 서비스로, CDN 외에 웹사이트 보안최적화, 퍼포먼스 향상등의 역할을 한다. CloudFare 를 이용하는 국내 사이트는 개드립넷, 오늘의 유머 등이 포함된다. 임의 메모리에 접근하는 동안 평문화된 패스워드가 노출될 수도 있어 주의를 요한다.…
How to analyze ppv in IDA
개요 분석을 하다 보면 COM Object 를 생성하는 함수인 CoCreateInstance() 란 API를 많이 접하게 됩니다. MSDN 은 이 함수를 “특정 CLSID1 를 통해 이와 연관된 초기화되지 않은 오브젝트를 생성하는 함수” 라고 설명합니다. 좀 풀어서 설명하자면, OS 와 기설치된 모듈에 구에받지 않고 어디에서든 동일한 기능을 쓸 수 있도록 지원하는 함수인데요, 쓰고자 하는 기능을 CLSID 를 통해…
GUID 변환 스크립트
메모리 덤프 등에서 긁은 GUID 값을 그대로 검색하면 byte ordering 에 의해 원하는 결과가 나오지 않습니다. 그렇다고 0x10 이나 되는 GUID 를 손으로 수정하기도 눈알 빠지는 일이고요. little endian으로 저장된 GUID 를 검색하기 쉽게 big endian으로 변환해주는 파이썬 스크립트 입니다. 실행하고 명령창에 메모리에서 복사한 값을 붙여 넣는 식으로 동작합니다. GUID 구조체를 선언해두고 구조체에 이쁘게 값을…
2017.02.24 – Daily Security Issue
일일 보안이슈 MAC 이용자 노리는 Davy Jones’ locker MAC용 MS 오피스나 어도비 프리미어 등의 프로그램 라이선스 크랙으로 위장한 Davy Jones’ Locker 랜섬웨어가 토렌트 사이트를 통해 유포중 기사원문 드러나는 아시아나항공 해커의 정체…한국 계속 노렸다 지난 20일 발생한 아시아나항공 홈페이지 해킹 사건을 일으킨 해커들의 과거 행적들과 정체가 하나둘씩 수면 위로 드러나고 있다. 이들의 동료 해커들이 최근 보안이…
2017.02.23 – Daily Security Issue
일일 보안이슈 토렌트를 통해 유포되는 맥 랜섬웨어 Patcher 로 불리는 MacOS 대상 랜섬웨어, BitTorrent 배포 사이트 통해 유포중. 돈을 지불한다고 복호화해주지 않아. 기사원문 신종 랜섬웨어 Trump Locker 등장 Venus Locker 와 인터페이스가 매우 유사, 도널드 트럼프의 사진을 띄우는 차이 존재. 관련샘플 c6210a32147375a819ddfb586230ddd1 VirusTotal 기사원문 [2.22 버그리포트] CVE-2017-3842 外 Cisco 연관 취약점 5개. CVE-2017-3842, CVE-2017-3843, CVE-2017-3844,…
AtomBombing – Stage3
개요 Stage2 에서 원격 프로세스의 RW 메모리에 기록한 쉘코드를 ROP 를 이용하여 실행하는 과정을 알아봤습니다. 쉘 코드를 인젝션 하고 실행했으니 이제 그만 잊어버릴 법 한데 아직 문제가 남았습니다. 하이젝한 쓰레드의 원래 동작을 복원하지 않으면 어떤 형태의 충돌이 일어날지 알 수 없기에, 해당 쓰레드를 원상복구 시켜줘야 합니다. 전체 소스코드 3단계. Restoration 복구는 어떤 과정으로 이뤄질까요? 일단…
2017.02.22 – Daily Security Issue
일일 보안이슈 미패치 자바, 파이썬, 공격자가 FTP 인젝션을 통해 방화벽 우회하게 만들어 자바와 파이썬에서 발견된 최신 취약점. 미인증 이메일을 보냄으로써 방화벽을 우회할 수 있는 비슷한 버그가 존재한다. 버그는 FTP 링크를 핸들링하는곳에서 발생, 사용자명 파라미터의 신택스검증을 하지않아 (연구원들이 언급하길) ‘프로토콜 인젝션’에 노출된다고 말했다. 이 버그를 발견한 Alexander Klink 는 시연에서 FTP 접속중 SMTP 를 통해 인증되지…
2017.02.21 – Daily Security Issue
일일 보안이슈 아시아나항공 홈피 해킹범 SNS 추적해보니…단순 장난? 해킹범으로 추정되는 kuroi’SH, 어나니머스와 논쟁 중 입장 밝혀. 세계적인 핵티비스트 단체인 어나니머스에서 이번 사건과 관련해 kuroi’SH를 책망하는 듯한 모습을 보여 관심을 끌고 있다. 기사원문 국문 이라크해커 도널드 트럼프 웹사이트 디페이스 공격 스스로를 Pro_Mast3r 로 칭하는 알려지지 않은 해커가 도널드 트럼프 대통령의 자금 모금과 관계된 공식 웹사이트를 공격했다.…