VBA to EXE – Busted

개요 VBA는 Visual Basic for Application 의 약자로, Visual Basic(이하 VB)을 특정 어플리케이션에서 쉽게 쓸 수 있도록 제공하는 인터프리터 언어(?)입니다. 쉽게 말해, VB는 VB인데, 특정한 어플리케이션에서만 쓰는 맞춤형 VBS 라고 생각할 수 있습니다. 실제로 VB for Word Application 이나 VB for Excel Application 등으로 말하며, 코드상 Word.Application 이나 Excel.Application 등으로 접근합니다. VBA를 실행 가능한 파일인…

쉘코드 레벨의 x86/x64 아키텍처 구분방법

개요 일반적으로 x86 과 x64용 프로세스는 소스코드단계부터 차이가 납니다. 사용하는 API나 레지스터도 그렇구요. 그렇다면 익스플로잇 등 쉘코드가 바로 인젝션되어 돌아가는 특수한 상황에서 CPU 아키텍처 별 호환성을 갖게 코딩할 수 있을까요? DOUBLEPULSAR 공격툴 분석 중 이와 관련해 재밌는 부분을 찾았습니다. 출처는 여기입니다. 들어가기 앞서 아래 스크린샷은 부분은 최근 ShadowBrokers 의 문건 공개로 핫 이슈인 Vault 7…

CVE-2017-5638 점검도구

Apache Struts Apache Struts 의 Jakarta Multipart parser 에 있는 RCE 취약점 (CVE-2017-5638, POC) HTTP 헤더 중 Content-Type 에 악성 실행코드를 넣고 이를 실행할 수 있는 취약점입니다. 현재 툴을 이용한 활발한 공격이 이뤄지고 있습니다. TrendMicro 는 Apache Strcuts 취약점 공격 툴에 관한 보고서를 작성했습니다. 여기서 언급한 툴의 해쉬는 4674D39C5DD6D96DFB9FF1CF1388CE69 입니다. TrendMicro 의 과거 분석내용 이…

How to identify SVG file

SVG file signiture SVG 파일은 XMl 기반의 벡터 이미지파일이다. SVG 파일포맷을 개발한 W3C1 문서에 따르면 SVG 파일은 XML내에서 반드시 SVG 네임스페이스를 선언해야 한다고 한다. 따라서 이 네임스페이스 선언부를 통해 SVG 파일을 식별할 수 있다. 그리고 해당 문자열은 아래와 같다. <svg xmlns=”http://www.w3.org/2000/svg “an SVG namespace declaration must be provided so that all SVG elements are identified…

Windows Defender Security Center 업데이트 소식

개요 윈도우 OS의 자체 보안 솔루션 윈도우 디펜더의 크리에이터 업데이트 계획이 알려졌다. 그간 위도우 디펜더는 다른 써드파티 AV에 비해 그 성능이 떨어진다는 인식이 지배적이었지만, 많은 업데이트를 통해 성능이 점차 향상되어가고 있다. 여기서는 ‘바이러스 위협 방지 통합관리’, ‘방화벽, 네트워크보안 ‘, ‘어플리케이션, 브라우저 제어’ 기능 등이 포함될 이 업데이트에 대해 알아보겠다. 기사 원본 업데이트는 올해 4월 예정되어…

Free DDNS Domain List

C&C형 악성코드의 경우 자동실행을 등록하고 DDNS 서비스를 제공하는 업체에 서버주소를 쿼리하는 행위가 많이 눈에 띈다. DDNS 이용 자체가 악성이라 할 순 절대 없겠지만, 정상 서비스를 안정적으로 제공하는 업체가 도메인을 소유하지 않고 무료 DDNS 서비스를 이용하는 경우는 많이 없을것이다. 게다가 사용자 모르게 자동실행까지 등록되었다면…? 이에 자주 사용될 만한 DDNS 도메인 목록을 정리해봤다. 아래의 DDNS 주소들은 myhostname.myddns.com…