본문 바로가기

몽땅보기

자바소스 속 문자열 ID apk의 decompile 된 자바소스를 JAD를 통해서 보는 과정에서 문자열 표현이 실제 문자열이 아니라 이상한 번호로 되어 있더군요... onCreate(paramBundle); setContentView(2130903040); setRequestedOrientation(1); if (Build.VERSION.SDK_INT >= 7) { Intent localIntent = new Intent(this, AndroidMDKProvider.class); String str1 = getApplicationContext().getResources().getText(2130968578).toString(); localIntent.putExtra("APPLICATION_ID", str1); String str.. 더보기
[열번째 거짓말] Droid Dream Light(DDLight) 분석 --------------------------------- 완전 Hot한 녀석은 아니지만... 저처럼 안드롱~ 분석 처음 시작하시는 분들을 위해 공유해봅니다... ^^;;; --------------------------------- 최근 들어 Android 관련 악성어플 야그가 빈번하게 노출되고 있네요.. 어느 기사에서도 2011년 상반기 모바일 악성코드 중 Android 관련이 2위를 차지했고, 그 급증세는 매우 빠르다는 통계자료도 있습니다........ 오늘 언급할 내용은 Droid Dream 변형... "Droid Dream Light(DDLight)" 라는 이름의 녀석입니다.... Android 가 아닌 iPhone,iPad 사용자... ^^;;; Android 코딩이라고는 "HelloWorl.. 더보기
[기사] Android Threat Set to Trigger On the End of Days, or the Day’s End Symantec has added detection for this threat, which is known as Android.Smspacem. 종말설과 연관된 스팸이랑 재밌네요.. ^^;; Android Threat Set to Trigger On the End of Days, or the Day’s End http://www.symantec.com/connect/blogs/android-threat-set-trigger-end-days-or-day-s-end 더보기
[기사] Look Carefully at the Web Address 일반적인 PC는 화면이 크기 때문에 사용자들이 피싱에 속지 않을 확률이 높다.. 하지만, 이제 스마트한 시대.. 더 이상 이메일과 웹뷰를 PC 상에서 하지 않는다.. 스마트폰은 작다.. ^^;; 작은 화면 ... 그 화면 상에서 정보를 출력하자니 감춰지는 정보들이 많다. 또한, 아직은 PC 와 같이 악의적인 URL 필터링 기능들이 발달되어 있지 않다.. 그럼.. 이제 스마트한 피싱세상이 오는 건가... ㅋㅋㅋ Tuesday, May 24, 2011 Look Carefully at the Web Address http://www.f-secure.com/weblog/archives/00002163.html 더보기
[기사] Rootkit Banker - now also to 64-bit 몇 일이 지난 기사지만.. ^^;; 64비트 시스템 상에서 동작하는 RootKit이 최초로 발견... 브라질의 인기 웹사이트에 삽입된 악의적인 자바 애플릿을 통해 Drive-by-Download 공격이 이루어진 모냥... 해당 공격의 목적은 은행 사이트의 피싱을 통해서 은행 거래 정보를 획득하기 위함이라고 하는 군요 따라서, 피싱을 위해서 - UAC 는 꺼주시고. - 가짜 CA 인증정보는 등록하시고... - 부팅설정을 수정할 수 있는 bcdedit.exe 를 실행해서 악의적인 드라이버 파일을 올리는데 이 드라이버 파일의 역할 또한 피싱 사이트로 Re-direction 되도록 호스트파일을 변조하는 역할을 수행.... 아직은 먼나라에서 일어나네요....... 왜 아직까지 우리나라에선 Banker가 크게 유행.. 더보기
VMware-vSphere-Perl-SDK 설치하기 VMWare vSphere API를 테스트하기 위해 오랜만에 리눅스 시스템에서 Perl 관련 작업을 수행하였습니다. 에고고.. 역시 한번에 수월하게 이루어지는 게 없네요.. 혹시 소중한 시간을 버리시는 분들이 없도록 과정을 적어봅니다..... 도움이 되시면 좋겠습니다... 패키지 받아서 설치하는 과정은 모두들 잘 아실테니 Skip 하고.... # 준비 : VMware-vSphere-Perl-SDK-4.1.0-254719.i386.tar.gz(Perl SDK 리눅스 버전) Makefile 생성을 위해서 "Perl MakeFile.PL" 합니다.... 역시 몇몇 모듈들이 없다고 나오네.. ^^;; 정확한 에러 메시지 화면은 캡춰를 못했습니다.. 일단 Makefile.PL 안에서 우선적으로 요구되는 다음 패키.. 더보기
[아홉번째 거짓말]CVE-2011-0611 Flash 제로데이 취약점 아주 오랜만에 블로깅을 하는 군요.. 헤헤헤 .. 연이은 이슈... 사건..... 출장까지 .... 지난 번 제로데이 취약점은 짬이 없어서 확인도 제대로 못했었는데, 오늘 또 유사한 제로데이 취약점 나왔다고 떠들썩 하네요... ^^;;; 작년까지만 해도 플래쉬 파일은 PDF 파일을 타고~~~ 왔었는데... ㅋㅋㅋ 올해에는 아무래도 MS Word 문서로 갈아 탔나봅니다... Silverbug는 "바람둥이 flash" 라는 표현을..... --;;; 그럼 쪼매 살펴볼까요??? 이번 제로데이 취약점을 이용하고 있는 Word 문서파일은 다음과 같은 구조를 갖습니다... 새빨간 거짓말 1장 1절에 이르기를.... MS Word(.doc) 파일은 Flash(.swf) 파일을 낳고....... Flash (F01.s.. 더보기
CVE-2010-3970 thumbnail 취약점 공격사례 기억하실지 모르겠지만, CVE-2010-3970은 지난번 8번째 새빨간 거짓말으로 블로깅되었던 MS Windows thumbnail 이미지 코드 실행 취약점입니다. [RedHidden] http://redhidden.tistory.com/6 [Sematic Blog] http://sematic.net/blog/?p=80 위의 글을 블로깅할 때만해도 취약점 PoC 파일은 공개되었지만, 실제 공격사례가 발견되지 않았기 때문에 "다들 주의합시다~~" 로만 일단락 되었었죠.. ^^;; 오늘 드뎌 contagio를 통해서 실제 공격사례가 공개되었네요.. 다행스러운 건 이미 해당 취약점이 MS 2월 정기보안패치(MS11-006) 를 통해 패치가 발표되었다는 점입니다. URL:http://www.microsoft.c.. 더보기
[프로젝트소개] 악성코드 분석환경 구축 - "cuckoo" 최근 "분석" 분야의 트렌드는 "자동화" !! 아무래도 공격 자체가 자동화되기 시작하면서, 도저히 수동 분석으로는 넘쳐나는 악성코드의 분석업무를 수행하기 버겁기 때문일 것 입니다. 때마침 이러한 기술적 요구사항을 "가상화" 기술이 충분히 서포트할 수 있게 된 것도 그 이유일 것 같습니다. 오늘은 지인을 통해 접하게 된 괜찮은 자동화된 악성코드 분석을 위한 오픈소스 프로젝트를 하나 소개하고자 합니다. http://www.cuckoobox.org/index.php "Cuckoo" 라는 이름은 알을 낳으면 자신의 둥지가 아닌 다른 새의 둥지에 넣어서 키우는 새의 이름으로부터 유래되었다고 합니다.. 본 프로젝트에서 사용하는 DLL Injection 기술 때문에 이런 이름을 생각해 냈다고 하는 군요.. ^^;; .. 더보기
[난독화] NeoSploit(Web Exploit Toolkit) 최근에 NeoSploit이라는 웹공격 툴킷을 접해볼 기회가 생겼습니다.. 물론, 설치본 말구 스크립트 분석관점에서 말이죠.. 흐흐흐... NeoSploit은 2007년 최초로 출현하여 최근까지 다양한 도메인을 통해서 탐지되는 대표적 웹 공격 툴킷(Exploit ToolKit)으로 난독화 코드 관점에서 본다면 근본적 형태에서는 아주 큰 변화는 없으나 꾸준히 업데이트 되고 있는 듯 합니다. 데이터를 통해 나름 확인해 본 NeoSploit의 큰 4가지 특징을 잠깐 살펴볼까요??? 1) 속지말자!! NeoSploit 도메인에~ 다음과 같이 정상도메인과 유사한 도메인을 사용해서 사용자를 속이고 있다.. 정상사이트 Google Yahoo Bing NeoSploit사이트 boxgoogle.info XXXgoogle... 더보기