본문 바로가기

반응형

bunseokbot's blog

FBI를 사칭한 안드로이드 랜섬웨어 분석 오늘도 역시 계속 밀라누나의 사이트를 뒤적거리던 중..FBI를 사칭한 안드로이드 랜섬웨어를 발견하게 되었습니다! (2014년 12월 21일 업로드본) 그래서 분석을 하게 되었는데요.. 원래 사실은 안할려고 했는데.. 컴퓨터가 하라고 시키네요 젠-장 뭐 어쨌든 원래 하던대로.. 디컴파일 진행하기 전에 기초 정보들을 보면..? MainActivity가 시작점인 악성코드임을 확인할 수 있습니다. 그를 기반으로 MainActivity의 onCreate method를 보면...? keyguard를 실행하고, IMEI 정보를 가져오게 되네요. 그리고 아래를 더 보게 되면 에헤헤 BackgroundService가 시작되고, 기기 관리자가 실행됩니다. 아래 method는 기기 관리자를 처음 설정하는 부분입니다. 악성코.. 더보기
Tor Network를 이용하는 안드로이드 악성코드 Tor Network 를 이용하여 통신을 진행하는 악성코드가 발견되서 분석 글을 한번 올려봅니다.옛날에 상섭브로에게 이 악성코드가 있다는 소리는 들었는데.. 음.. 실제로 분석을 하게 되네요 :) 이번 분석에서는 악성코드가 Tor Network에 어떠한 방식으로 접근하고, 통신하는지에 대해 중점적으로 분석을 진행해볼 생각입니다. 일단 악성코드의 시작점부터 분석해 보면 startService() 에서 MainService 서비스를 시작합니다. MainService - onCreate 를 보면 SharedPreferences에 AppPrefs 값을 0으로 설정합니다. 그..리고 Tor? 처음 시작이면 TOR_SERVICE를 시작시키게 됩니다. 그런 다음.. 그리고 Tor 전송을 확인하게 됩니다. sendCh.. 더보기
인증서 발급자명 검사를 통한 위변조(?) 유무를 검사하는 스미싱 악성코드 보호되어 있는 글입니다. 더보기
Mac OS X에서 plist 파일 XML로 변환하기 plutil -convert xml1 이라는 명령 하나면 가능합니다 더보기
고급 언어와 저급 언어의 차이 이번 정리에서는 고급 언어와 저급 언어의 차이에 대해서 말씀드리도록 하겠습니다. 일단 고급언어 vs 저급언어에 대해서 생각보다 많은 분들이 잘못 알고 계신 부분이 있는 것 같습니다.그래서 여기서 다시 한번 정리해 올려 드리도록 하겠습니다. 고급 언어 (High Level Programming)- 말 그대로 인간이 이해할 수 있는(사실 처음 보는 분들은 이 언어도 못 알아.. ㅈㅅ) 언어- 컴퓨터 하드웨어 구조에 구애받지 않는 언어- 인간 지향적인 언어- CPU가 이해할려면 한번의 번역 과정을 거쳐야 한다를 말합니다. 그에 비해 저급 언어는 (Low Level Programming)- 컴퓨터가 이해할 수 있는(사실 이것도 CPU에서... 네) 언어- 컴퓨터 하드웨어 구조에 구애를 받는 언어 (IA-32, .. 더보기
서울시교육청 컴퓨터 작동불능 사건 http://m.ohmynews.com/NWS_Web/Mobile/at_pg.aspx?CNTN_CD=A0002036521 학교에서 꿀잠을 자던 중에 한 통의 카톡을 받게 되었습니다.지금 학교가 난리라는 카톡을.. 그래서 검색해 보니 한건도 안나오길래 기사 하나 살아있어서 한번 내용을 살펴보니.. "컴퓨터가 작동을 멈추면서 교사들은 교육행정정보시스템(NEIS)을 통한 업무처리가 마비 상태에 빠졌다. 서울교육청은 "위해정보차단 프로그램인 엑스키퍼(X-Keeper) 성능개선작업을 하는 과정에서 프로그램 간 충돌로 컴퓨터 작동이 멈췄다"고 사고원인을 설명했다." - 오마이뉴스 기사내용 중 여기서 X-Keeper라는 것을 말 그대로 위해정보차단 프로그램입니다. (암걸리는..) 일단 저희 학교는 이상이 없어서 실제.. 더보기
ssdeep python module (pydeep) - how to solve errors BoB 프로젝트때 ssdeep을 사용해야 되서 한번 설치해 보았습니다.근데 이걸 파이썬 모듈로 제공해 준다고 하더라고요 :) import pydeep 이렇게 말이죠 --> 개이득 일단 무조건 pip install pydeep 을 한번 해봤습니다.근데..? 어.. 크..크래시요 우분투양반? 이렇게 Crash Report MessageBox 형태로 뜰때는 sudo로 해서 설치해 주시면 됩니다.분석해 보니 대부분 권한 문제더라고요.. 그래서 일단 설치는 완료....는 무슨 친절하게 fuzzy.h나 Python.h가 없다는 에러를 뿜어줍니다뿜뿜뿌뿌뿌뿌뿌뿌뿌뿜 그럴땐 친절하게 명령창에 "apt-get install python2.7-dev" 를 쳐주시면 별 문제 없이 설치가 됩니다.(아 물론 python2.6 쓰.. 더보기
inc0gnito Conference - "스미싱 악성코드 분석 Case by Case" 인코그니토 컨퍼런스 2014외부 응모 청소년 발표자료"스미싱 악성코드 분석 Case by Case"발표자 김남준(bunseokbot@bob) 이번 세미나에서는 처음으로 고등학생 발표자를 선발했습니다 발표자료입니다. 이제 자소서 쓰러 가봐야 겠슴다..또륵.. 더보기
네이버를 사칭한 계정정보 탈취사이트 분석 네이버 사칭하는 파밍 사이트를 분석 해보았습니다.발견 일자는 2014년 8월 13일(화) 입니다. 실제 사이트와 똑같..은 무슨 ㅋ약간 다른게 있네요.. 코드 분석 ㄱㄱ ㅋㅋ.. 분석해 보니 중국의 특정 서버로 카운트 시키게끔 전송하네요(전에 파밍 사이트에서 주로 많이 사용되던 사이트이네요. 역시 ㅋㅋ) 실제로 그래서 작동하는지 더미값 넣어봤습니다.aaaa/aaaa 네? 넴? 로그인은 안되고 이상한 기사만..? 그래서 한번 감시를 해 봤습니다. 유저 아이디에 이상한 값과 패스워드를 특정 서버에 전송시킵니다. (그것도 평문으로 ㅡㅡ;) Response Header를 보..러 가..보니Microsoft IIS 서버를 사용하고 있고, PHP 버전 5.1 이네요 ㅋㅋ ... 이걸 통해서 여러분의 네이버 블로그를.. 더보기
xp_cmdshell 수업중에 xp_cmdshell에 대해서 짤막하게 나온 내용이 있었습니다.평소에 MSSQL을 거의 다뤄보지 못해서 이번 기회에 xp_cmdshell이 뭔지 한번 알아보고 정리해 보기로.. ======================================================xp_cmdshell 정의 : Windows 명령 shell을 생성하고 실행하기 위해서 사용되는 시스템 SP구조 : xp_cmdshell { 'command_string' } [, no_output] 예제 : EXEC xp_cmdshell 'ping smishing.kr';적용 대상 : SQL Server (현재도 사용되고 있다고 합니다)==================================================.. 더보기

반응형