vbscript wei = ""function UnEncode(cc)for i = 1 to len(cc)if mid(cc,i,1)"มี" thentemp = Mid(cc, i, 1) + tempelsetemp=vbcrlf&tempend ifnextUnEncode=tempend functiondocument.write(UnEncode(wei))
중국 KnowSec 기업 소속 Zhao Wei의 발표자료를 토대로 작성한 내용이다. 1. 악성코드 지하 산업의 발생 1.1. Server Side Wave (1998-2003) IIS, Serv-U, Apache, Samba, Jabberd, etc 기존의 인터넷 산업은 서버 중심의 산업이었다. 그래서 공격자들의 목표는 당연히 서버가 될 수 밖에 없었다. 서버의 정보를 탈취해 금전적인 이득을 보기 위한 시기이다. 1.2. Client Side Trend (2002-2007) Image Format : ANI, JPG, BMP etc. Windows Office : DOC, PPT etc. IE : Active X, HTML Parser, XML Parser etc. 인터넷의 대중화로 서비스가 확대되기 시..
추측해보면 공다팩의 Dadong's JSXX 0.44 VIP 라는 문구열의 의미는 내용은 다음과 같을 수 있다.난독화 생성 도구가 Dadong's JSXX난독화 버전이 0.44감염 PC 제어 도구가 VIP때론 유포지가 CK VIP와 공다팩을 혼용인 이유가 제어 도구가 VIP라는 공통점 때문일지도 모른다.수많은 관련 포스팅을 봤지만, 실제 제작도구를 분석한 포스팅은 보지 못한 관계로 해당 공격 도구를 "Gong Da EK"라고 부르는건 '가제'가 아닌가 싶다.Dadong, gnodad, gondad 모두 명확히 Gongda라고 부르기가 애매모한 이유는 다음과 같다.vbscript 역순 난독화에서 사용되는 split 변수명이 gnodad.ck vip, jsck vip, 공다팩, kaixin 등 난독화를 풀면..
1. 개요 Krakatau는 파이썬을 이용하여 만들든 자바 디컴파일러이다. assembler.py를 이용하여 자바 클래스 파일을 생성하고 decompiler.py와 disassembler.py를 이용하여 자바 클래스파일을 분석한다. Krakatau의 세 종류의 도구 중에 disassembly.py와 assembly.py는 Python 2.7의 기본 라이브러리를 이용하여 사용 할 수 있다. decompiler.py를 이용하면 위의 모든 과정을 한번에 진행하여 jar 파일 또는 class 파일을 java 소스코드로 디컴파일이 가능하다. 다만 decompiler.py를 이용하려면 java를 사용해야 하기 때문에 java의 라이브러리 위치를 명시해 주어야 한다. 2. 설정 Java가 설치되어 있고, Python..
1. 개요 Malcom 0.3은 네트워크 트래픽을 그래픽으로 표현하여 시스템의 네트워크 통신을 분석하기 위한 도구이다. 외부와 통신을 시도하려는 악성코드와 연결하여 분석하기에 유용하다. Malcom 0.3의 기능 중심이 되는 Command and Control (C&C) 서버들을 탐지네트워크 peer-to-peer 이해fast-flux DNS의 인프라구조 관찰나쁘게 알려진 네트워크 이슈를 신속하게 확인 가능 * fast-flux DNS Fast-flux 도메인 호스팅은 봇넷에 속한 광대역망의 봇 IP들을 웹사이트나 네임서버의 리버스 프록시로 사용하는 기법이다. 고정된 호스트만 사용하게 되면 사용자를 웹사이트로 유도하는 도중에 차단당하기 쉬우므로, DNS의 TTL (Time To Live) 값을 1~3분 ..
PHP 난독화 자료.http://malwarelab.tistory.com/150 gzinflate함수와 Base64 인코딩/디코딩 도구http://code.fremonttech.com/toys/gzinflate-base-64-endecoder/ php 난독화 실 사용 예제http://blog.aw-snap.info/p/examples-of-malicious-php-code.html php 공식 홈페이지http://www.php.net/eval functionbase64_decode functiongzinflate functiongzuncompress functionstr_rot13 function
개요 스페이스와 수평탭을 이용하여 보이지 않는 공격코드를 만드는 기법이다. 이 부분에 대한 자세한 설명은 이미 다수의 블로거에 설명이 잘 나와있다. 따라서 소스코드상 알고리즘을 분석하는 형태로 소개하려 한다. 뚜기의 S 톨이 블로그 : http://cleverdj.tistory.com/98광게바라 블로그 : http://kwangguevara.tistory.com/20트라님 블로그 : http://www.cyworld.com/traa/7081447난독화 분석 팀 블로그 : http://scriptmalwarehunter.blogspot.kr/2013/05/0x20space-0x09tab.html분석 function rcu_push(s) { var r = new Array(); var curr = 0; w..
Javascript Deobfuscate- http://www.labnol.org/software/deobfuscate-javascript/19815/ Kahu Security Javascript Deobfuscation Tools Part 1- http://www.kahusecurity.com/2011/javascript-deobfuscation-tools-part-1/ Kahu Security Javascript Deobfuscation Tools Part 2- http://www.kahusecurity.com/2011/javascript-deobfucation-tools-part-2/ Deobfuscate Javascript Using MS Tools- http://www.kahusecurity.c..
