본문 바로가기

[+] Security/[-] Analysis

CVE 2012-0507 간단 분석 얼마전에(정말 얼마전이죠) CVE 2012-0507 취약점이 발표되었었습니다. java 애플릿에 대한 취약점이죠. 현재까지도 해당 취약점을 악용하는 악성코드가 지속적으로 출몰하고 있는 상황입니다. 빛스캔에서 발간하고 있는 악성 코드 동향 분석 보고서에도 보면 아직까지 해당 취약점이 언급되고 있습니다. 관련기사 : http://www.dailysecu.com/news_view.php?article_id=2243 한동안은 계속 해당 취약점과 다른 취약점들을 이용하는 악성코드들이 계속 나올 듯하여 그나마 "이런 글을 보고 패치하겠지" 라는 바램에 이렇게 분석/정리하여 봅니다. 일단 해당 취약점을 이용한 악성코드가 심어져 있는 페이지에 접속하면 아래와 같은 java 애플릿 실행 여부를 묻는 창이 뜨며 그 페이지.. 더보기
Yszz 0.1 난독화 등장!! 실무에서 악성코드를 분석하시는 분의 블로그를 오랜만에 갔더니 새로운 난독화에 대한 포스팅이 보여 샘플을 얻어 분석해 보았다. 샘플은 다음과 같은 소스로 구성되어 있다.//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// * 경고 : 해당 코드는 분석용 샘플 이긴 하나 실제 사용 되었던 코드이므로 사용을 자제하기 바랍니다. 사용시 책임은 본인에게 있습니다... 더보기
Android Tigerbot-Spyera Analysis 이번에 분석해 볼 앱은 정말 최근(2012. 4.11)에 발견된 원격 스마트폰을 SMS로 컨트롤하는 앱이다. 클래스파일이 너무 많아 line by line는 안되고 악성 행위를 하는 부분에 대해서만 설명하도록 하겠다. 일단 GPS 업데이트 부분을 한번 살펴보자. 해당 앱은 감염된 스마트폰의 GPS 정보를 전송하는 기능이 있는데 해당 기능은 [그림1]과 같은 소스코드가 수행하며 클래스 파일의 이름은 CdmaCellLocation이다. [그림 1 - GPS 위치 전송 데이터 설정] 이번에는 전화통화를 강제로 종료하는 부분이다. 스마트폰의 스크린이 켜지면 그 이벤트를 감지하여 전화통화 상태일시 전화통화를 종료해버린다. [그림 2 - 전화통화 강제종료] 이번에는 감염 스마트폰의 이미지 전송 부분이다. 사용자가 .. 더보기
Android.Stiniter_TGLoader Analysis 요즘 안드로이드 봇넷에 관한 연구가 외국에서 활발히 이루어지고 있으며 이와 관련된 악성 앱 또한 많이 발견되고 있는 상황이다. 이러한 상황을 어느정도 파악해 보고자 이렇게 악성 앱 분석을 시도하게 되었다. 지금부터 분석 할 악성 앱은 리팩(RePackage) 된 악성 앱이며, 사용자의 스마트폰 정보를 프리미엄 번호로 메시지 전송을 시도하며 또 원격에 있는 C&C 서버와 통신하는 악성 앱 봇이다. [android.dds.com-STiNiTER.apk]Main에 해당하는 apk 파일이며 해당 파일을 압축해제 한 후 디컴파일 하여 보면 몇가지의 패키지 파일들이 나오는데 원본 앱과 비교하여 보면 com.gamebox.service 패키지가 원본 앱에 없다는 것을 확인 할 수 있다. com.gamebox.serv.. 더보기
Encrypt By Dadong's JSXX 0.41 VIP 샘플 분석 Encrypt By Dadong's JSXX 0.41 VIP 이란 주석을 가지고 있는 자바스크립트 악성 코드가 근래 들어 많이 보인다고 한다. 샘플 : (해당 샘플을 사용하고 생기는 책임은 모두 다운로드 받는 본인에게 있다는 걸 명심하세요, 비밀번호 : virus) 중국에서 만든 난독화 코드인데 dadong을 거꾸로 하면 gondad가 되는데 이는 중국어로 공격이라는 뜻이란다. 해당 난독화 코드는 사실 난독화를 풀지 않고도 분석이 가능하다. 해당 글에서는 해당 악성코드를 해결하는 두가지 방법을 제시 할 것이다. 하나는 아주 간단하게 쉘코드만을 얻어와 쉘코드 분석을 통해 추가적으로 어떠한 행동을 하는지 파악하는 방법이고 또 하나 방법은 난독화 코드 자체를 해독하는 방법이다. 일단은 난독화 코드 자체를 해독.. 더보기