[+] Security 썸네일형 리스트형 Android.Stiniter_TGLoader Analysis 요즘 안드로이드 봇넷에 관한 연구가 외국에서 활발히 이루어지고 있으며 이와 관련된 악성 앱 또한 많이 발견되고 있는 상황이다. 이러한 상황을 어느정도 파악해 보고자 이렇게 악성 앱 분석을 시도하게 되었다. 지금부터 분석 할 악성 앱은 리팩(RePackage) 된 악성 앱이며, 사용자의 스마트폰 정보를 프리미엄 번호로 메시지 전송을 시도하며 또 원격에 있는 C&C 서버와 통신하는 악성 앱 봇이다. [android.dds.com-STiNiTER.apk]Main에 해당하는 apk 파일이며 해당 파일을 압축해제 한 후 디컴파일 하여 보면 몇가지의 패키지 파일들이 나오는데 원본 앱과 비교하여 보면 com.gamebox.service 패키지가 원본 앱에 없다는 것을 확인 할 수 있다. com.gamebox.serv.. 더보기 Encrypt By Dadong's JSXX 0.41 VIP 샘플 분석 Encrypt By Dadong's JSXX 0.41 VIP 이란 주석을 가지고 있는 자바스크립트 악성 코드가 근래 들어 많이 보인다고 한다. 샘플 : (해당 샘플을 사용하고 생기는 책임은 모두 다운로드 받는 본인에게 있다는 걸 명심하세요, 비밀번호 : virus) 중국에서 만든 난독화 코드인데 dadong을 거꾸로 하면 gondad가 되는데 이는 중국어로 공격이라는 뜻이란다. 해당 난독화 코드는 사실 난독화를 풀지 않고도 분석이 가능하다. 해당 글에서는 해당 악성코드를 해결하는 두가지 방법을 제시 할 것이다. 하나는 아주 간단하게 쉘코드만을 얻어와 쉘코드 분석을 통해 추가적으로 어떠한 행동을 하는지 파악하는 방법이고 또 하나 방법은 난독화 코드 자체를 해독하는 방법이다. 일단은 난독화 코드 자체를 해독.. 더보기 Duqu Trojan developed in unknown programming language 산업시스템을 전문적으로 감염 시키는 듀큐가 아직 알려지지 않은 코드로 프로그래밍 되었다는 글이 떴습니다. 카스퍼스키에서는 다른 보안전문가들의 의견을 구하기 위해 듀큐 분석 내용 일부분을 공개 했는데 의견들 중 신빙성이 가는것이 몇개 있네요. http://thehackernews.com/2012/03/duqu-trojan-developed-in-unknown.html 위는 기사 URL이고 아래는 공개 된 내용 일부분 입니다. http://www.securelist.com/en/blog/667/The_Mystery_of_the_Duqu_Framework 더보기 오우!!! 저번 세미나때 인터뷰 했던 내용이 올라왔네요~ 쑥스럽습니다 :) http://www.dailysecu.com/news_view.php?article_id=1768 더보기 Android Malware Analysis(HippoSMS) 중국에 있는 아는 사람이 악성코드 샘플을 분석하던 도중 막히는 부분이 있다며 도움을 요청 해 왔다. 공부를 목적으로 분석하는 도중 분석에 어려운 점이 많아 같이 해보자는 연락이었다. 요즘 안드로이드 공부도 하고 있어 재미있겠다 싶어 분석을 시도해 보았다. 분석 대상은 HippoSMS 라는 악성 앱인데 앱의 레이아웃이나 기능들을 보았을 때 겉으로는 음악파일 다운로드 등의 정상적인 앱의 기능으로 위장하고 있었다. 그러나 최종 목적은 SMS를 통하여 사용자 스마트폰의 추가 요금을 발생 시키고 추가 요금이 발생하면 우리나라도 마찬가지이지만, 중국도 추가 요금을 알리는 문자가 오는데 그 문자를 삭제하여 사용자가 추가 요금 발생을 알아차리지 못하도록 하는 것이었다. 악성 행위를 하는 코드는 의외로 간단하다. 일단 .. 더보기 이전 1 2 3 4 5 ··· 12 다음
