본문 바로가기
윈도우 보안 업데이트 실패(오류 코드: 0x80246008) 해결 방법!! 이번에 긴급패치 된 MS12-063 (CVE-2012-4969) 업데이트를 하기위해 몇번이나 시도하였지만 번번히 실패하였다. 왜 이러나 잘 살펴보았더니, 오류가 있었다. 2012. 9. 27.
[Oracle Java] 오라클 자바 JRE 신규취약점 발견!! (2012-09-27) 자바취약점 0-Day가 나오고 보안패치가 나온지 얼마나 되었다고, 또 자바 취약점이 발견되었다. [ZDNet] 자바 취약점 또 발견 10억명 위험 노출 [TheVerge] New Java exploit puts 1 billion Macs and PCs at risk [SE-2012-01] Critical security issue affectingJava SE 5/6/7 이번 취약점은 외국 보안전문 회사인 시큐리티 익스플로레이션(Security Exploration)에서 발견되었으며 윈도우 7 32Bit 테스트를 하였으며 자바 SE 5,6,7 버전에서 "자바 시큐리티 샌드박스"를 우회할 수 있는 취약점이 있다고 한다. 현재 자바를 설치 한 PC는 약 10억만명(1,000,000,000)이라고 오라클에서 .. 2012. 9. 27.
ipTIME 공유기 취약점으로 인한 루트권한 획득 주의!! 많은 사람들이 사용하고 있는 EFM networks 의 ipTIME의 공유기에 취약점이 발견되었다는 소식이다. 해당 취약점은 관리자 암호를 몰라도 ipTIME 공유기의 루트권한을 획득할 수 있는 취약점이다. 취약점은 TeamTMP소속 이진성님이 발견하였으며, 모든 제품에 대한 취약점은 아니며 특정한 제품에 한하여 발견 된 듯 하다. 이진성님의 취약점 내용은 아래와 같다. “ipTIME 공유기의 경우 ‘http://192.XXX.X.X/’(뒷 부분은 X로 표기)에 접속하면 나오는 페이지가 바로 관리자 페이지인데 이때 암호를 몰라도 공유기의 루트권한을 획득할 수 있는 있는 상황”이라며 “해당 업체의 신속한 패치가 이루어져서 이용자들의 안전이 확보되길 바란다”고 강조했다. 좀더 자세히 설명하면, 공유기에서 웹.. 2012. 7. 17.
네이버 블로그 첨부파일을 이용한 DoS 공격형 악성코드 주의!! 지인에게 받은 샘플을 분석하다가 재미있는 내용이 있어서 간략하게 적어본다. 이번 포스팅의 중점은 DDoS 공격형 악성코드의 분석이 주가 아니라, 특정 블로그에 첨부되어 있는 첨부파일의 주소를 이용하여 서버가 없더라도 충분히 우리나라의 환경에서는 파일서버 형태를 갖출 수 있다는 점이다. 그럼 포스팅 시작~~!!! 최포 유포는 특정 블로그에서 "브루스포스(brute Force)" 파일로 위장되어 사용자들의 다운을 유도한다. (※ 브루트포스는 무작위로 대입하여 암호를 찾는 방식) 어떠한 이유로 브루트포스 파일을 찾는지는 모르겠으나, 암튼 해당 파일을 받으면 압축형태로 되어있다. 압축 파일 속 "Brute Force v1.2.exe" 파일이 핵심 파일이다. 해당 파일이 실행되면 아래와 같은 프로그램이 실행된다... 2012. 7. 16.
메이플스토리(MapleStory)런처를 가장한 사용자정보 탈취 프로그램 주의!! 메이플스토리(MapleStory)의 런처를 가장하여 사용자 정보를 탈취하는 프로그램이 확인되었다. 최초 유포는 잘 모르겠으나, 아마도 네이버 블로그(Naver Blog)의 첨부파일이 아닐까 싶다. 간단하게 살펴보면, "메일플런처.exe" 라는 파일로 유포가 되었음을 알 수 있다. 해당 파일을 실행하면, 아이디, 비밀번호, 2차 비밀번호까지 적도록 되어있다. (나는 임의로 아무 문자열을 입력하였다) 사용자가 자신의 메이플계정을 적은 후 로그인을 누르면, 아래와 같은 실제 크렉프로그램이 실행된다. 하지만 이미 사용자가 적은 계정과 패스워드는 외부메일(네이버메일)로 전송이 됬음을 알 수 있다. 메이플런처.exe가 실행 될 시, 자신의 메일로 로그인을 해 둔 상태이다. 사용자가 로그인을 누를 시, Form에 적.. 2012. 7. 16.
파일 시그니처(File Signatures) 모음 분석을 하다보면 파일의 헤더(File Header) 부분이 뭔지 찾아볼 때가 생긴다. 그런것들을 방지하기 위해 많이 사용되는 파일들의 헤더 시그니쳐를 정리해 두었다. 물론 내가 한건 아니고 ㅋㅋㅋㅋ 나도 퍼왔다^^ 참고 사이트는 하단에 있다. Hex Signature/File Header File Extension ^ ASCII Signature Additional Info. 45 DA .386 Executable File 23 20 6F 62 6A 65 78 70 .3md # objexp 54 49 46 46 47 52 41 50 .3tf TIFFGRAP 64 74 53 65 61 72 63 68 .abc dtSearch ABC Programming Language 4D 53 43 46 00 00 00.. 2012. 6. 29.
[분석툴] PDF Stream Dumper (난독화 PDF 분석 도구) 보통 PDF 분석도구로 잘 알려진 inflater나 pdftk, pdf-parser등으로 분석이 힘들경우 사용하면 좋다. 난독화 된 자바스크립트, 헤더 및 오브젝트등이 상세하게 나온다. - 홈페이지 : http://sandsprite.com/blogs/index.php?uid=7&pid=57 - 다운로드: PDF Stream Dumper Setup 0.9.386 (includes full vb6 source) - 사용가능한 플래폼 : Win2k, XP, Vista, Win7 2012. 6. 26.
새로운 난독화 스크립트 "Yszz 0.1" 등장!! 지난 5월 11일에 새로운 난독화 자바스크립트가 확인되었다. 일명, Yszz 스크립트로 불리고 있다. (Dadong 스크립트에 이어 자신의 이름을 남기는 스크립트는 처음이다. 무슨 뜻인지 궁금 ㅋㅋㅋ) 현재까지 Yszz는 0.1 버전에 이어 0.2 버전까지 확인 되었다. Yszz 스크립트는 디코딩이 아주 간단하다. 아래의 그림을 보면 알겠지만, 가장 하단에 “Dz” 라는 변수에 디코딩 된 값이 저장되는 것을 알 수 있다. 그래서 간단하게 Alert 함수를 이용하여 디코딩 완료!! 디코딩 된 값에는 Dadong과 마찬가지로 여러 취약점의 Link들이 존재한다. Dadong 스크립트에 비하면 참 볼품없는 난독화 스크립트이지만, 앞으로 어떻게 변화가 될 지는 아무도 모른다. 2012. 5. 24.

티스토리툴바