Windows PowerShell을 이용한 "갠드크랩(GandCrab) v5.0.4" 파일리스(Fileless) 공격 음....보안쪽 포스팅은 또 오랫만이라 떨리네 ㅋㅋㅋㅋ 요즘 핫한 악성코드라고 하면 아직도 랜섬웨어가 아닐까 싶다.그중에서도 갠드크랩(GandCrab)은 꾸준히 국내 사용자들에게도 유포가 되고 있는데, 그중에서 JS 스크립트를 통해 유포되는 버전인 갠드크랩(GandCrab) v5.0.4 버전에 대해서 정리해 둔게 좀 있어서 간단하게 포스팅 하려고 한다.※ 참고로 최근 갠드크랩(GandCrab) 버전은 v5.1 버전이며 이력서를 사칭한 이메일로 유포 중이다. 해당 파일은 "네봄이" 사이트에서 수집 되었으며 2018년 11월 21일경에 수집 해 둔 파일인데 예전에는 JS 파일을 통해 EXE가 실행되는 형태였다면, 이 파일은 JS 파일이 "파워쉘 명령어를 통해 파일리스(Fileless) 형태로 메모리에서 동작.. 2019. 1. 19. 자바 스크립트 난독화/암호화를 적절하게 사용해야~ 백신업체도 편하다!! 백신업체에서는 항상 오탐지를 최소화 시키기 위해 노력한다. 하지만 스크립트같이 웹페이지에서 많이 사용하는 경우는 범용적으로 탐지시그니쳐를 가질 수 있기 때문에 종종 오탐지가 난다. 웹개발자들은 그런 사항들을 모르는 경우가 많기 때문에 오탐지가 발생하는 경우가 많다. 하나의 예를 들어보자!! 한 사이트에서 아래와 같은 스크립트 형태로 웹페이지가 동작하고 있다고 한다.한눈에 봐서는 이거 악성코드아닌가? 라고 할만큼 악성스크립트에서 많이보던 형태로 페이지가 존재하고 있다. (참고로 해당 코드는 블로그 및 카페, 홈페이지에 음악BGM을 생성해주는 코드이다.) 위의 페이지에는 "eval(function(p,a,c,k,e,d)" 스크립트를 사용하고 있었다. 이 방식은 Dean Edwards가 만든 자바스크립트 압축.. 2011. 8. 19. 이전 1 다음
