일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- threatintelligence
- iphone11
- 존엄하게산다는것
- 뚝썸유원지
- msticpy
- 악성크도
- 아이폰12
- Git
- RX100
- 똑딱이졸업하는그날까지
- 신
- YARA
- 복층루희네집
- 이런사람만나지마세요
- 아이폰11
- Cerbero
- cannot find or open
- 악성코드
- 처음이자마지막일듯
- python
- 독서
- 베르나르
- Hexeditor
- 부의본능
- fuzzer
- 인텔리전스
- CerberoSuite
- protoc
- 소설
- Error
- Today
- Total
목록정보보안 (51)
qingfro9님의 블로그 입니다.
2018.04.25. 11:13 GitHub - ANSSI-FR/polichombr: Collaborative malware analysis framework https://github.com/ANSSI-FR/polichombr
2018.04.25. 11:12 [github] tool - Frida python binding https://github.com/Mind0xP/Frida-Python-Binding
고려대학교_실행압축악성코드무력화알고리즘연구_최종보고서_ver_최종본
2018.07.16. 18:09 Protector 연구중 확인한 API Redirect 문서
전에 분석했던 outlook 파일은 msg 파일 포맷을 가졌다. 파일 헤더를 좀 더 자세히 보니 , ole 파일 헤더였고, 그렇게 해서 msg 파일 인것을 알 수 있었다. SSView로 파싱해서 분석하니 PK(ZIP)파일이 보여서 좀 더 분석해 봤다.(해당 샘플은 DDE를 사용해 악성 URL을 접속하는 샘플이였다.) 그래도 안되다가 아래와 같이 EML converter를 발견할 수 있었다. 그래서 해당 도구를 사용해 EML로 바꾸니 분석이 훨씬 편했고 쉽게 DDEURL을 확인할 수 있었다. http://www.mailsware.com/msg-converter.html
2018.05.16. 00:30 file 유틸을 사용해서 확인했을 때는, outlook이라고 나와서, outlook viewer에 대해 검색하고 해당 툴들에 attach 시켰지만 정상적으로 안되어, Hex 데이터를 확인하니 유니코드 포맷이 보여 확인하니. 메세지만 볼 수 있었음. (확장자를 .msg로 변경) 추가로 outlook viewer는 아래 두가지 도구가 존재했음 outlookViewerWindows PST Viewer
2018.05.09. 18:57 와이퍼 타임라인SHAMOON1(2012) - DARK SEOURL(2013) - GUARDIANS OF PEACE (2014) - BLACKENERGY(2015) - SHAMOON 2(2016) - WANNARY(2017) - NYETYA(2017) - OLMPIC DESTROYER(2018) 음 일단 이렇게 큰 조직들은 디자인 하나 기가 막히는 듯 자세히 안봤지만, 사실 나에겐 이런 타임라인 정보가 개꿀
2018.05.08. 01:11 갠드크랩 랜섬웨어관련해서 아이콘 리소스로 프로파일링 한다는 이야기를 듣고, 3월에 POS관련 샘플이 수집이 많이 되서 아이콘으로 헌팅을 조금 해봤다. 근데 이 아이콘 기본 아이콘이여서 그런지 많이 탐지 됬다. 하지만 이중에, 카드 데이터를 읽는 샘플들도 존재했고... 곧 있어서 POS기 관련 이슈가 발생하기도 했다. 이런 프로파일링 계속 하긴 해야겠다. 근데 요즘 업무때문에 바빠서 하지 못하고 있다.. ㅠㅠ 안티바이러스 개발도 바쁘고... 특히 머신러닝 관련 지식은... 계속 읽어야 할듯 하다.. 버그 헌팅은 집나가서 자취하면 제대로 해야할듯?
2018.05.02. 00:11 스노트 룰에 대해 공부 중 content 정리시 공백, ", ;, |, (,) 와같은 기호들은 Hex 값을 넣어야한다는 사실을 알게 됐다. 공백 -> 0x20" -> 0x22( -> 0x28) -> 0x29; -> 0x3B| -> 0x7C alert tcp any any -> any any (content: "User-Agent: Mozilla/5.0 |28|Windows NT 6.1|3b| WOW64|3b| Trident/7.0|3b| rv:11.0|29| like Gecko";msg: "[1]Possible Empire C2 activity!";sid: 2;)alert tcp any any -> any any (content: "Server: Microsoft-IIS/..
2018.04.25. 11:10 [todo] Codeinjection Tech ref ->http://blog.alyac.co.kr/1628 ->https://thehackernews.com/2018/04/early-bird-code-injection.html atombombing code injection Early bird Code injection 이용 샘플 - 이란 해킹 그룹 APT33이 개발한 "TurnedUp" 백도어 - "Carberp" 뱅킹 멀웨어의 변종 - "DorkBot" 악성 코드 ioc 706630a77f06ef8fb90eb312fa2cbfe6 8cac249e2a9ae6ae8c5d90a9d52dbb88 03e662753b2c4a05c40ad3525eeef903 e1383bea7104..