posted by 블르샤이닝 2013. 11. 18. 10:48
728x90
다형성 바이러스의 특징

1. 쓰레기 코드

2. 같은 결과값을 다른방식으로 도출한다.


   4+6  =10

   1+9 = 10

   2+ 8 = 10 

 간단히 설명하면 위와 같은 방법이고 뭐 특정 범위를 정하는데 add나 sub를 이용한다는점?? 나중에 사진을 보면 알수 있다.


3. 전파가 강한편이다. 

   시스템의 모든 exe파일에 감염을 시키며, 특정 섹션뒤에 붙이거나 섹션을 추가하여 붙이는 경우이며, 

   현재 감염형태로 분류할수 있는 상태는 크게 2가지 형태로 볼수 있다.

(물론 내가 보는 바이럿 기준이다. 바이럿은 각 시대별 버젼별로 다를 수 있다.)


바이럿의 특징은 위와 같으며, 이번에 내가 글을 쓰게되는 부분은 악성행위 기준이 아닌 진단과 치료를 목적으로 작성되는 글이다. 틀릴수도 있고 부족할수도 있으니 항상 의문점과 생각을 하면서 참고자료로용으로만 보면 좋을듯하다.


--------------------  현재는 문서 작성중 -----------------------







728x90
posted by 블르샤이닝 2013. 11. 4. 14:13
728x90
출처 : 한국 트랜트랩

10월파일 암호화후 몸값요구하는 랜섬웨어 CryptoLocker 주의!
28일2013년 10월 28일   |  by Kervin Alintanahin (Threats Analyst)

최신 랜섬웨어(몸값요구형 악성코드)인 CryptoLocker는 특정 파일을 암호화한 후 300달러(또는 300유로)의 복호화 툴을 사용자에게 보여주면서 요금 지불을 강요하는 것으로 알려져 있습니다. 이번 블로그에서는 이 악성코드가 어떻게 PC에 침입하는지, 그리고 또다른 악성코드-온라인뱅킹 사기툴 ZBOT과 어떻게 연관되어 있는지 알아보도록 합니다.

그림1. 복호화 툴 구입을 유도하는 화면

트렌드마이크로는 지난 블로그에서 CryptoLocker가 PC 접근을 차단할 뿐만 아니라 파일을 잠그거나 암호화해 300달러의 복호화 툴을 구입하도록 유도하는 사례를 보고했습니다. 그리고 이번달에 들어 어떤 스팸메일 활동이 보고되었으며 이는 CryptoLocker 감염에 관여하고 있는 것으로 확인되었습니다. 이 스팸메일에는 TROJ_UPATRE군에 속하는 악성파일이 첨부되어 있었습니다. 이 악성코드군은 파일 사이즈가 작고 다운로드 기능을 갖추고 있다는 특징이 있습니다.

트렌드마이크로 클라우드 보안센터(SPN)의 피드백을 통해 랜셈웨어 CryptoLocker와 TROJ_UPATRE군이 연관되어 있다는 정보를 확인했습니다. 그리고 TROJ_UPATRE.VNA로 탐지되는 악성파일이 첨부된 이메일을 확인했습니다.

그림2. 악성파일이 첨부된 스팸메일

이 첨부파일은 실행되면 또다른 파일을 다운로드해 cjkienn.exe로 저장합니다(TSPY_ZBOT.VNA로 탐지). 그리고 TSPY_ZBOT.VNA는 TROJ_CRILOCK.NS로 탐지되는 CryptoLocker를 다운로드합니다.

그림3. CryptoLocker의 감염경로

몇가지 이유에서 이 위협은 매우 골칫거리입니다. 우선 ZBOT의 변종을 들 수 있습니다. 이 악성코드는 온라인뱅킹 인증 관련 정보를 수집하는 것으로 알려져 있습니다. 사이버범죄자는 수집한 정보를 이용해 은행에서 불법거래를 할 수 있습니다. 그리고 CryptoLocker는 PC에 저장된 개인적인 파일이나 중요한 파일에 접근할 수 없게 합니다.

■CryptoLocker의 암호화

CryptoLocker의 몸값요구 메시지에서는 RSA-2048 암호화를 이용한다고 말하고 있으나 분석 결과 이 악성코드는 AES+RSA 암호화를 이용하고 있는 것으로 밝혀졌습니다.

RSA 암호는 비대칭키 암호, 즉 2개의 키를 사용하는 방식입니다. 1개는 정보를 암호화하기 위해, 다른 1개는 복호하기 위해 사용됩니다. 키에는 외부의 제3자도 입수할 수 있는 공개키와 사용자가 관리하는 비밀키가 있습니다. 한편 AES 암호는 대칭키 암호를 사용하는 방식으로, 즉 동일한 키가 암호화 및 복호화에 사용됩니다.

이 악성코드는 AES 키를 이용해 파일을 암호화합니다. 복호를 위한 AES 키는 이 악성코드에 의해 암호화된 파일 내에 기록되어 있습니다. 그러나 이 키는 악성코드 내에 삽입된 RSA 공개키로 암호화되어 있습니다. 즉 암호화된 파일을 복호하기 위해 비밀키가 필요하게 되는데 그것을 입수할 수는 없습니다.

어떤 파일이 암호화되어 있는지는 PC의 자동실행 레지스트리를 확인해보면 알 수 있습니다.

그림4. PC 레지스트리 정보에서 확인할 수 있는 암호화된 파일 리스트

■CryptoLocker에 대한 트렌드마이크로의 대책

알 수 없는 발신자가 보낸 이메일의 첨부파일을 열 때는 주의를 기울여야 합니다. 트렌드마이크로 클라우드 보안센터(SPN)의 이메일 레퓨테이션 기술은 이번 위협과 관련된 이메일을 차단합니다. 웹 레퓨테이션 기술은 접속 도메인명을 생성하는 구조인 DGA(Domain Generation Algorithm)에 의해 생성된 관련 url을 탐지합니다. 파일 레퓨테이션 기술은 앞서 말한 악성코드를 탐지하고 제거합니다. 트렌드마이크로 제품의 행위기반 탐지기능은 CryptoLocker 감염으로부터 PC를 모니터링하고 악성코드의 실행을 방지합니다.

그림5. 당사제품이 관련 악성코드를 탐지

원문 :
ランサムウェア「CryptoLocker」、オンライン銀行詐欺ツール「ZBOT」を経てコンピュータに侵入 
by Kervin Alintanahin (Threats Analyst) 


728x90

'암호학' 카테고리의 다른 글

안전한 패스워드 저장  (0) 2015.09.16
base 64 에 대한 설명  (0) 2012.01.24
sha -1  (0) 2009.10.11
posted by 블르샤이닝 2013. 10. 2. 01:59
728x90
728x90

'일상' 카테고리의 다른 글

캐논-D 첼로 4중주  (0) 2014.01.23
한가인!!!여전히 아름다우십니다  (0) 2013.12.05
세상은 착하고 성실하다고 잘되는게 아니다....  (0) 2013.08.07
안구정화  (0) 2013.02.21
100만원 이하 여행지  (0) 2013.01.23
posted by 블르샤이닝 2013. 8. 21. 10:11
728x90

출처 : http://blog.hacknsecurity.com/entry/TOR-%EA%B8%B0%EB%B0%98%EC%9D%98-botnet-%EC%A6%9D%EA%B0%80


Tor프로토콜은 익명통신을 할 수 있는 시스템으로 Tor를 이용하면 패킷의 송신자를 알 수 없다. 그래서 해커들이 사이버 공격시 자신의 추적을 피하기 위해 사용하고 있다. 이번 6.25 사이버공격에서 공격자가 Tor를 사용해 공격한 것이 밝혀졌다.


Tor는 기존의 익명통신 시스템과 달리 사용자의 편의성에 초점을 맞추고 개발된 서킷 기반 저 지연 시간 익명통신 시스템이다. Tor는 TCP 프로토콜에 기반을 두어 간단한 프로그램 설치 과정을 통하여 익명통신을 할 수 있는 시스템으로, Tor를 이용하여 메시지를 보내면 전 세계에 있는 천여 개의 라우터 중 임의의 3개 라우터를 거쳐 패킷이 목적지에 도달한다. 이 때, 암호화 복호화 과정이 일어나게 되므로 공격자가 도중에 패킷을 획득하더라도 해당 패킷의 송신자를 알 수 없다. 
Tor가 사용자의 편의성에 초점을 두고 개발된 만큼 Tor가 가지고 있는 지연 시간을 줄이면서 익명성을 유지하는 것이 중요한 이슈이다. 본 논문에서는 기존의 Tor 시스템에서 사용하는 서킷 생성 알고리즘을 개선하여, Tor 시스템의 성능을 향상시키는 방법을 제안한다. 이 방법은 클라이언트가 서킷을 선택 할 때, 디렉터리 오소리티에 서킷 정보를 전송함으로써 디렉터리 오소리티가 각 라우터를 선택한 클라이언트의 수를 참고하여 각 라우터의 현재 네트워크 대역폭을 예측한다. 이 정보를 통하여 클라이언트는 서킷을 생성할 때, 각 라우터의 현재 네트워크 상태를 반영하여 라우터를 선택할 수 있다. 그로인해 현재 네트워크 대역폭에 비해 지나치게 많은 부하가 걸리는 라우터의 부담을 줄일 수 있고, 지나친 부하가 걸린 라우터를 사용하는 것을 피함으로써 패킷 전송에 따르는 지연 시간도 줄일 수 있다. 이로 인해 Tor 시스템의 성능을 향상시킬 수 있다.

C&C 서버와 스텔스 통신을 위해 Tor 프로토콜을 사용하는 2개의 악성코드Win32/Atrax.A를 분석한 자료임 


TOR 프로토콜 설명

-아주대학교 논문


000000009642_1377047725500_0.028208103561428777.pdf


TOR 이용한 BOT 분석

http://blog.hacknsecurity.com/

#WI-13-026.pdf


728x90
posted by 블르샤이닝 2013. 8. 7. 01:14
728x90

ㅎㅎ 아무리 착하고 잘해도...결국 능력없으면 뭐 없는거다.


군대랑 같다... 아무리 막나가고 미친짓을해도 일을 잘하면 결국 아무도 터치 안하는거다..


군대에서 느끼는걸 사회에서 느끼다니....이래서 군대가 사회의 축소판이라고 하는구나.....하....진짜...능


력없으면..안되는구나...개차반같이 노력하자....그게 무시안당하고 당당할수 있는것이다...


이건 누구의 잘못이 아닌 내 잘못이다....머리가 나쁜거고 능력이 없는거다...그러니까 더 미친듯이 하


자...오랜만에 기분상쾌하군....이기분 옛날에 느꼈던걸 다시 느껴서 참 감회가 새롭다...노력하자 그게 니 


자신을 어필하는거다

728x90

'일상' 카테고리의 다른 글

한가인!!!여전히 아름다우십니다  (0) 2013.12.05
Full Tilt ft. Katrina Noorbergen – Letting Go  (0) 2013.10.02
안구정화  (0) 2013.02.21
100만원 이하 여행지  (0) 2013.01.23
술 추천  (0) 2012.12.28