[CVE 취약점] vBulletin 원격 코드 실행 취약점(CVE-2019-16759) 참조> https://seclists.org/fulldisclosure/2019/Sep/3> https://github.com/M0sterHxck/CVE-2019-16759-Vbulletin-rce-exploit> https://xz.aliyun.com/t/6419> https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4422707-vbulletin-security-patch-released-versions-5-5-2-5-5-3-and-5-5-4 Poc #!/usr/bin/python## vBulletin 5.x 0da..
[CVE 취약점] Oracle Weblogic 원격코드 실행 취약점(CVE-2019-2890) 참조> https://github.com/SukaraLin/CVE-2019-2890> https://www.youtube.com/watch?v=qml-UJzNn6k> https://github.com/ZO1RO/CVE-2019-2890/blob/master/CVE-2019-2890.py Poc #!/usr/bin/python import socket import os import sys import struct if len(sys.argv) < 3: print 'Usage: python %s ' % os.path.basename(sys.argv[0]) sys.exit() sock = socket.socket(s..
[CVE 취약점] Apache Solr 원격 코드 실행 취약점 관련 참조> https://blog.alyac.co.kr/2631> https://www.cybersecurity-help.cz/vdb/SB2019112102?affChecked=1> https://github.com/mogwaisec/mjet/blob/master/README.md> https://www.youtube.com/watch?v=KZtR6rYFG-E 개요안전하지 않은 설정을 포함하는 구성 옵션의 취약점을 이용하여 원격코드 실행이 가능한 취약점 - SOLR이 동반의 기본 구성 파일인 solr.in.sh 아파치 SOLR 8.1.1과 8.2.0 버전이 안전하지 않은 설정을 포함하는 구성 옵션(ENABLE_REMOTE_JMX_OPTS=t..
[Reversing] Formbook Visual Basic 외형 참조> https://jeongzzang.com/152> https://blog.vincss.net/2020/05/re014-guloader-antivm-techniques.html> https://medium.com/m4n0w4r/quick-analysis-note-about-guloader-or-cloudeye-6d4408cca61 ZwQueryVirtualMemory() 이용하여 가상환경관련 문자열이 메모리에 있으면 그 문자열을 해시 계산한 후 일치하면 종료한다. 다음으로는 EAX에 1 넣고 CPUID 어셈명령 호출하고 ECX에 31번째 비트 1인지 확인한다. 즉, EAX에 값은 넣고 CPUID을 호출하면 EAX 값에 따라 정보가 E..
[Reversing] 악성코드 분석 도구 참조> https://down.52pojie.cn/> https://github.com/ganlvtech/down_52pojie_cn 최신 온라인 크래킹 툴킷에 대한 정보를 공유하기 위해 작성을 한다. 해당 참조 사이트에서 제공하는 도구들은 자주 사용하는 도구로 다운로드 할 수 있으며, 새로운 도구도 함께 살펴볼 수 있다.CrackMe 콘테스트 작품과 해당 분석 기사등을 함께 확인할 수 있다. 도구를 살펴보면 아래와 같다. Android_Tools - Android 프로그램의 리버스 엔지니어링에 사용되는 관련 도구 (Androidkiller , JEB 등) Anti_Rootkit- 안티 바이러스 트로이 목마가 사용하는 관련 도구 (PCHunter, Procmon ..
[Malware analysis] Visual Basic 악성코드 VB 전용 엔진을 사용해 Visual Basic으로 제작되었다. 스팸 메일 외 다수 유포되는 국내외 Visual Basic 악성코드는 일반적으로 빌더를 이용하여 만들어지기 때문에 파일의 코드 외형 특징과 동작 방식이 단기적으로 같은 특징이 있는 경우도 있다고 한다.또한, 인터넷 주소로 접속을 시도해 다른 악성코드들을 다운로드 및 실행하게 만들며 암호 유출용 악성코드의 전파와 실행을 보조하기도 한다 Visual Basic으로 작성된 걸 확인할 수 있다. 1. Visual Basic Main 살펴보면 난독화 된 코드를 확인할 수 있다. 진행하며 살펴보겠다. 살펴보게 되면 이전 할당 받은 공간에 [EAX+EDX] 주소부터 데이터를 입력하는 것을..
[Malware analysis] 암호 걸린 첨부 파일을 이용한 Emotet
[Malware analysis] 암호 걸린 첨부 파일을 이용한 Emotet 참조> https://jeongzzang.com/162> https://www.virustotal.com/gui/file/c6837f0ac871c07b7e1330f74ba054bffcf4b9d45e482669cfa35f7447229353/detection> https://www.virustotal.com/gui/file/57f5134f5273a79ff5d44d820975ee70ddedf209d190f5d210e5efde5fca06a8/detection 10월 20일에 작성한 암호가 걸린 첨부 파일 내 이모텟이 유포되는 것을 확인할 수 있었다.오늘도 성격이 같은 유형의 악성코드를 간략히 정리한다. 아래 그림을 보게 되면 .zip ..
[Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ② [Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ① 계속 진행해서 HimTratIcon.exe 살펴보자. 1. Injection 상세분석(HimTratIcon.exe)alloc 할당을 진행 후 반복을 통해 메모리에 PE파일을 쌓는 걸 확인할 수 있었다 진행 시 System 폴더 경로를 얻은 후 해시 값을 통해 “userinit.exe”을 얻는 것을 확인할 수 있다. 이후 alloc 할당까지 진행하는 것을 알 수 있으며, CreateProcessA() 까지 호출하는 것을 확인할 수 있었다. “Userini.exe” 프로세스를 Suspend 상태로 생성하는 것을 알 수 있다. 이후 살펴보면..