Tool을 이용한 초간단 언패킹! (UPX편)

오늘은 기존에 했던 메뉴얼 언패킹이 아닌 다소 쉬운 방법으로 tool을 사용한 언패킹(unpacking)을 해보도록 하겠습니다.  그전에 패커(Packer)에 대해 다시 한번 간단히 정리 해볼까요! 패킹(packing)은 실행파일 포장이라는 개념으로 쉽게 이해하시면 될 것 같습니다. 아래 그림은 파일이 패킹되어 메모리에 올라가는 일괄의 과정을 표현한 것으로서 패킹된 파일은 메모리 할당시 재배치(Relocation) 과정을 하지 않기 위해 target 프로그램과 동일한 위치에 .txt 섹션을 배치 합니다.  Uninitialized data section은 언패킹 후 메모리에 올릴 장소입니다. 언패킹을 하기 위해서는 먼저 Packer Detection(탐지)을 통해 패커를 확인하는 작업이 선행되어야 합니다. 패커를 확인하는 가장 손쉬운 방법은 잘 알려진 패커 탐지 tool을 이용하는 것이며 탐지 tool로는 PEID, DIE, RDG, exeinfo PE 등 이 있습니다. 오늘 시연에 사용된 tool은 upx와 Exeinfo PE 이며 upx는 win32 콘솔 버젼으로 언패킹하려는 파일과  동일한 폴더에 존재하여야 합니다. 그럼 이제부터 초간단 언패킹의 세계로 빠져 볼까요? 패킹된 샘플 파일을 Exeinfo PE 를 이용하여 정보를 확인 해…

허위백신으로 인한 증상 및 조치 방법

1. 서론  최근 허위백신으로 인하여 피해가 다수 발생하고 있어 증상 및 임시 조치 방법을 소개하고자 해당 내용을 작성 합니다. 2. 증상 해당 악성코드에 감염이 되면 아래와 같은 허위 백신이 실행되며 허위로 악성코드를 진단하여 결제를 유도하게 됩니다. [그림1. 허위백신이 실행된 화면] 위 이미지에서는 AntiVirus XP 2010 이지만 아래와 같이 다수의 이름이 존재합니다.  Windows 7 WIndows Vista  Windows XP Win 7 Internet Security 2010  Win 7 Internet Security  Win 7 Antivirus Pro 2010  Win 7 Antivirus Pro  Win 7 Antivirus 2010  Win 7 Antivirus  Win 7 Defender 2010  Win 7 Guardian  Win 7 Guardian 2010  Antivirus Win 7 2010  Win 7 Antispyware 2010  Vista Internet Security 2010  Vista Internet Security  Vista Antivirus Pro 2010  Vista Antivirus Pro  Vista Antivirus 2010  Vista Antivirus  Vista…

헐리우드 배우 Corey Haim 장례식 & Pacquiao vs Clottey

해외 유명인사 Corey Haim 장례식 혹은 유명 권투 선수 Pacquiao 와 Clottey 선수의 빅매치 경기를 겨냥하여 관련 키워드로 검색 시 아래 그림과 같이 악성코드 유포 사이트로 연결이 되게 됩니다. 악성코드 유포 사이트는 연결될 경우 아래 그림과 같이 백신이 스캔하는 듯한 것처럼 위장한 플래쉬를 동작하여 사용자로 하여금 자신의 PC를 스캔하고 진단 치료하는 것으로 속입니다. (이제 이런 속임수를 너무 많이 봐서 지겨우시죠?? ^^) 허위 진단을 한 후 치료를 원하면  사용자로 하여금 다운로드 후 실행을 하도록 유도를 합니다. SEO Poisoning Attack을 예방하기 위해서는 사이트 가드(Site Guard)와 같은 웹브라우저 보안 제품을 설치하여 사전에 예방할 것을 권해 드립니다.

스팸메일 주의! “Online order for airplane ticket N숫자”

최근 비행기 티켓과 관련된 스팸메일을 발송하여 허위 백신(Fake AV)을 설치하는 악성코드가 발견되어 알려 드립니다. 메일은 아래와 같은 제목으로 수신이 되게 됩니다. 제목 : Online order for airplane ticket N숫자 내용 : Good afternoon, Thank you for using our new service “Buy airplane ticket Online” on our website. Your account has been created: Your login: 메일주소 Your password: G6vFjbdp Your credit card has been charged for $998.63. We would like to remind you that whenever you order tickets on our website you get a discount of 10%! Attached to this message is the purchase Invoice and the airplane ticket. To use your ticket, simply print it on a color printed, and you are set to take off for the journey! Kind…

다수의 Zeroday 취약점 권고!

금일 MS 보안패치가 나오자 마자 바로 0-Day 취약점들이 쏟아져 나왔습니다. 모두 Microsoft Windows와 Office 관련 취약점으로 이미 해당 취약점 중 익스플로러 관련 취약점은 악성코드 유포에 사용된 것으로 보입니다. Microsoft Movie Maker Buffer Overflow http://www.iss.net/threats/362.html Microsoft Excel XLSX code execution http://www.iss.net/threats/363.html Microsoft Internet Explorer use-after-free code execution http://www.iss.net/threats/364.html 위 취약점 들 중 엑셀 관련 취약점은 금일 배포된 보안패치로 해결이 가능한 취약점 입니다. (관련 링크 : http://core.ahnlab.com/131) 현재 가장 이슈가 되고 있는 것은 이미 Internet Explorer 관련 취약점 입니다. 현재 알려진 바로는 이미 악성코드 유포에 사용되었으며 아래와 같은 파일명으로 유포가 되었다고 합니다. * 20100307.htm (CVE-2010-0806 exploit)     * bypasskav.txt (part of exploit obfuscation code)           o notes.exe (backdoor installer)                 + note.exe (backdoor installer copy)                 + clipsvc.exe (backdoor installer copy)                      …