CoInzBlog

https://www.boannews.com/media/view.asp?idx=113510 OneNote 파일 첨부한 원격제어 악성코드 이메일로 유포 마이크로소프트 OneNote 파일을 이용해 원격제어 악성코드인 AsyncRAT이 유포되는 정황이 포착돼 프로그램 사용자들의 각별한 주의가 요구된다. 이번 공격에서 특히 주목할만한 점은, 스팸메일 내 O www.boannews.com 최신 멀웨어 트랜드를 업무를 통해 종종 접하게 되는데, OneNote를 이용한 피싱 공격은 처음인 것 같다. CTI 미팅을 하면서 발표된 내용을 놓쳤을지는 모르겠지만, 내 기억으로는 처음이다. 일단, VirusTotal에서 아래 검색어로 찾아보면, 대부분 Invoice로 위장한 파일이 검색된다. name:"*.one" p:10+..

육아와 업무를 병행하다보니, 최신 보안 트랜드나 IT 기술이 어떻게 변화하고 있는지 잊고 있던 와중에도 ChatGPT의 소식을 동료를 통해 알게 됐다. 엄청난 AI가 나타났다나 뭐라나. 역시나 IT 쟁이들이 많이 서식하는 커뮤니티에도 많은 글들이 올라왔다. ChatGPT 서비스는 Slack 같은 메시지 서비스의 형태를 띄고 있는데, 챗봇과 같이 궁금한 것을 질문하면 응답을 표시해주는 방식이다. AI를 통해 질문을 인식 하고 기본적인 필터를 거쳐서 답변하는데, 번역 서비스를 이용하는지, 한글로 질문해도 원하는 답변을 해준다. 놀라운 점은 Context를 이해한다는 것인데, Base-line이 되는 질문을 하고 조금씩 살을 붙여가며 답을 요청하면, 어느 정도 수준까지는 원하는 답에 근접하게 알려준다. 특히,..

- Link https://pdf-insecurity.org/downloads/paper_reports_theses.html#attacks-on-pdf-signatures-certification-attacks-2021 https://pdf-insecurity.org/download/pdf-certification/exploits.zip So what is the problem? We investigate the following question: How dangerous are permitted changes in certified documents?. To answer this question we systematically analyze the allowed modifications in certifie..

참고 : http://msdn.microsoft.com/en-us/library/ee330728%28VS.85%29.aspx iexplore.exe [ [ -embedding ] [ -extoff ] [ -framemerging ] [ -k ] [ -noframemerging ] [ -nohangerecovery ] [ -private ] ] [ URL ] 구체적으로는 아래의 그림과 같다. iexplore.exe [ -embedding ] 이 기능은 영문 원문 그대로 옮긴다. Starts Internet Explorer through OLE embedding (such as the WebBrowser Control). [ -extoff ] 이 기능은 IE를 플러그인이 없이 깨끗하게 구동할 때 이용한다. ..

가볍게 노트를 하고 넘어가자. 'Borland Delphi' 파일을 보다보면 항상 보이는 리소스 항목 [ DVCLAL - Delphi Visual Component Library Access License ] 참고 : http://www.delphi3000.com/articles/article_2912.asp 위의 사이트에 나오는 내용 중에 " check if the correct version of Delphi is beeing used to compile the code " 문장을 보면, DVCLAL은 Delphi 바이너리가 정상적인 델파이 버전에 의해서 빌드(컴파일)가 되었는지 확인하기 위해서 이용되는 정보이다. 'SysUtils.pas' DVCLAL 정보를 이용하는 모듈 -> GDAL() : 'A..

Inside CRT: Debug Heap Management 참고 : http://www.codeguru.com/cpp/w-p/win32/tutorials/article.php/c9535 디버깅을 하다가 0xBAADF00D를 보게되었는데, 악성코드 제작자가 나름 의미를 부여해서 이용하는 값으로 생각했다. 그런데, 구글님께 물어보니 이런 정보가 나오네. RtlHeapAllocate() 함수와 관련된 것으로 보인다. 0xBAADF00D는 아래에 나와있는 것처럼 Alloc 함수(LMEM_FIXED)를 통해 Heap을 생성한 경우에 기본적으로 메모리에 Assign 되어있는 값이다. 아래는 RtlAllocateHeap 을 통해 생성된 메모리 공간이다. 00AB36BC 0D F0 AD BA 0D F0 AD BA 0..

샘플을 보다가 RtlEncodePointer, RtlDecodePointer 에 대해서 보게 되었다. 구글님 검색을 해봐도 정보가 없다. 이름 그대로 본다면, Pointer 정보를 암/복호화 한다는 것인데... 실제 어느 분석가님이 정보를 조금 남겨주셨다. 참고 : http://harunote.tistory.com/33 나도 함 따라가보았다. 위 블로그와는 조금 다르기는 하지만, 결과적으로는 동일하다. 아래의 두 코드를 보면, 주소만 다르고 구현 내용은 거거의 동일하다. 뭐 ㅎ 당연히 XOR 방식이니까... [ RtlEncodePointer ] [ RtlDecodePointer ]

SEH 설치하는 코드가 어떻게 구성되는지 검색해본 결과를 노트한다. [ 참고 사이트 ] http://www.rohitab.com/structured-exception-handling-in-assembly-language SEH Macros 01 @TRY_BEGIN MACRO Handler 02 pushad ;;Save Current State 03 mov esi, offset Handler ;;Address of New Exception Handler 04 push esi ;;Save Old Exception Handler 05 push dword ptr fs:[0] ;;Install New Handler 06 mov dword ptr fs:[0], esp 07 ENDM 08 @TRY_EXCEPT MAC..

보호되어 있는 글입니다.

일부 정상 키 값들 HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E}" : Fiddler - {D27CDB6E-AE6D-11CF-96B8-444553540000}" : Shockwave - {FB5F1910-F110-11D2-BB9E-00C04F795683}" : Windows Messenger HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist - {5E6AB780-7743-11CF-A12B-00AA004AE837}" : Microsoft Internet Toolbar - {75048700-EF1F-11D0-98..