1q

[서론] 시스코 탈로스 및 안랩을 비롯해 트위터에서 많은 보안 연구자들이 bisonal 악성코드에 대한 포스팅을 업로드한 것을 확인했다. 보고서에 포함된 bisonal 악성코드의 변천사를 요약하여 유포된 시간 순서로 진행된다. ※ 개인의 의견이 조금 반영되긴 했지만, 직접 분석한 악성코드 분석 글이 아닌, 보안 벤더 보고서들의 자료를 대상으로 작성되는 survey 형태의 글이다. [Cisco Talos 및 Ahnlab 요약][1][2] 3월 5일 시스코 탈로스 보안 연구원들은 지난 10년간 Bisonal 악성코드를 탐지 및 외부에 공개했다. 그러나 그 뒤에 있는 위협 행위자(Tonto team)는 멈추지 않았다. 공격자들의 타겟은 한국, 일본, 러시아 조직이었으며, 해당 악성코드는 탐지율을 낮추고 ini..

지인에게 소개받은 안드로이드 앱 분석 플랫폼(koodous)에 대해 주요 부분을 소개하고자 합니다. 이와 비슷한 플랫폼으로 대표적으로 HybridAnalysis, Malwares.com, Virustotal.com (이름 순)이 있습니다. 현재 BETA 버전으로, 현재 무료 기능이 언젠가는 유료 서비스로 변경될 것으로 예상이 됩니다. Koodous docs에 따르면 Koodous는 방대한 APK 저장소를 통해 분석가 간의 사회적 상호 작용을 결합한 Android 악성코드 연구를 위한 협업 플랫폼이라고 소개합니다. 방대한 기능 중에 제가 흥미로운 몇 가지만 작성해보려고 합니다. [그림 1]은 무료로 가입(이메일 인증 필요)하면 표시되는 대시보드 화면입니다. 탐지된 샘플의 갯수들과 사용자들이 선택하는 앱의 ..

[apscheduler 사용 시 에러]No handlers could be found for logger “apscheduler.executors.default” [해결 방법] 아래 코드를 main 코드에 작성import logginglogging.basicConfig() 출처 : https://stackoverflow.com/questions/28724459/no-handlers-could-be-found-for-logger-apscheduler-executors-default

Virustotal API 3.0 is upgraded yesterday. amazing of added things is offering malware hunting api.three key concepts of API 3.0 is objects, collections, relationships.An object is any item that can be retrieved or manipulated using the API. Files, URLs, domain names and VT Hunting rulesets are some the object types exposed by the API.A collection is a set of objects. Objects in a collection are ..

12345678910111213141516171819202122232425262728293031323334353637from idautils import *from idaapi import *from idc import *from binascii import hexlify filename = GetInputFile()start = MinEA()end = MaxEA()cur_addr = start byte_a = bytearray()byte_s = list() while cur_addr

123ea = ScreenEA()buf = idc.GetManyBytes(ea, ItemSize(ea)) Colored by Color Scriptercs

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051from idautils import *from idaapi import *from idc import * def decompile_func(ea): if not init_hexrays_plugin(): return False f = get_func(ea) if f is None: return False try: cfunc = decompile(f); if cfunc is None: # Failed to decompile return False except Exception as e: return 'DecompileFail' lines = ..

below PostScript is maked encoded shellcode. 12345678910111213# 23 2D 62 78 0B 00 84 83 D7 16 16 92 96 51 41 BB# 4E A3 B4 85 75 2D 60 E7 5F 7F 72 D3 72 FE 12 E4key = bytearray([0x4E, 0xA3, 0xB4, 0x85, 0x75, 0x2D, 0x60, 0xE7, 0x5F, 0x7F, 0x72, 0xD3, 0x72, 0xFE, 0x12, 0xE4])data = bytearray(open('encoded_shellcode.bin', 'rb').read()) def xor(data, key): l = len(key) return bytearray(( [(data[i] ^ ..