DarkSoul.Story

아래 내용은 연구 목적으로 작성되었으며, 해당 소스코드를 악의적인 목적으로 사용하는것은 절대 엄금합니다. 악의적으로 사용하여 발생할수 있는 모든 문제는 사용한 사용자에게 있습니다. 1. 개요 Filename:MvLove_c.apk MD5:a5a1cd816cf456d2f16d3525061e5227 SHA-1:fa239e162870d1b9407c0756d1c33dc6f675801f File Size:190103 BytesAPI Level:7 2. 분석 내용 MvLove_c.apk파일이 설치가 되면 MVLove 아이콘이 생성된다. 생성된 아이콘을 클릭하면 아래와 같이 [Webpage not available]을 출력해준다. 초기 배포 당시에는 http://www.mvlove.net에 접속이 가능했을 수 있으나..

Analysis 2013. 4. 22. 16:52

아래 내용은 연구 목적으로 작성되었으며, 해당 소스코드를 악의적인 목적으로 사용하는것은 절대 엄금합니다. 악의적으로 사용하여 발생할수 있는 모든 문제는 사용한 사용자에게 있습니다. 1. 개요 Filename:lotteria_cp.apkMD5:9ff5ee1d8a719cf00bb40c0253875938 SHA-1:66cef8f21ffee1ebea00ea95d31175bc9349cbf8 File Size:83984 BytesAPI Level:5 2. 분석 내용 lotteria_cp.apk파일이 설치가 되면 롯데리아 아이콘이 생성된다. 생성된 아이콘을 클릭하면 아래와 같이 [Hello world] 문자만 보이며 아무 현상도 일어나지 않는다. androapkinfo.py를 이용하여, lotteria_cp.apk의..

Analysis 2013. 4. 21. 21:33

아래 내용은 연구 목적으로 작성되었으며, 해당 소스코드를 악의적인 목적으로 사용하는것은 절대 엄금합니다. 악의적으로 사용하여 발생할수 있는 모든 문제는 사용한 사용자에게 있습니다. 1. 개요 스미싱 문자로 전파되고 있는 알약 모바일 백신 위장 파일인 alayc.apk에 대해서 살펴 본다. Filename:alyac.apk MD5:d400c1b9392063fc888cb942c7ecb6ac SHA-1:69ab7756949624714b751244f704e7d5573183aa File Size:306923 BytesAPI Level:5 현재 전파되고 있는 알약 모바일 백신 위장 스미싱은 아래와 같은 유형으로 전파되고 있다. (추가 확인 시 업데이트 예정) 2. 분석 내용 알약 모바일 백신 위장 스미싱 (alya..

Analysis 2013. 4. 21. 18:15

아래 내용은 연구 목적으로 작성되었으며, 해당 소스코드를 악의적인 목적으로 사용하는것은 절대 엄금합니다. 악의적으로 사용하여 발생할수 있는 모든 문제는 사용한 사용자에게 있습니다. 1. 개요 근래에 이슈가 되고있는 스미싱에 사용되는 파일로, 필자가 받은 문자 내용은 아웃백 결재 내역 확인 문자였다. 스미싱에 대한 내용은 경찰청 사이버 테러 대응 센터 신종 모바일 사기 제대로알고 대처하는 방법 ( http://www.netan.go.kr/pop/smishing.html)을 참고하기 바란다. Filename:smartbilling.apk MD5:2d6ff3b040feb910f34175cf7ac1ca0b SHA-1:97cc713272a4499c5b6b48ef9caa4203d5eacb10 File Size:49..

Analysis 2013. 3. 30. 12:37

개요 ICMP(Ping) 패킷에 Data를 넣어 전송 하는 PingTunneling 패킷을 분석 해보자. 상세 분석 Ping 유틸리티는 목적지에 ICMP Request를 전송한 다음, 목적지로 부터 ICMP Response를 받는 방식으로 동작하는데, ICMP Request / ICMP Response 패킷에 아무 의미 없는 값을 채워 전송할 수 있는 공간이 마련되어 있다. 즉, Ping에 적절한 인자값을 넣어 주면, 패킷의 길이를 지정할 수 있다. Ping의 또다른 특징은 Ping을 사용했을 때, Request / Response 패킷의 의미없는 값은 서로 같지 않아도 되며, Ping Request는 어플리케이션에서 전송하지만, Response는 커널에서 이루어 진다. 이러한 특징을 이용하여, Ping..

Analysis 2013. 1. 30. 12:29

일반적인 HTTP 통신은 [그림.1]과 같이 클라이언트가 HTTP 서버에 요청을 하면, HTTP 서버는 상태 코드로 응답한다. [그림.1 일반적인 HTTP 통신] HTTP 서버가 보내는 상태 코드 중 가장 많이 확인 할 수 있는 상태 코드는 다음과 같으며, http://www.iana.org/assignments/http-status-codes/http-status-codes.xml에서 자세한 상태 코드를 확인 할 수 있다. 코드값설명200OK403Forbidden404Not Found500Internal Server Error503Service Unavailable[표.1 상태 코드] HTTP 요청은 HTTP 요쳥 목적을 정의하는 메소드로 구성되어 있으며, HTTP 응답은 상태 코드라고 말하는, 수치상..

Analysis 2013. 1. 30. 11:37

MTP는 전자우편을 보내고 받는데 사용되는 TCP/IP 프로토콜이며, 기본적으로 25포트를 사용하지만, 특정 포트로 변경하여 설정할 수 있다. SMTP도 POP와 마찬가지로 기본적으로 보안 기능을 제공하지 않는다. [그림.1 일반적인 SMTP 통신] 1. 3-way handshaking 과정을 거친 후 SMTP 서버는 준비가 되었다는 것을 알리는 코드 220으로 응답한다. 2. 클라이언트는 호스트 이름과 HELO 또는 EHLO를 전송한다. HELO : 표준 SMTP 세션 시작 EHLO : 메일 서비스 확장을 지원하는 SMTP세션 시작 3. 클라이언트는 MAIL FROM과 함께 form 이메일 주소를 제공한다. 4. (4-1.) 이메일 주소를 제공 받은 SMTP서버는 이를 승인 한다. 만약 승인이 되지 않..

Analysis 2013. 1. 30. 11:35

POP 3(Post Office Protocol v3)은 수신하는 계정의 메일 박스에서 메일을 가져오는 프로토콜로 대부분의 이메일 클라이언트에서 채택하여 사용 하고 있으며, TCP 110번 포트를 사용한다. POP 자체는 이메일 데이터 전송함에 있어 보안을 제공하지 않는다. 다음은 일반적인 POP 통신을 보여준다. [그림.1 일반적인 POP 통신] 1. 사용자가 계정 ID와 Password를 입력하면, POP 서버는 이메일이 몇 개 도착하였는지, 클라이언트에게 알린다. ([그림.1]에서는 1개의 메시지가 있다고 알린다.) 2. 클라이언트가 메시지의 상태를 묻는다. 3. POP 서버는 해당 메시지의 크기를 클라이언트에게 알려준다. 4. 클라이언트는 해당 메시지의 고유 ID를 묻는다. 5. POP 서버는 해..

Analysis 2013. 1. 30. 11:33