http://dnslookup.me/ddns/dynamic-dns-hosts/
공부
- DDNS List Gather 2015.08.19
- Gh0st Protocol 변형 이용한 Gh0st 통신 2015.08.10
- 윈도우 디렉토리 이름에 사용될 수 없는 것들 2015.08.04
- 악성 도메인 (2015.08.04) 2015.08.04
DDNS List Gather
2015. 8. 19. 11:29
Gh0st Protocol 변형 이용한 Gh0st 통신
2015. 8. 10. 17:20
gh0st bot으로 의심되는 악성 코드가 확인이 되고 있다. 해당 악성 코드를 gh0st bot으로 의심하는 이유는 gh0st protocol 포맷을 이용하기 때문으로 현재까지 추정/확인하고 있다.
또한 zlib 압축된 데이터를 decompress 했을 경우, C&C 서버로 전송되는 format이 gh0st bot이 C&C 통신할 때 사용되는 것과 동일하다.
gh0st protocol의 기본 형태 및 확인된 악성 코드에서 변형해서 사용된 형태는 아래와 같다.
Compressed data를 Decompress 할 경우, 확인되는 특정 문자열이 존재한다. 해당 문자열의 위치는 기존 Gh0st의 버전 정보 혹은 그룹 명을 위치한 곳으로 판단되며, 이를 통해 악성 코드 제작자(공격자)의 그룹을 유추해볼 수 있겠다.
윈도우 디렉토리 이름에 사용될 수 없는 것들
2015. 8. 4. 14:13
\ / : * ? " < > | 이외에 별도로 정리된 사용할 수 없는 특수 문자 리스트는 없는 것으로 확인
http://answers.microsoft.com/ko-kr/windows/forum/windows_7-files/%ED%8C%8C%EC%9D%BC%EC%97%90%EC%84%9C/579975f5-7602-441c-a889-4b2939b985be
악성 도메인 (2015.08.04)
2015. 8. 4. 11:27
ilo.brenz.pl
ant.brenz.pl
https://www.google.co.kr/webhp?hl=ko&tab=ww#newwindow=1&hl=ko&q=%22ilo.brenz.pl%22+%22ant.trenz.pl%22