일기장 (47) 썸네일형 리스트형 Resize4Insta 인스타용 이미지 비율 1:1 조절 무료 앱(내돈내만) - 안드로이드 1. 인스타의 시작 인스타에 다양한 사진 여러장을 업로드를 하다보니 사진마다 비율이 달라서(가로가 길거나, 세로가 길거나) 사진이 짤리는 현상을 겪게되었다 2. 인스타 사이즈 이때 주변에 물어보게되어 '인스타사이즈' 라는 앱을 알게되었고 이 앱은 사진이 잘리지 않고 1:1비율로 변경시켜주는 기능이 메인이였다 인터페이스도 단순하고 빠르고 편리하고 딱 내가 원하는 기능을 동작하였는데 예를들어 640x320사이즈의 사진이 있다고 하면 1:1비율에 부족한 320이란 세로의 길이를 채워주어 640x640의 이미지로 변경시켜 주었다 문제는 사진 하나 변경할때마다 결제하여 프리니엄 기능을 사용해보란 창이 뜨는데 여간 성가신게 아니다 게다가 적정한 금액에 구매하는거면 결제해서 쓰겠는데 매달 결제하는 구독형태고 금액도 .. 2021 상반기 회고록 우선 들어가기 앞서 나에게 있어 회고록은 먼가 네카라쿠배당토 같은 유명한 기업에 다니는 개발자가 멋진 프로젝트를 잘 이끌고 쓰는 자기 자랑 겸 쓰는 글이라 생각하였으나 '함께 자라기' 애자일로 가는 길을 읽고 내 발전을 위해 일기 쓰듯 써보는 것도 좋다고 생각되어 쓰게 되었다 1. 회사 회사에선 작년 악성코드 사건 이후로 큰 이슈거리는 없었으나 내가 자주 다뤄보고 익숙한 분야가 아닌 쪽들 프로젝트 위주로 진행하며 일정도 빠듯했기에 티는 안 냈지만 제법 맘에 부담을 가지고 보냈었다 기존엔 델파이 위주의 윈도우 어플리케이션을 했었으나 이번 상반기에는 네이티브언어를 크로스컴파일 하여 안드로이드 SDK를 만드는 걸 위주로 했었다 정보도 많이 없고 아는 거도 많이 없다 보니 삽질을 많이 했다 게다 연차가 쌓이다 .. 악성코드 공격 -8 (작업 스케줄러 숨기기+ rundll32 방식) 1. 증상 윈도우 작업스케줄러에 악성코드가 삽입되어 주기적으로 실행 2. 원인&공격 방식 분석 악성코드 7에서 달라진점은 스케쥴러를 기존엔 새로 만들었었는데 윈도우에 원래 존재하는 스케쥴러를 수정해서 감염시키는 방식 + cmd.exe가 배치를 실행시키는 것이 아니라 rundll32를 이용하여 dll파일 내 함수를 호출하여 배치를 실행하도록 변경 악성 스케줄러를 기존에 윈도우에 존재하는 스케쥴러를 수정하여 사용 스크린샷 3. 해결방법 모든 작업스케줄러를 읽어와서 랜덤명의 DLL파일을 rundll32로 실행하는 것 추적 후 dll삭제 4. 기타 이 악성코드는 정확히는 우리를 공격했지만 실제론 윈도우도 공격하여 일반 유저들도 피해대상이라고 볼 수 있다 리소스를 많이 먹진 않지만 무한루프 돌면서 리소스 낭비에 .. 악성코드 공격 -7 (작업스케줄러 + NirCmd.exe, conhost.exe) 1. 증상 주기적으로 특정 경로에 DLL파일과 exe파일 삭제 , 프로세스 킬 2. 원인&공격 방식 분석 *악성코드 설치 파일을 우선적으로 획득하여 분석하였습니다 증상부터 확인 후 추측은 매우매우매우 힘들어 보입니다 1) 악성코드(exe)파일 실행 시 악성 작업스케줄러(xml) 2개와 커맨더(exe) 3개 악성 행위 파일(bat) 2개를 꺼낸 뒤 자기 자신은 삭제함 2) 특정 일자,시간이 되면 스케줄러가 랜덤 파일명의 커맨더(윈도우 cmd와 동일)를 통해 아규먼트로 악성bat1 실행 3) bat를 메모장으로 열어보면 랜덤명의 커맨더 (NirCmd.exe : NirSoft사에서 무료로 제공하는 커맨더인데 관리자 권한 획득, 숨김 실행 기능이 있어서 악성코드에 종종쓰임)를 실행 4) 관리자권한을 받고 숨김 .. 악성코드 공격 -6 (작업 스케줄러, VB스크립트+bat) 1. 증상 - 증상 발생 전 우선 대응하여 겪은 증상은 없었으나 동작 방식은 특정 프로세스킬, 특정 파일 삭제 2. 원인&공격 방식 분석 1) 특정시간대에 (금요일 저녁, 토요일) 반복적으로 악성코드들이 동작함 2) 윈도우 작업 스케줄러에 등록돼서 동작하는 것을 의심 3) 보안업체에서 악성코드 설치 프로그램을 복원해냄 4) 열어보니 작업 스케줄러 등록용 xml파일과 이를 동작하는 bat파일 존재 5) bat는 xml을 작업스케줄러에 등록시키고 최초 설치 exe파일, bat파일, xml 모두 제거함 6) 해당 작업스케줄러는 vbs파일을 특정 시간에 실행함 (금요일 저녁, 주말 ㅡ.ㅡ) 7) 그리고 vbs파일은 특정경로에 .bat파일을 실행하는데 그 bat 내용은 특정 프로세스를 kill 하고 특정 파일을 .. 악성코드 공격 -5 (비밀폴더 변형 + Registry Guard Service) 1. 증상 특정 DLL ,EXE 파일들이 사라지고 DLL 로드 시 에러가 발생(파일이 없다는 내용이 아닌 열 수 없다는 에러 내용) 해당 파일을 넣으려고하면 '폴더가 비어있습니다' 라는 에러 (공격4와 동일)인데 기존 대응방식으로 해결이 안되는 증상 발견 2021.05.25 - [일기장/악성코드] - 악성코드 공격 -4 (oh!soft - 비밀폴더(hfFilter.sys) / 미니필터) 2. 원인&공격 방식 분석 - 공격 방식은 같되 미니필터명을 랜덤으로 (예 : L62ca2xxzf4oyVF7) 변경 - (1주 뒤 추가) MS에서 제공하는 인증서를 입혀서 정상적인 파일로 둔갑 - (1주 뒤 추가) hfFilter.sys 파일 이름도 난수로 변경 - (2주 뒤 추가)악성 필터 서비스 레지스터를 삭제하지 못.. 악성코드 공격 -4 (oh!soft - 비밀폴더(hfFilter.sys) / 미니필터) 1. 증상 특정 DLL ,EXE 파일들이 사라지고 DLL 로드 시 에러가 발생(파일이 없다는 내용이 아닌 열 수 없다는 에러 내용) 해당 파일을 넣으려고하면 '폴더가 비어있습니다' 라는 에러 2. 원인&공격 방식 분석 1) dll, exe를 지웠다고 판단해 복사해서 넣어보니 이미 존재한다고 뜨며 덮어쓰기 하면 폴더가 비어있습니다 라는 에러 발생 2) 악성코드 감염 후 재부팅하면 그때부터 파일이 사라짐 3) 감염된 파일명 변경 시 사라지지 않음, 폴더명 변경 시 사라진 파일이 보임 4) 3번으로 인해 특정 경로에 특정 파일을 무언가가 숨기고 있다고 판단 5) 보안 전문 업체에서 의심스러운 드라이브 파일 찾음 6) 해당 드라이브 파일은 oh!soft사의 '비밀폴더' 라는 소프트웨어에서 사용되며 윈도우 로드 .. 악성코드 공격 -3 (인증서 차단 / 신뢰지 않은 게시자) 1,2 차례 공격을 막고 나니 공격을 치료하는 프로그램에 쓰인 인증서를 차단하여 동작하지 못하게 하였다 1. 증상 '시스템 관리자가 이 앱을 차단하였습니다' 2. 원인&공격 방식 분석 배포사측 인증서를 신뢰되지 않은 게시자에 등록하여 해당 인증서로 쓰인 프로그램들이 실행할 수 없게 만듦 3. 해결방법 - 우선 신뢰되지 않은 게시자에서 직접 눌러서 제거도 가능하나 불특정 다수 PC에 일일이 설정할 수 없으므로 해당 정보가 들어있는 레지스터 삭제 procedure UntrustedCertificates; const //신뢰할 수 없는 인증서 레지스터 경로 Key = '\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\Certificates'; FP1 =.. 이전 1 2 3 4 5 6 다음
