촉촉한초코칩

보호되어 있는 글입니다.

문제 풀이 분석#!/usr/bin/env python3hex_list = [(hex(i)[2:].zfill(2).upper()) for i in range(256)]with open('flag.png', 'rb') as f: plain_s = f.read()plain_list = [hex(i)[2:].zfill(2).upper() for i in plain_s]enc_list = list(range(len(plain_list)))for i in range(len(plain_list)): hex_b = plain_list[i] index = hex_list.index(hex_b) enc_list[i] = hex_list[(index + 128) % len(hex_list)]enc_li..

문제 풀이Roman emperor's cipher에 대해 검색하면 카이사르 암호가 나온다.  카이사르 암호https://jo-gunhee.github.io/website1/dcode/dcodewebsite.html단어가 나오는 경우가 있다.

HxD로 봤을 때 특이한 건 발견하지 못했다.  https://stylesuxx.github.io/steganography/ Steganography OnlineEncode message To encode a message into an image, choose the image you want to use, enter your text and hit the Encode button. Save the last image, it will contain your hidden message. Remember, the more text you want to hide, the larger the image has to bstylesuxx.github.io위 페이지 이용해서 Decode 시도하면 flag가 나온다.

ModiLoader (DBatLoader) 해당 악성코드는 ModiLoade (DBatLoader)라고 불리며, 발주서(PO)로 유포되고 있다. 과거와 다른 점은 *.cmd(배치 파일) 확장자를 사용하지만 실제로는 CAB 압축 헤더 포맷을 악용해 악성코드를 생성 후 실행하는 Loader형 악성코드라는 것이다. 바이너리 구조 : CAB 헤더 ('MSCF') + Command line + PE (exe)확장자 : *.cmd더보기CAB 압축 헤더 포맷 Windows 환경에서 파일이나 데이터의 압축과 배포를 위해 사용하는 포맷 압축된 내용물에 대한 목차와 같은 역할을 한다. (해외에서는 'Threat Actor Turns a CAB File Into the Loader to Deployt ModiLoader'라..

개요 유포지는 실제 Notion 홈페이지와 유사하게 구현되어 있다. 다운로드 버튼을 클릭하면 “Notion-x86.msix” 이름의 파일이 다운로드된다. 해당 파일은 Windows app Installer이며 유효한 서명을 가지고 있다.더보기유효한 서명해당 프로그램이 신뢰할 수 있는 출처에서 작성되고 변조되지 않았음을 보장하기 위한 디지털 서명을 포함하고 있다는 뜻실행 후 설치를 누르면 Notion이 설치됨과 동시에 악성코드에 감염된다.  설치  설치 시 프로그램 경로에 StartingScriptWrapper.ps1, refresh.ps1 파일이 생성된다. StartingScriptWrapper.ps1 : 인자로 주어진 파워쉘 스크립트 파일을 실행하는 기능의 MS 서명을 가진 정상 파일 → 설치 과정에서..