악성코드분석소

美 최대 송유관 마비시킨 '다크사이드 랜섬웨어' 해당 악성코드 분석을 통해 IOCP, UAC Bypass, I/O우선순위, 세션ID를 이용한 프로세스 생성 등에 대한 개념을 배웠다. (운영체제에 대한 지식이 좀 필요했던 것 같다.) 아,,, 분석보고서는 완성하지 않았다... 나머지 부분은 안봐도 뻔...... (그렇다고 내가 잘해서는 아니다) idb (주석포함) 이 링크 꼭 읽어보길 추천한다. ( 윈도우 세션을 이용한 프로세스 생성?) (https://stackoverflow.com/questions/301290/how-can-i-o-priority-of-a-process-be-increased) IO우선순위를 3으로 셋팅해준다. NtSetInformationProcess API 호출을 통해 프로세스의 ..

보호되어 있는 글입니다.

서 론 요즘 이슈가 되고 아이폰도 해킹한다는 그 NSO의 페가수스!!! ''' NSO그룹은 국가의 정부기관을 대상으로 테러와 범죄를 막는 데 사용하는 최고 수준의 스파이웨어 기술을 개발하는 기업이다. NSO그룹이 페가수스를 개발한 목적 또한 범죄나 테러를 막기 위함이다. 멕시코 정부가 스파이웨어를 사용, 마약왕 ‘엘 차포’의 인맥들이 사용하는 휴대전화에 침투해 그의 은신처를 찾아낸 사례는 페가수스가 범죄조직과 싸우는 데 유용한 무기가 될 수 있음을 보여준다. ''' 원래의 페가수스를 만든 목적은 이렇다고한다. 자세한 내용은 아래의 링크를 참고하면 될 것 같다. https://www.dailysecu.com/news/articleView.html?idxno=105797 https://m.boannews.c..

분 석 MD5 34404a3fb9804977c6ab86cb991fb130 SHA256 : c6930e298bba86c01d0fe2c8262c46b4fce97c6c5037a193904cfc634246fbec 위 사진은 WinMain 코드이다. 생각보다 많은 기능이 존재하지 않는것 같고, sub_5B1370()만 분석하면 끝날 것 같다. 먼저 sub5b1370()함수 전체흐름을 보겠습니다. Temp 폴더에 Downloads라는 폴더를 하나 생성을합니다. [중요] 뒤에 나오겠지만, 이 경로에 키로깅 정보가 저장됩니다. 그리고 스레드 3개정도를 만들어 주는데, 이 쓰레드들이 핵심 기능을 합니다.! 이후 [중요] 'C:\Windows\Temp\TMP0389A.tmp' 경로에 특정파일이 생성됩니다. 이 파일에는 T..

서 론 최근 스미싱 공격이 활발하게 이루어 졌다고 해서 스미싱 URL을 찾던 중!!! 다른 악성앱을 발견하였고, 재미있어보여 분석을 해보았습니다. 중국에 서버를 둔 불법 성매매 소개 사이트에서 정상적인 앱이 아니라 악성 앱을 유포한다. 분 석 이 사이트는 안드로이드 앱 뿐만아니라 아이폰용 앱도 설치가 가능하다. 아이폰은 상대적으로 악성앱으로 부터 안전한 것으로 알고 있습니다. 또한 AppStore에 등록 되기까지 몇가지 절차를 거친 후 등록이 되는 것으로 알고 있구요. 하지만 [TIP] 위 사이트 처럼 아이폰에 AppStore에 올라 와있지 않은 앱을 설치할 수 있는 이유는? 'Apple Developer Enterprise Program'방식을 이용한 것이다. 이제 이 어플리케이션이 성매매 연결을 시켜..

Emotet 악성코드의 행위를 간단하게 설명 드리면 사용자PC를 감염시키고, C&C서버와 통신을 하면서 시스템 정보와 금융정보를 탈취하는 행위를 합니다. 주로 이메일을 통해 유포가 되고 악의적인 스크립트를 삽입한 문서를 열게끔 만들어 PC감염을 시킵니다. 참조 : asec.ahnlab.com/ko/1358/ 5개월만에 돌아온 Emotet 악성코드!! 국내 유포 중 - ASEC BLOG AhnLab Security Emergency response Center asec.ahnlab.com Malware 샘플은 아래의 링크에서 구하였습니다.! www.malware-traffic-analysis.net/2020/12/28/index.html Malware-Traffic-Analysis.net - 2020-12..

어플리케이션 분석을 위한 기본적인 절차대로 APK파일에서 class.dex파일을 추출한 후 dex2jar을 이용해 디컴파일 해줍니다. 이후 jd-gui를 이용해 디컴파일 된 파일을 열어주고 본격적으로 분석을 시작합니다. 쓰기권한, 메세지 읽기, 메세지 받기, 외부저장소 쓰기, 등의 권한을 요구하고 있죠? 자세한 권한은 아래의 링크에서 찾아 보면 됩니다. developer.android.com/reference/android/Manifest.permission Manifest.permission | Android 개발자 | Android Developers developer.android.com 만약 if문에 걸리는 권한들이 없으면 그 [*] 동작에 필요한 권한 확인 및 사용자에게 요청 [참고] 과도한 권..

라자루스그룹이 한국을 타겟으로 악성코드를 제작해 메일로 발송했다고한다. 뭐,, 내용은 위와 같다고 한다. 분 석 hwp 악성코드는 postscript를 이용하는 것이 많이기 때문에 본능적으로 hwpscan2를 이용하여 postscript를 확인 해보았다. PostScript를 decompress 해보면 위와 같은 '/image

문제 풀이를하기 보다는 문제를 풀면서 몰랐던 '기술?'이나 '신박하다!'라고 생각했던 부분들을 추려서 정리해보려고 합니다. 바이너리를 받자마자 '매크로 악성코드'라고 생각 했다. (분석경험에서 나온 감 이랄까?) 아무튼 매크로 코드를 추출하려고 구글링 하면서 오만 가지 별짓을 다해보았는데 추출이 안되는 것입니다 ㅡㅡ 결국 동적 분석을 선택했고 문서를 실행시켜보았습니다. 암호를 풀 수 있는 방법을 찾아보니 다음과 같다. ------ [*] Doc Project 암호 제거 ------ [핵심] DPB를 DPX로 바꿔줍니다. 드디어 코드를 볼 수 있었다.!!!!!!!!!!!!!!! 하지만, 여기서 바로 분석을 하는 것이아니라 [중요] '도구>VBAProject 속성의 탭메뉴 보호에서 새 암호를 입력후 프로젝트..

먼저 POS란? "판매시점 정보관리를 담당하는 기기이며 일반적으로 포스기라고 부르는 시스템을 이야기합니다." 라고 나와있네요 ㅎㅎ 사진 부터 보시죠 식당가면 카운터에 있는 기계를 POS라고 하는거 같아요 :) 본론으로 들어갑시다.. [참고] 샘플 : 1efeb85c8ec2c07dc0517ccca7e8d743 ( Alina v3.4 ) [참고] https://blog.alyac.co.kr/3097 언패킹 시도... 분석하기전에 앞서 필요한 상식부터 짚고넘어가 보겠습니다. [참고] 동기화란? - 작업들 사이의 수행 시기를 맞추는 것. - 사건이 동시에 일어나거나, 일정한간격을 두고 일어나도록 시간의 간격을 조정하는 것을 이른다. CriticalSection(임계영역)란? - 이 말을 '치명적 영역'으로 번역..