악성코드분석소

어플리케이션 분석을 위한 기본적인 절차대로 APK파일에서 class.dex파일을 추출한 후 dex2jar을 이용해 디컴파일 해줍니다. 이후 jd-gui를 이용해 디컴파일 된 파일을 열어주고 본격적으로 분석을 시작합니다. 쓰기권한, 메세지 읽기, 메세지 받기, 외부저장소 쓰기, 등의 권한을 요구하고 있죠? 자세한 권한은 아래의 링크에서 찾아 보면 됩니다. developer.android.com/reference/android/Manifest.permission Manifest.permission | Android 개발자 | Android Developers developer.android.com 만약 if문에 걸리는 권한들이 없으면 그 [*] 동작에 필요한 권한 확인 및 사용자에게 요청 [참고] 과도한 권..

라자루스그룹이 한국을 타겟으로 악성코드를 제작해 메일로 발송했다고한다. 뭐,, 내용은 위와 같다고 한다. 분 석 hwp 악성코드는 postscript를 이용하는 것이 많이기 때문에 본능적으로 hwpscan2를 이용하여 postscript를 확인 해보았다. PostScript를 decompress 해보면 위와 같은 '/image

먼저 POS란? "판매시점 정보관리를 담당하는 기기이며 일반적으로 포스기라고 부르는 시스템을 이야기합니다." 라고 나와있네요 ㅎㅎ 사진 부터 보시죠 식당가면 카운터에 있는 기계를 POS라고 하는거 같아요 :) 본론으로 들어갑시다.. [참고] 샘플 : 1efeb85c8ec2c07dc0517ccca7e8d743 ( Alina v3.4 ) [참고] https://blog.alyac.co.kr/3097 언패킹 시도... 분석하기전에 앞서 필요한 상식부터 짚고넘어가 보겠습니다. [참고] 동기화란? - 작업들 사이의 수행 시기를 맞추는 것. - 사건이 동시에 일어나거나, 일정한간격을 두고 일어나도록 시간의 간격을 조정하는 것을 이른다. CriticalSection(임계영역)란? - 이 말을 '치명적 영역'으로 번역..

정적분석 샌드박스 결과를 보면 흐름은 대충 이러하다고 추측이 가능합니다. "자식프로세스를 생성하고 거기에 코드인젝션?이나 특정행위를 하게 한다." 정도 추측이가능합니다. IDA로 분석 도중 AutoIt으로 만들어진 바이너리라는 것을 알게 되었습니다. "exe2auit"을 이용해 디컴파일 해서 분석할 수 있었지만 디컴파일전 먼저 IDA로 분석을 해보았습니다. CreateProcess에 bp를 걸고 자식프로세스를 생성할때 잡을려고햇는데 왜 안되지 ㅡㅡ 그래서 결국 분석보고서를 보고 힌트를 얻었다. [중요] 안티후킹?(정확한 용어가 맞는지 모르겠다.)이 적용 되어있었다. 보통 프로그램이 실행이되면 ntdll, kernel.dll 등 기본적인 dll이 로딩이 되는데 이때 0x7xxxxxxx주소로 로딩이된다. 하..