악성코드 분석보고서 4

Lazarus Keylogger (HSMBalance.exe) (+복호화 추가)

분 석 MD5 34404a3fb9804977c6ab86cb991fb130 SHA256 : c6930e298bba86c01d0fe2c8262c46b4fce97c6c5037a193904cfc634246fbec 위 사진은 WinMain 코드이다. 생각보다 많은 기능이 존재하지 않는것 같고, sub_5B1370()만 분석하면 끝날 것 같다. 먼저 sub5b1370()함수 전체흐름을 보겠습니다. Temp 폴더에 Downloads라는 폴더를 하나 생성을합니다. [중요] 뒤에 나오겠지만, 이 경로에 키로깅 정보가 저장됩니다. 그리고 스레드 3개정도를 만들어 주는데, 이 쓰레드들이 핵심 기능을 합니다.! 이후 [중요] 'C:\Windows\Temp\TMP0389A.tmp' 경로에 특정파일이 생성됩니다. 이 파일에는 T..

Malware 2021.03.03

스미싱(국민건강검진센터) 악성코드 분석

어플리케이션 분석을 위한 기본적인 절차대로 APK파일에서 class.dex파일을 추출한 후 dex2jar을 이용해 디컴파일 해줍니다. 이후 jd-gui를 이용해 디컴파일 된 파일을 열어주고 본격적으로 분석을 시작합니다. 쓰기권한, 메세지 읽기, 메세지 받기, 외부저장소 쓰기, 등의 권한을 요구하고 있죠? 자세한 권한은 아래의 링크에서 찾아 보면 됩니다. developer.android.com/reference/android/Manifest.permission Manifest.permission | Android 개발자 | Android Developers developer.android.com 만약 if문에 걸리는 권한들이 없으면 그 [*] 동작에 필요한 권한 확인 및 사용자에게 요청 [참고] 과도한 권..

Malware 2020.12.19

신용카드 정보를 훔치는 POS 악성코드(Alina v3.4)

먼저 POS란? "판매시점 정보관리를 담당하는 기기이며 일반적으로 포스기라고 부르는 시스템을 이야기합니다." 라고 나와있네요 ㅎㅎ 사진 부터 보시죠 식당가면 카운터에 있는 기계를 POS라고 하는거 같아요 :) 본론으로 들어갑시다.. [참고] 샘플 : 1efeb85c8ec2c07dc0517ccca7e8d743 ( Alina v3.4 ) [참고] https://blog.alyac.co.kr/3097 언패킹 시도... 분석하기전에 앞서 필요한 상식부터 짚고넘어가 보겠습니다. [참고] 동기화란? - 작업들 사이의 수행 시기를 맞추는 것. - 사건이 동시에 일어나거나, 일정한간격을 두고 일어나도록 시간의 간격을 조정하는 것을 이른다. CriticalSection(임계영역)란? - 이 말을 '치명적 영역'으로 번역..

Malware 2020.08.28