본문 바로가기
Analysis

48. Skuld Stealer

p3ngdump 2023. 6. 22. 17:09

2023.06.27 추가

아래 VirusTotal Blog 에서 공개한 PyPI 악성코드 분석 내용 중 Discord Token Grabber 등이 Skuld Stealer와 거의 동일한 것을 확인하였다. Skuld 제작자는 해당 악성코드를 차용 혹은 거의 그대로 가져와 구현한 것으로 보여진다.

https://blog.virustotal.com/2023/06/inside-of-wasps-nest-deep-dive-into.html

-----------------------------------------------------------------------------------------------------------------------------------------

 

얼마전, Go 언어로 제작된 Skuld Stealer 가 등장했다. Trellix 社 에서 해당 샘플을 분석한 바 있다.

https://www.trellix.com/en-us/about/newsroom/stories/research/skuld-the-infostealer-that-speaks-golang.html#appendixe

 

Skuld: The Infostealer that Speaks Golang

In May 2023, the Trellix Advanced Research Center discovered a new Golang stealer, known as Skuld, that compromised systems worldwide. The malware targets sensitive information stored in certain applications, such as Discord and web browsers, and the Windo

www.trellix.com

 

Go 언어로 작성된 악성코드를 경험해볼 겸 분석하였다.

 

분석 환경 Windows 10
hash d11efad7ebe520ccc9f682003d76ebfabd5d18b746a801fefbf04317f7ae7505
악성코드 종류 스틸러

 

해당 악성코드는 피해자 PC에 침투해 디스코드 계정 정보 등 디스코드 관련 정보 및 브라우저 정보들을 탈취한다. 또한, 피해자가 암호화폐 지갑 주소를 복사한 것을 감지하면 복사된 주소를 공격자의 암호화폐 지갑 주소로 바꾸는 행위를 수행한다.

 

Skuld 스틸러는 Go 언어를 기반으로 제작되어 분석시 일반 exe 파일에 비해 구조가 복잡한 형태를 띈다. 분석을 돕기 위해 맨디언트에서 공개한 GoReSym이라는 도구가 존재한다. GoReSym은 Go 언어 기반의 실행 파일에서 프로그램 메타데이터, 함수 메타데이터 등을 추출해주는 도구이다. 해당 도구를 사용하면 Go 언어 악성코드 분석을 더 편하게 할 수 있다.

https://github.com/mandiant/GoReSym

 

GitHub - mandiant/GoReSym: Go symbol recovery tool

Go symbol recovery tool. Contribute to mandiant/GoReSym development by creating an account on GitHub.

github.com

 

Skuld 스틸러의 메인 수행 루틴은 main.main 함수에 존재한다. 해당 함수 내에서는 총 9개의 핵심 함수가 존재하며 각각 함수의 행위는 다음과 같다.

  - fakeerror.Run : 가짜 에러창을 띄우는 함수

  - antidebug.Run : 분석 환경 감지 함수

  - injection.Run : 디스코드 해킹 방지 프로그램 우회 함수

  - discodes.Run : 디스코드 계정 정보 등 디스코드 정보 탈취 함수

  - browsers.Run : 브라우저 정보 탈취 함수

  - system.Run : 시스템 정보 탈취 함수

  - tokens.Run : 토큰 탈취 함수

  - files.Run : 탈취 파일 업로드 함수

  - clipper.Run : 암호화폐 지갑 주소 감지 함수

main 함수

 

가장 먼저 fakeerror.Run 함수에서는 피해자가 Skuld 악성코드 실행시 악성코드라는 의심을 하지 않도록 에러 창을 띄우는 역할을 한다. 피해자가 단순 프로그램 에러라고 생각하도록 유도한다.

fakeerror 함수

 

에러창을 띄운 이후에는 악성코드가 동작하고 있는 환경이 분석 환경인지를 감지한다. 해당 함수에서는 각각 아래와 같은 요소들을 확인한다.

  - 유저 블랙리스트

  - PC 블랙리스트

  - HWID 블랙리스트

  - IP 블랙리스트

  - 실행중 환경 화면 크기

  - 실행중 컴퓨터 Suspend 모드 여부

  - 레지스트리 내 가상 환경 키 존재 여부

 

위 요소들이 감지될시에는 악성코드 동작을 중지하는 루틴이 포함되어 있다.

antidebug 함수

 

antidebug.Run 내 각각 함수를 하나씩 살펴본다. 먼저 isBlackListedUser 함수는 피해자 PC의 유저네임을 확인한 후, 블랙리스트에 있는 유저네임과 비교한다.

isBlackListedUser 함수
유저네임/블랙리스트 유저네임 중 하나

 

전체 블랙리스트 유저 네임은 본 글 마지막에 정리해두었다.

 

isBlackListedPC 함수는 피해자의 PC 명을 확인한 후, 블랙리스트에 있는 PC명과 비교한다.

isBlackListedPC
컴퓨터명/블랙리스트 PC명 중 하나

전체 블랙리스트 PC명은 본 글 마지막에 정리해두었다.

 

isBlackListedHWID 함수는 피해자의 HWID 를 확인하고 블랙리스트와 비교한다. 피해자의 HWID를 얻기 위해 wmic 명령을 사용한다.

isBlackListedHWID
wmic 명령 사용

 

전체 블랙리스트 HWID는 본 글 마지막에 정리해두었다.

 

isBlackListedIP 함수는 https://api.ipify.org 를 이용해 피해자 PC IP 값을 얻어온 뒤 블랙리스트와 비교한다. 또한, MAC 값도 함께 비교한다.

isBlackListedIP 함수
ipify.org/블랙리스트 IP 중 일부
MAC 비교

 

전체 블랙리스트 IP 및 MAC 값은 본 글 마지막에 정리해두었다.

 

isScreenTooSmall 함수는 피해자 PC의 화면 크기 값을 가져온다. 200x200 이하인지를 비교하며 200x200 이하의 크기일 경우 가상환경으로 판단한다.

isScreenTooSmall 함수
PC의 화면 값 획득
200x200과 비교

 

isComputerSus 함수는 컴퓨터 상태가 Suspend 인지 확인한다. 만약 Suspend 모드에 있을 경우, 분석 환경 및 악성코드 실행에 적합하지 않은 환경으로 판단한다. 또한, 동시에 시스템의 총 메모리 양도 확인한다. 총 메모리 양이 2GB 이하일 경우 분석환경으로 판단한다.

isComputerSus 함수

 

registryCheck 함수는 피해자 PC의 레지스트리 키 내 Vmware, Vbox 등의 문자열이 존재하는지 확인한다. 만약 존재할 경우 분석환경으로 판단한다.

registryCheck 함수
레지스트리 키 확인
키 값 내 DriverDesc, ProviderName 확인
VMware / VBOXWORK 문자열 확인

 

전체 레지스트리 확인 경로는 본 글 마지막에 정리해두었다.

 

이외에도 x96dbg 등 디버거의 실행 등도 확인한다. 앞서 설명한 분석환경 확인시에는 악성코드의 동작을 멈추는 것과 달리 디버거가 확인될 경우에는 디버거 프로세스를 종료한다.

전체 디버거 확인 종류는 본 글 마지막에 정리해두었다.

x96dbg 확인
디버거 프로세스 종료

 

안티디버깅과 관련한 항목들에 대한 확인이 모두 끝나면 본격적으로 정보 탈취 행위를 시작한다. 가장 처음으로는 inject.Run 함수 내에서 디스코드의 BetterDiscord 와 TokenProtector를 우회한다. Better Discord는 향상된 보안을 제공하는 Discord 요소이고 Discord Token Protector는 악성 애플리케이션이 Discord의 보안 토큰을 훔치는 것을 방지하기 위해 설치할 수 있는 플러그인이다.

BetterDiscrod/TokenProector 우회

 

Skuld 악성코드는 BetterDiscord와 관련된 파일인 betterdiscord.asar 파일의 api/webhook 문자열을 ByDeathined로 변경함으로써 BetterDiscord를 무력화시킨다.

betterdiscord.asar
문자열 변경

 

또한 Discord Token Protector의 무력화를 위해 관련된 파일인 DiscordTokenProtector.exe, ProtectionPayload.dll, secure.dat 파일을 찾아 삭제한다.

관련 파일 탐색
파일 삭제

 

이후에는 DiscordTokenProtector\config.json 파일 내용을 수정해 자동 시작 기능 및 무결성 검사를 비활성화 시켜 Skuld 악성코드가 디스코드에 코드를 삽입할 수 있도록 한다.

json 획득
auto_start

 

아래 스니펫은 변경되는 전체 값이다.

auto_start = False
auto_start_discord = False
integrity = False
integrity_allowbetterdiscord = False
integrity_checkexecutable = False
integrity_checkhash = False
integrity_checkmodule = False
integrity_checkscripts = False
integrity_checkresource = False
integrity_redownloadhashes = False
iterations_iv = 364
iterations_key = 457
version = 69420

 

이후 원래라면 디스코드 계정과 관련된 백업 코드등을 탈취한다. 하지만, 본 샘플에는 탈취 코드가 inject 되지 않기 때문에 백업 코드가 탈취되지는 않는 것으로 보인다. 다만, 계정과 관련된 아래 정보들은 탈취하는 것으로 확인되었다.

  - /users/@me

  - /users/@me/billing/payment-sources

  -/users/@me/guilds?with_counts=true

  -/users/@me/relationships

  - Nitro Type

  - Thumbnail

계정 정보 탈취

 

디스코드 정보를 모두 탈취한 이후에는 브라우저 정보를 탈취하기 시작한다. 대상 브라우저에는 Chromium, Gecko 기반 브라우저 등이 포함된다.

대상 브라우저 중 일부

전체 대상 브라우저 정보는 본 글의 마지막에 정리해두었다.

 

탈취 목록에는 아래와 같은 항목들이 포함된다. (모두 브라우저 저장 정보)

  - Login Data

  - Credit Card Data

  - Cookie Data

  - History Data

  - Download Data

 

브라우저 정보 탈취 뒤에는 시스템과 관련된 정보를 탈취한다. 탈취하는 정보는 아래와 같다.

  - ScreenShot

  - 호스트명

  - 유저명

  - HWID

  - CPU 정보

  - RAM 정보

  - GPU 정보

  - MAC 주소

  - IP 주소

  - IP 주소의 국가 정보

  - 운영 체제 버전

  - 윈도우 라이선스 키

시스템 정보 탈취

 

또한, Desktop, Document, Download, Pictures, Music, Movies, OneDrive 경로의 파일들을 탈취한다.

 

위 탈취 행위들은 각기 탈취가 이루어질 때마다 디스코드 웹 훅 또는 gofile 을 이용해 Skuld 악성코드의 공격자에게 전송된다.

gofile 전송
discord webhook 전송

 

위 탈취 행위들과는 별개로 Skuld 악성코드는 피해자가 암호화폐 지갑 주소를 복사하는지 관찰한다. 만약, 피해자가 암호화폐 지갑 주소를 복사한다면 해당 주소를 공격자의 주소로 바꾸는 행위를 수행한다.

클립보드 감지
클립보드 내용 변환

 

Skuld 악성코드 내 "Deathined" 추적

Skuld 악성코드 내에 발견된 "deathined" 문자열을 기반으로 관련된 유저 등이 있는지 추적해봤다. 가장 먼저는 "deathined" 유저명의 github 주소가 나타난다.

deathined github

 

해당 github 첫 페이지에서 본인의 link 들을 소개한다. 각각 guilded, telegram 채널 링크다. 각각 링크로 접속을 시도해보면 아래 화면과 같이 deathined 유저가 운영하는 채널이 등장하는 것으로 확인된다. telegram 채널명은 "deathinews" 인데, 아직까지 어떤 글도 올라오지는 않았다.

guilded / telegram 채널

 

또한 github 주소에서 발견할 수 있는 twitter 링크를 확인해보면 아래와 같이 "deathined" 유저의 twitter 프로필이 확인된다. 올린 글은 존재하지 않고, 다만 얼마전 trellix 에서 skuld 악성코드를 분석한 글에 대한 트윗을 리트윗한 것이 나타난다. 본인이 제작한 악성코드에 대한 과시로 보여진다.

deathined twitter

 

이외에 검색을 통해 "deathined" 유저명과 관련된 것들을 찾아보면 reddit 계정과 tumblr 계정이 나타난다. reddit 계정은 생성만 되었을 뿐 활동기록은 없어보이고, tumblr 계정에서는 또 다른 프로필 사이트가 게시물로 게시되어있는 것을 확인할 수 있다.

reddit 계정 정보 / tumblur 계정 정보

 

tumblr 계정에 나타난 사이트를 찾아보면 아래와 같이 "dathined" 유저의 프로필 사이트를 확인할 수 있다. 해당 프로필 사이트에는 tumblur 계정 링크 두개와 twitter 계정 링크, ao3 계정 링크가 존재한다. 각각 아래 사항에 해당하는 계정들이다.

  - main tumblr : 프로필 사이트 게시 텀블러 계정

  - personal tumblr : 또 다른 deathined 텀블러 계정

  - twitter : deathined twitter 계정

  - ao3 : deathined ao3 계정

프로필 사이트

 

이 중 personal tumblr 사이트를 확인하면 deatined의 personal blog 라면서 계정명이 "meijki"인 것을 확인할 수 있다. 해당 유저명을 기반으로 검색해보면 유튜브, 스팀 계정등이 나타나지만 해당 계정들이 deathined와 연관되어있는지는 확실하지 않다.

meijki / 검색 내용

 

또한, ao3 계정에는 2023-03-19 에 가입한 것으로 나타나있고 user Id가 16899472로 나타나있다. 이 외에 특별한 게시물 등은 존재하지 않는다.

deathined's ao3

 

전체 탈취 관련 목록

타겟 브라우저

Chromium base

Chrome
Vivaldi
Liebao
Amigo
Chrome (x86)
Kometa
QIP Surf
Torch
Chrome SxS
Elements
Orbitum
Sputnik
Maple
Epic Privacy Browser
Dragon
Edge
Iridium
Uran
Maxthon
DCBrowser
7Star
Fenrir
K-Melon
Yandex
CentBrowser
Catalina
CocCoc
Opera
Chedot
Coowon
Brave
OperaGX

Gecko base

Firefox
K-Meleon
Cyberfox
SeaMonkey
Thunderbird
BlackHaw
Waterfox
IceDragon
Pale Moon

유저 블랙리스트

WDAGUtilityAccount
8Nl0ColNQ5bq
lmVwjj9blocation
BvJChRPnsxn
Louise
Abby
Lisa
PqONjHVwexsS
Harry Johnson
User01
hmarc
John
3u2v9m89765625
SqgFOf3G
test
patex
george
Julia
Lucas
RGzcBUyrznReg
RDhJ0CNFevzX
PxmdUOpVyx
HEUeRzl
mike
Robert
kEecfMwgj
8VizSM
fred
PateX
Peter Wilson
Frank
w0fjuOVmCcP5A
servers
h7dk1xPr
JOHN-PC

PC명 블랙리스트

azure-PC
SERVER1
DESKTOP-WG3MYJS
DESKTOP-CBGPFEE
MARCI-PC
BEE7370C-8C0C-4
LISA-PC
DESKTOP-7XC6GEZ
SERVER-PC
ACEPC
DESKTOP-NAKFFMT
JOHN-PC
DESKTOP-5OV9S0O
TIQIYLA9TW5M
MIKE-PC
WIN-5E07COS9ALR
DESKTOP-B0T93D6
QarZhrdBpj
DESKTOP-KALVINO
DESKTOP-IAPKN1P
B30F0242-1C6A-4
DESKTOP-1PYKP29
ORELEEPC
COMPNAME_4047
DESKTOP-NTU7VUO
DESKTOP-VRSQLAG
DESKTOP-1Y2433R
ARCHIBALDPC
DESKTOP-19OLLTD
LOUISE-PC
Q9IATRKPRH
WILEYPC
JULIA-PC
DESKTOP-DE369SE
T00917
XC64ZB
WORK
d1bnJkfVlH
EA8C2E2A-D017-4
test42
DESKTOP-D019GDM
6C4E733F-C2D9-4
NETTYPC
AIDANPC
DESKTOP-CDLNVOQ
DESKTOP-WI8CLET
RALPHS-PC
DESKTOP-BUGIO
LUCAS-PC

HWID 블랙리스트

00000000-0000-0000-0000-000000000000
49434D53-0200-9036-2500-369025003AF0
ADEEEE9E-EF0A-6B84-B14B-B83A54AFC548
00000000-0000-0000-0000-50E5493391EF
49434D53-0200-9036-2500-36902500F022
AF1B2042-4B90-0000-A4E4-632A1C8C7EB1
00000000-0000-0000-0000-AC1F6BD048FE
49434D53-0200-9065-2500-65902500E439
B1112042-52E8-E25B-3655-6A4F54155DBF
00000000-0000-0000-0000-AC1F6BD04972
4C4C4544-0050-3710-8058-CAC04F59344A
B6464A2B-92C7-4B95-A2D0-E5410081B812
00000000-0000-0000-0000-AC1F6BD04986
4CB82042-BA8F-1748-C941-363C391CA7F3
BB233342-2E01-718F-D4A1-E7F69D026428
00000000-0000-0000-0000-AC1F6BD04D98
4D4DDC94-E06C-44F4-95FE-33A1ADA5AC27
BB64E044-87BA-C847-BC0A-C797D1A16A50
02AD9898-FA37-11EB-AC55-1D0C0A67EA8A
4DC32042-E601-F329-21C1-03F27564FD6C
BE784D56-81F5-2C8D-9D4B-5AB56F05D86E
032E02B4-0499-05C3-0806-3C0700080009
5BD24D56-789F-8468-7CDC-CAA7222CC121
C249957A-AA08-4B21-933F-9271BEC63C85
03DE0294-0480-05DE-1A06-350700080009
5E3E7FE0-2636-4CB7-84F5-8D2650FFEC0E
C6B32042-4EC3-6FDF-C725-6F63914DA7C7
050C3342-FADD-AEDF-EF24-C6454E1A73C9
5EBD2E42-1DB8-78A6-0EC3-031B661D5C57
C7D23342-A5D4-68A1-59AC-CF40F735B363
05790C00-3B21-11EA-8000-3CECEF4400D0
60C83342-0A97-928D-7316-5F1080A78E72
CC5B3F62-2A04-4D2E-A46C-AA41B7050712
07E42E42-F43D-3E1C-1C6B-9C7AC120F3B9
63203342-0EB0-AA1A-4DF5-3FB37DBB0670
CE352E42-9339-8484-293A-BD50CDC639A5
08C1E400-3C56-11EA-8000-3CECEF43FEDE
63FA3342-31C7-4E8E-8089-DAFF6CE5E967
CEFC836C-8CB1-45A6-ADD7-209085EE2A57
0934E336-72E4-4E6A-B3E5-383BD8E938C3
6608003F-ECE4-494E-B07E-1C4615D1D93C
CF1BE00F-4AAF-455E-8DCD-B5B09B6BFA8F
11111111-2222-3333-4444-555555555555
67E595EB-54AC-4FF0-B5E3-3DA7C7B547E3
D2DC3342-396C-6737-A8F6-0C6673C1DE08
119602E8-92F9-BD4B-8979-DA682276D385
6ECEAF72-3548-476C-BD8D-73134A9182C8
D7382042-00A0-A6F0-1E51-FD1BBF06CD71
12204D56-28C0-AB03-51B7-44A8B7525250
6F3CA5EC-BEC9-4A4D-8274-11168F640058
D8C30328-1B06-4611-8E3C-E433F4F9794E
12EE3342-87A2-32DE-A390-4C2DA4D512E9
777D84B3-88D1-451C-93E4-D235177420A7
D9142042-8F51-5EFF-D5F8-EE9AE3D1602A
1D4D3342-D6C4-710C-98A3-9CC6571234D5
79AF5279-16CF-4094-9758-F88A616D81B4
DBC22E42-59F7-1329-D9F2-E78A2EE5BD0D
2DD1B176-C043-49A4-830F-C623FFB88F3C
7AB5C494-39F5-4941-9163-47F54D6D5016
DBCC3514-FA57-477D-9D1F-1CAF4CC92D0F
2E6FB594-9D55-4424-8E74-CE25A25E36B0
84FE3342-6C67-5FC6-5639-9B3CA3D775A1
DD9C3342-FB80-9A31-EB04-5794E5AE2B4C
365B4000-3B25-11EA-8000-3CECEF44010C
88DC3342-12E6-7D62-B0AE-C80E578E7B07
DEAEB8CE-A573-9F48-BD40-62ED6C223F20
38813342-D7D0-DFC8-C56F-7FC9DFE5C972
8B4E8278-525C-7343-B825-280AEBCD3BCB
E08DE9AA-C704-4261-B32D-57B2A3993518
38AB3342-66B0-7175-0B23-F390B3728B78
8DA62042-8B59-B4E3-D232-38B29A10964A
EADD1742-4807-00A0-F92E-CCD933E9D8C1
3A9F3342-D1F2-DF37-68AE-C10F60BFB462
907A2A79-7116-4CB6-9FA5-E5A58C4587CD
EB16924B-FB6D-4FA1-8666-17B91F62FB37
3F284CA4-8BDF-489B-A273-41B44D668F6D
921E2042-70D3-F9F1-8CBD-B398A21F89C6
F5744000-3C78-11EA-8000-3CECEF43FEFE
3F3C58D1-B4F2-4019-B2A2-2A500E96AF2E
96BB3342-6335-0FA8-BA29-E1BA5D8FEFBE
FA8C2042-205D-13B0-FCB5-C5CC55577A35
42A82042-3F13-512F-5E3D-6BF4FFFD8518
9921DE3A-5C1A-DF11-9078-563412000026
FCE23342-91F1-EAFC-BA97-5AAE4509E173
44B94D56-65AB-DC02-86A0-98143A7423BF
9C6D1742-046D-BC94-ED09-C36F70CC9A91
FE455D1A-BE27-4BA4-96C8-967A6D3A9661
4729AEB0-FC07-11E3-9673-CE39E79C8A00
A15A930C-8251-9645-AF63-E45AD728C20C
FED63342-E0D6-C669-D53F-253D696D74DA
48941AE9-D52F-11DF-BBDA-503734826431
A7721742-BE24-8A1C-B859-D7F8251A83D3
FF577B79-782E-0A4D-8568-B35A9B7EB76B
49434D53-0200-9036-2500-369025000C65
A9C83342-4800-0578-1EE8-BA26D2A678D2
49434D53-0200-9036-2500-369025003865
ACA69200-3C4C-11EA-8000-3CECEF4401AA
 

IP 주소 블랙리스트

88.132.231.71
95.25.204.90
34.105.72.241
34.85.243.241
35.229.69.227
78.139.8.50
34.145.89.174
109.74.154.92
34.141.245.25
34.138.96.23
20.99.160.173
109.74.154.90
213.33.142.50
178.239.165.70
192.211.110.74
88.153.199.169
109.145.173.169
109.74.154.91
84.147.54.113
35.237.47.12
84.147.62.12
34.141.146.114
93.216.75.209
193.128.114.45
87.166.50.213
194.154.78.160
212.119.227.151
192.87.28.103
95.25.81.24
34.253.248.228
92.211.109.160
195.239.51.59
88.132.226.203
92.211.52.62
212.119.227.167
195.74.76.222
192.40.57.234
195.181.175.105
88.132.227.238
193.225.193.201
188.105.91.116
64.124.12.162
88.132.225.100
35.199.6.13
34.145.195.58
34.105.183.68
34.142.74.220
92.211.192.144
80.211.0.97
34.105.0.27
92.211.55.199
188.105.91.173
34.83.46.130
34.85.253.170
195.239.51.3
79.104.209.33
109.74.154.91
188.105.91.143
23.128.248.46
35.192.93.107

MAC 주소 블랙리스트

00:15:5d:00:07:34
00:15:5d:00:01:81
00:50:56:a0:61:aa
42:01:0a:8e:00:22
7e:05:a3:62:9c:4d
00:e0:4c:b8:7a:58
4e:79:c0:d9:af:c3
42:01:0a:96:00:22
00:50:56:b3:4c:bf
52:54:00:b3:e4:71
00:0c:29:2c:c1:21
00:15:5d:b6:e0:cc
00:50:56:b3:21:29
00:50:56:b3:09:9e
90:48:9a:9d:d5:24
00:25:90:65:39:e4
00:15:5d:00:02:26
00:15:5d:00:00:b3
00:50:56:b3:38:88
00:50:56:b3:3b:a6
c8:9f:1d:b6:58:e4
00:50:56:b3:05:b4
96:2b:e9:43:96:76
00:50:56:a0:d0:fa
92:4c:a8:23:fc:2e
00:25:90:36:65:0c
1c:99:57:1c:ad:e4
b4:a9:5a:b1:c6:fd
00:50:56:b3:91:c8
5a:e2:a6:a4:44:db
00:15:5d:00:00:f3
08:00:27:3a:28:73
d4:81:d7:87:05:ab
3e:c1:fd:f1:bf:71
00:50:56:ae:6f:54
2e:b8:24:4d:f7:de
00:15:5d:00:00:c3
ac:1f:6b:d0:49:86
00:50:56:a0:6d:86
42:01:0a:96:00:33
00:15:5d:13:6d:0c
00:50:56:a0:45:03
52:54:00:8b:a6:08
00:50:56:a0:af:75
00:50:56:97:a1:f8
00:50:56:a0:dd:00
12:8a:5c:2a:65:d1
00:0c:29:05:d8:6e
00:50:56:b3:dd:03
5e:86:e4:3d:0d:f6
00:15:5d:13:66:ca
00:25:90:36:f0:3b
00:23:cd:ff:94:f0
c2:ee:af:fd:29:21
00:50:56:b3:ea:ee
56:e8:92:2e:76:0d
00:1b:21:13:21:26
00:e0:4c:d6:86:77
00:50:56:b3:ee:e1
3e:53:81:b7:01:13
ac:1f:6b:d0:48:fe
42:01:0a:8a:00:22
3c:ec:ef:44:01:aa
00:50:56:a0:84:88
00:50:56:97:ec:f2
00:e0:4c:94:1f:20
00:1b:21:13:32:51
00:15:5d:23:4c:a3
00:1b:21:13:32:20
00:e0:4c:b3:5a:2a
00:15:5d:00:05:d5
a6:24:aa:ae:e6:12
00:1b:21:13:33:55
3c:ec:ef:44:00:d0
12:f8:87:ab:13:ec
00:e0:4c:4b:4a:40
08:00:27:45:13:10
00:15:5d:00:00:a4
00:50:56:ae:e5:d5
00:50:56:a0:38:06
42:01:0a:8a:00:22
00:1b:21:13:26:44
16:ef:22:04:af:76
00:50:56:97:f6:c8
2e:62:e8:47:14:49
00:1b:21:13:15:20
3c:ec:ef:43:fe:de
00:15:5d:23:4c:ad
52:54:00:ab:de:59
00:0d:3a:d2:4f:1f
00:15:5d:00:06:43
d4:81:d7:ed:25:54
1a:6c:62:60:3b:f4
00:50:56:b3:9e:9e
60:02:92:66:10:79
00:15:5d:1e:01:c8
00:25:90:36:65:38
00:15:5d:00:00:1d
00:50:56:a0:39:18
00:50:56:a0:d7:38
00:50:56:b3:38:68
00:03:47:63:8b:de
00:50:56:a0:cd:a8
32:11:4d:d0:4a:9e
be:00:e5:c5:0c:e5
60:02:92:3d:f1:69
00:15:5d:00:05:8d
00:50:56:b3:fa:23
00:50:56:b3:d0:a7
00:50:56:a0:59:10
00:e0:4c:7b:7b:86
00:0c:29:52:52:50
52:54:00:a0:41:92
94:de:80:de:1a:35
00:50:56:a0:06:8d
00:e0:4c:46:cf:01
00:50:56:b3:42:33
00:50:56:b3:f6:57
00:50:56:ae:5d:ea
00:e0:4c:cb:62:08
42:85:07:f4:83:d0
3c:ec:ef:44:01:0c
00:e0:4c:56:42:97
00:50:56:b3:14:59
4e:81:81:8e:22:4e
56:b0:6f:ca:0a:e7
06:75:91:59:3e:02
ca:4d:4b:ca:18:cc
ea:02:75:3c:90:9f
12:1b:9e:3c:a6:2c
42:01:0a:8a:00:33
f6:a5:41:31:b2:78
00:e0:4c:44:76:54
00:15:5d:00:1c:9a
ea:f6:f1:a2:33:76
d6:03:e4:ab:77:8e
ac:1f:6b:d0:4d:e4
00:15:5d:00:1a:b9
ac:1f:6b:d0:4d:98
00:50:56:ae:b2:b0
52:54:00:3b:78:24
b6:ed:9d:27:f4:fa
1e:6c:34:93:68:64
00:50:56:b3:94:cb
00:50:56:b3:50:de
 

프로세스 블랙리스트

x96dbg
cmd
vmusrvc
pestudio
http
fiddler
ksdumperclient
joeboxcontrol
wireshark
vboxservice
vmsrvc
processhacker
hacker
vmtoolsd
procmon
regmon
ksdumper
vmacthlp
df5serv
packet
ollydbg
debugger
x32dbg
ida
regedit
prl_cc
qemu-ga
taskmgr
xenservice
dumper
vgauthservice
traffic
vmwareuser
prl_tools
dbg
VGAuthService
ida64
httpdebuggerui
vmwaretray
diskmon
debuger
vboxtray
joeboxserver
 
반응형

'Analysis' 카테고리의 다른 글

50. Kanti ransomware (nim language)  (0) 2023.07.25
49. Charming Kitten's POWERSTAR  (0) 2023.07.11
47. ransomware correlation  (0) 2023.06.14
46. Kimsuky's CHM  (0) 2023.05.25
45. Aukill  (0) 2023.05.08

'Analysis' Related Articles

티스토리툴바