전체 글 (166) 썸네일형 리스트형 07. 도메인 쉐도잉 1. 도메인 쉐도잉 드라이브-바이-다운로드에서 악성코드 유포지로 흘러가는 길목(경유지)에 사용되는 도메인들이 수 많은 서브 도메인으로 구성되는 기술이다. 탐지 및 블랙리스팅 형태의 솔루션을 우회하기 위해 사용되는 기술이다. 서브 도메인이 여러개가 합쳐져서 하나의 도메인을 이루기 때문에 침해사고 대응의 입장에서는 당연하게도 추적하기 매우 어려운 구조를 지닌다. 최초 경유지에 삽입된 악성 스크립트를 따라서 추적을 진행한 뒤, 감염시킨 악성코드를 분석해 대응하는 구조를 가질수는 있지만 사실상 최초 경유지 이후 나오는 도메인들이 수 많은 서브 도메인이 합쳐져 만들어지다보니 그걸 다 따라가면서 추적한다는게 불가능하다. 많은 서브 도메인이 다 한 국가에 있을거라는 보장도 없으며 얼마나 많은 서브 도메인이 존재하는지.. 06. LokiBot LokiBot은 웹 브라우저, FTP, 이메일 클라이언트, Putty 같은 IT 관리 툴 패스워드를 정보를 훔치는 스틸러 악성코드이다. 닉네임 "lokistov"를 사용하는 사람이 처음 개발해 LokiBot 이라고 불린다고한다. 본 글에서는 LokiBot을 분석한다. Malware LokiBot OS Windows7 action Stealer 악성코드 샘플을 실행하면 파일 자체에 DLL 이 있는 것이 아니라, 자체 디코딩 함수를 통해서 사용할 DLL 파일들을 문자열로 디코딩 시키고 LoadLibrary 함수를 통해 문자열로 디코딩 해 둔 DLL 파일들을 가져온다. 피해 PC의 정보들을 탈취한 후 C&C 서버에 소켓 연결로 탈취한 데이터를 전송하기 위해서 미리 소켓 초기화를 수행한다. 이후 "SOFTWAR.. 05. TrickBot TrickBot 악성코드는 Dyreza 악성코드의 후속작으로 금융권을 타격하는 악성코드로 알려져있다. 본 글에서는 해당 악성코드를 분석한다. Malware TrickBot OS Windows7 action Stealer 정상 프로그램처럼 위장된 화면이다. 처음 파일을 실행하게 되면 위 그림처럼 정상 프로그램으로 위장되어 있다. 하지만 실제로 파일을 실행할 경우 자체적으로 인코딩 되어있는 파일 내용을 디코딩 함으로써 악성행위를 하는 메인 루틴을 복호화하게 된다. 디코딩 루틴을 지나서 자신의 메인 루틴 복호화가 끝나게 되면 파일 명령을 위한 명령라인을 파싱한 다음 문자열 인자로 변환한다. 해당 악성코드가 실행중인 환경이 VM 환경 안에서 실행되고 있는지를 검사하기 위해서 "pstorec.dll", "vmch.. 04. Shamoon Dropper, MBR Wiper, Reporter 의 세개의 악성코드로 이루어진 Shamoon 악성코드 중 MBR Wiper를 분석한다. Malware Shamoon OS Windows 7 action MBR Wiper 아래 그림 1은 Shamoon 악성코드의 전체 도식도이다. Dropper가 실행되게 되면, Dropper는 MBR을 변조하는 Wiper와 C&C 서버와 통신하는 Reporter, 만약 운영체제가 64비트 일 경우에는 64비트 Dropper를 드롭하고 실행시킨다. Wiper의 경우에는 MBR을 변조 및 파일을 삭제하며 Reporter 의 경우에는 C&C 서버와 통신으로 상황을 보고하는 역할을 한다. [그림 1] 전체 도식도 MBR Wiper 파일을 실행하게 되면 공격 대상 PC의 MBR .. 03. CVE-2018-4878 CVE-2018-4878 취약점은 어도비 플래시 플레이어 취약점으로 2018년도에 밝혀진 취약점이다.어도비 플래시 플레이어의 UAF(Use-After-Free) 취약성을 이용한 취약점으로써 해당 취약점을 이용해 악성코드를 실행시키는 행위 등이 가능하다. 이미 시큐레터의 상세히 분서된 보고서가 제공되고 있지만, 개인 공부 겸 해당 취약점을 분석한다.아래는 분석 환경이다. OS Windows 7 32 bit Flash Version 28.1.1 [그림 1] CVE-2018-4878 먼저 분석 대상이 된 파일은 CVE-2018-4878 취약점을 이용해 플래시 파일 내 쉘코드를 실행시키는 악성코드였다. 정확히는 RAT(Remote Access Trojan) 악성코드였으며, 감염되게 되면 감염 PC가 공격자 통제.. 02. GandCrab Ransomware V5.0 갠드크랩 랜섬웨어는 V1.0을 시작으로 현재 V5.0.4에 이르기까지 계속해서 업데이트와 함께 한국을 대상으로 유포중에 있다. 아래 그림은 Ahnlab에서 공개한 2018년 3분기 국내 랜섬웨어 유포 비율 현황이다. 갠드크랩 랜섬웨어가 79%를 차지할 만큼 큰 비중을 갖고 있다. [그림 1] 2018년 3분기 랜섬웨어 Top 10 / 출처 : Ahnlab 본 글에서는 그 중 V5.0을 분석한 결과를 포스팅한다. 악성코드 정보는 아래와 같다. 악성코드명 o.exe 악성코드 hash(md5) - 관련 그룹 - 해당 갠드크랩 랜섬웨어를 실행하게 되면 먼저 특정 프로그램(백신 등)이 실행중인지 검사하고, 실행 중이라면 특정 프로그램들을 종료한다.[그림 2] 특정 프로그램이 실행중인지 검사 [그림 3] 특정 프로.. 01. USCYBERCOM Malware Alert's APT Malware 지난 11월 9일 미국 사이버 사령부는 바이러스 토탈을 통해 기밀 사항으로 분류되지 않는 악성코드 샘플들을 공개했었다. 그 중 APT(Advanced Persistent Threats) 공격에 사용된 RAT(Remote Access Trojan) 악성코드가 공개되었다. 본 글은 해당 악성코드를 분석한 글이다. 악성코드 정보는 아래와 같다. 악성코드명 ctlnetw.exe 악성코드 hash(sha-256) dea3a99388e9c962de9ea1008ff35bc2dc66f67a911451e7b501183e360bb95e 관련 그룹 sofacy, Russian Group 이 악성코드는 대부분의 함수를 계산을 통해서 불러오고, 또한 네이티브 함수인 것 처럼 모방된 자체 제작 함수를 사용한다. 악성코드가 실행되.. Bash Jail 1 RingZer0team 의 Jail 탈출 문제 1번이다. Bash Jail 1 처음 문제를 보면 아래 사진과 같이 ssh로 접속할 수 있는 주소와 포트번호, 아이디, 비밀번호가 주어진다. 접속하라는 대로 고분고분 접속하게 되면 아래와 같이 배쉬코드라면서 코드를 하나 출력해주고인풋을 받고 내보내고 하는 식으로 되있다고 말해준다. 일단 아무것도 모르는 상태이니, 뭐라도 하나 입력해보면/home/level1/prompt.sh : line 24: input: command not found 라는 안내문(?)이 나온다.나는 input을 입력해주었고, 해당 input을 명령어로 해석하는 모양이다.그렇다면 어쨌든 이 감옥을 빠져나가기 위해서는 쉘을 따내야 한다.그리고 현재 input은 명령어로 받아들여지고있다. 그렇.. 이전 1 ··· 11 12 13 14 15 16 17 ··· 21 다음
