본문 바로가기

전체 글

(98)
19. 이벤트 당첨 위장 한글 악성코드 분석 이번 글은 '이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp' 악성코드를 분석한다. 현재 통신이 안되서 드롭되는 악성코드에서 감염사실 이후에 공격자 서버로부터 받아오는 DLL 등 추가 악성코드는 분석하지 못했다. 결론적으로 이 악성코드는 정보탈취 목적의 악성코드이며 이후에 암호화폐와 관련된 사람들에게서 지갑을 탈취한다거나 추가적인 공격에 활용되지 않을까 추정해본다. 악성코드는 한글 악성코드이다. 최종 저장자는 'Tester' 라고 저장되어있는걸 확인할 수 있다. 한글 내 EPS를 살펴보면 헥스값들로 페이로드가 저장된 걸 볼 수 있다. 결론적으로 이 페이로드를 xor 복호화 한 다음에 행위를 수행한다. 악성코드를 그냥 실행하면 (주)DAYBIT 이라는데를 사칭해서 이벤트가 당첨됐으니 이런저런걸 적..
18. OSINT 관련 12개 정보 오늘 트위터를 확인하면서 OSINT(Open Source Intelligence)와 관련해 유용하게 사용할 수 있는 12개 사이트가 정리된 글을 봤다. 해당 글은 nixintel 이라는 사람이 쓴 글이고, 모두 다 영문이기 때문에 번역 및 정리한 글을 올린다. 1. 구글(Google) 흔히 알려져있듯이 구글에는 방대한 정보가 저장되어있다. 그리고 그 정보는 일반 사용자도 구글 검색 키워드에 검색만 잘 해도 꽤나 잘 활용할 수 있다. 그래서 OSINT와 관련된 사이트 중 하나가 구글이다. 당장 구글 검색창에다가 자신이 주로 사용하는 이메일만 쳐봐도 한두개정도는 정보가 나타날것이다. 이런 것을 이용해 공격자의 이메일 주소가 확보된 상황에서 구글을 이용해 OSINT를 진행해볼 수 있다. 2. 유저명 유저명도 ..
17. MS Office VBA 프로젝트 암호 깨부수기(+xlSheetVeryHidden 깨부수기) 악성코드를 분석하다보면, MS Office를 이용하는 악성코드들은 매크로를 통해 퍼지는 경우가 대부분이다. 문제는, 악성코드 본파일에 이용되는 정보를 담고있는 시트 파일을 xlSheetVeryHidden 옵션으로 숨겨버리는 경우가 있다. xlSheetHidden 옵션과는 다르게 xlSheetVeryHidden 옵션은 코드 수정을 통한 실행 이외에는 시트가 보여지지 않는다. 또, 매크로를 실행시키는 VBA 프로젝트에 암호를 걸어서 보지 못하게 만드는 악성코드들도 있다. 이 글에서는 xlSheetVeryHidden 옵션을 걸고, 해제하는 것(사실 이건 코드만 조금 바꿔주면 되서 굉장히 쉽다.)과 VBA 프로젝트에 암호가 걸려있을 경우 암호를 어떻게 깨부수는지에 대해 정리한다. 일단 Sheet1, Sheet2..
16. olevba 사용법 MS Office 워드나 엑셀같이 문서 파일을 이용한 악성코드를 분석하다보면 만나게 되는게 매크로를 이용하는 부분이다. 근데, 이 매크로 부분이 종종 안보인다거나 매크로가 있는 시트를 숨겨놓는다던가 아니면 매크로 자체에서 매크로를 실행시켜서 악성 행위를 하는 프로그램은 드롭시키고(혹은 악성행위는 수행하고) 문서 파일 자체는 꺼버리는 행위를 하기도 한다. 그러면 그 사이에 재빨리 매크로를 채올 수 있는가? 그것도 사실 힘들겠지.. 그래서 찾다보니 olevba 라는 신박한 툴이 있었다.(매크로가 있는 시트를 숨겨놓는 경우는 다음 글에서 어떻게 해결하는지 정리한다.) 굉장히 신기한 툴인데, 문서 파일 안 매크로 스크립트인 VB script를 추출해주는 툴이다. 심지어 VBA 프로젝트에 암호가 걸려있어도 매크로..
15. Shellcode 2 exe 사이트 막힘에 대한 대처방안(OllyDBG로 분석) 한글 악성코드를 분석하다가.. 운좋게 쉘코드가 xor 연산이나 이런걸 거치지 않는 형태로 그대로 나와서.. exe로 바꿔서 분석하면 되겠다! 하고 shellcode_2_exe 사이트를 찾아 들어가봤는데.. 무슨 연유인지 이제 서비스를 하지 않는다고 나온다.. 보안 업체들에서 그 사이트를 막았다는데..(왜 그랬을까..) 여튼 그래서 exe 파일로 열심히 만들어보려다가 결국 실패하고 쉘코드 자체를 OllyDBG로 분석하는 방법을 다시 찾게되었다. Shellcode_2_exe 툴을 당장에 만들 상황이 안될 것 같아서 이게 유용하게 쓰일 것 같아서 블로그에 정리해놓는다.. 1. 올리디버거로 notepad.exe 등 아무 파일이나 오픈 (notepad.exe가 제일 좋음) 2. 마우스 우측버튼 Backup -> ..
14. Nemty 2019년 08월 27일 Nemty 랜섬웨어가 발견되었다. 본 글에서는 해당 악성코드를 상세분석한다. Malware Nemty ransomware Environment OS Windows 7 Action File encryption 가장 먼저 넴티(Nemty) 랜섬웨어는 실행되면 중복 실행 방지를 위해 "hate"라는 이름의 뮤텍스를 생성한다. 이후 base64로 인코딩 되어있는 랜섬노트 내용을 복호화 한다. 이어서 감염 PC에서 논리 드라이브를 탈취하고 드라이브 타입을 알아낸다. 드라이브 타입이 USB와 같은 "REMOVABLE" 타입인지, 일반 HDD와 같이 "FIXED" 타입인지, NAS와 같이 "NETWORK" 타입인지를 알아낸다. 드라이브 타입을 알아낸 이후에는 해당 디스크에 공간이 얼마나 남아..
13. 분석 특징 정리 분석 특징 정리 글(지속적 업데이트 예정, 그룹 별) Lazarus - XOR 키 값 1. 0x39 0xC3 0xB2 0x70 0x05 0x85 0x3E 0x98 0x66 0x1C 0x8B 0xBC 0x1B 0xDD 0xEA 0xF8 2. 0xAA - URL 1. https://www[.]sparkdept[.]com/wp-content/uploads/themify/theme2.db.enc https://www[.]sparkdept[.]com/wp-content/uploads/themify/theme4.db.enc 2. https://stokeinvestor[.]com/common[.]php https://growthincone[.]com/board[.]php https://inverstingpurpose..
12. 악성코드 샘플 수집 관련 사이트(무료) ANY.RUN: 등록 필요, 대쉬보드 형태로 잘 나타남(쿠쿠 샌드박스 처럼 분석 화면, 결과도 나타남) Contagio Malware Dump CAPE Sandbox Das Malwerk FreeTrojanBotnet: 등록 필요 Hybrid Analysis: 등록 필요, 학생 계정의 경우 라이센스를 무료로 열어줌(바이러스 토탈과 비슷) KernelMode.info: 등록 필요 MalShare: 등록 필요 Malware.lu’s AVCaesar: 등록 필요 Malware DB Objective-See Collection: 맥 OS 악성코드 관련(이라고 한다..) PacketTotal: Malware inside downloadable PCAP files SNDBOX: 등록 필요 theZoo 위에 있는 M..