본문 바로가기

전체 글

(135)
32. Lazarus Graph 이번 글에서는 이전부터 연결해왔던 북한 해킹그룹인 라자루스 그룹의 연관관계 그래프를 업로딩하고자 한다. 일단 전체 그래프는 위와 같다.(많은 샘플에 대한 그래프는 아니다.) 각 구역을 상하좌우로 4등분해서 한 구역당 하나의 공격 혹은 비슷한 샘플들의 위치이다. 언뜻 보기에도 다른 유형의 공격, 다른 유형의 샘플임에도 불구하고 C2 서버와 같은 것들이 서로 연관돼 있는 것을 볼 수 있다. 물론 여기서의 C2 서버는 VPN 등을 이용해 다른 나라로 거쳐간 C2 들이겠지만.. 각 구역을 상세히 살펴보면 먼저, 홉라이트 악성코드들과 작년 말쯤 유포되었던 한글 악성코드에 연관관계가 있는 것을 볼 수 있다. 둘의 공격은 엄연히 다른 샘플과 공격 유형이지만, 각각이 비슷한 샘플에서 겹치는 샘플이 나타나는 것을 볼 수..
31. Lazarus's Ratankba 3일전, 바이러스 토탈 Lazarus 야라 룰에 새로운 악성코드가 잡혔다. 악성코드는 2017년도 활발히 유포되었던 Ratankba 라는 악성코드이다. 대부분 POS(Point Of Sale System)에서 금전 탈취나 피해자 PC에서 암호화폐 채굴과 정보 탈취를 목적으로 유포되었던 것으로 보인다. 기본적인 악성코드 정보는 아래와 같다. 악성코드 명 Ratankba 수행 행위 암호화폐 채굴, 정보 탈취 악성코드의 메인 함수에는 총 3개의 악성행위 수행 함수들이 존재한다. 각각의 함수들이 수행하는 대략적인 행위는 아래와 같다. Copy_Winslui_sub_405560 본 파일을 %APPDATA%\Microsoft\Windows\시작 메뉴\프로그램\시작프로그램\Winslui.exe 로 복사 혹은 %USE..
30. Lazarus's Dtrack 라자루스 그룹은 Dtrack이라는 악성코드로 컴퓨터 내 정보 탈취를 목적으로 악성 행위를 수행한 적이 있다. 해당 악성코드는 ATM 등에서도 활발히 사용되어 카드 정보 등을 탈취하려는 시도도 존재했었다. 본 글에서는 해당 Dtrack 악성코드를 분석한다. 먼저 분석한 악성코드의 정보는 아래와 같다. 비주얼C/C++을 이용해 컴파일 되어있다. 악성코드는 크게 세가지 행위를 수행한다. 악성코드 내에서 행위를 수행할 때 사용할 함수를 불러오는 것을 첫번째로 수행한다. 이후로 악성코드가 실행된 피해자 PC 내의 정보들을 탈취하고 최종적으로 공격자의 C2(Command and Control) 서버에 연결해 탈취한 정보들을 전송하는 형식이다. 제일 먼저 악성행위에서 사용할 함수들을 불러오는 함수에는 아래와 같은 코..
29. Konni's 답변서.hwp 지난 12일, 코니(Konni) 조직이 한글 문서를 위장해 악성코드를 유포한 것이 발견되었다. 본 글에서는 해당 한글 악성코드를 분석한다. 먼저 한글 문서의 속성은 아래와 같이 나타난다. 타임 스탬프 : 2011년 4월 20일 수요일 오후 10:44:52 최종 수정자 : Administrator 생성 시간 : 2004년 11월 09일 06:23:46 (UTC) 최종 수정 시간 : 2019년 12월 09일 08:30:24 (UTC) 문서 안에는 한글 문서를 이용해 악성코드를 유포 및 감염시킬 때 주로 사용되는 EPS 코드가 존재한다. 아래는 해당 EPS 코드이다. 해당 EPS코드 안에는 특정 XOR 키를 이용해 문자열로 저장되어있는 헥스값을 XOR 연산해 복호화한다. 연산에 사용되는 XOR 키는 총 16바..
28. Lazarus's 한국국가정보학회 학회장 선거공고.hwp 지난 11월, 한국국가정보학회 학회장 선거공고를 사칭해 한글 문서 악성코드가 유포되었다. 이번 글에서는 해당 한글 문서 악성코드를 분석한다.(상세히 악성 행위까지 분석하지는 못했다.) 한글 문서의 기본적인 속성은 다음과 같다. 타임 스탬프 : 2002년 1월 10일 오후 7:31:30 생성시간 : 2002-01-10 10:31:30(UTC) 최종 수정시간 : 2019-10-28 11:26:39(UTC) 해당 문서의 EPS 부분을 살펴보면 아래와 같은 코드들을 확인할 수 있다. 해당 코드들 내부에는 BASE64로 인코딩 된 쉘코드가 존재하며 해당 쉘코드가 실제 드로퍼 역할을 한다. 아래 그림 중 드래그 된 부분이 BASE64 인코딩 된 부분이다. BASE64 인코딩 된 부분을 디코딩 시켜주면 아래와 같은 ..
27. Monero coin stealer 며칠 전, 모네로 공식 홈페이지가 코인 스틸러에 침해당했다는 기사를 접했다. 기사 내용은 아래에서 찾아볼 수 있다. https://www.bleepingcomputer.com/news/security/coin-stealer-found-in-monero-linux-binaries-from-official-site/ Coin Stealer Found in Monero Linux Binaries From Official Site The Monero Project is currently investigating a potential compromise of the official website after a coin stealer was found in the Linux 64-bit command line (C..
26. Sodinikibi(Specialist) 갠드크랩이 V5.2 이후로 업그레이드가 안되고 자취를 감춘 현재, 갠드크랩과 상당히 유사한 랜섬웨어가 활발히 유포되고 있다. 심지어는 갠드크랩과 크게 다른점이 배경화면을 파란색으로 바꾸는 것 뿐이어서 블루크랩이라고도 불린다. 소디노키비, 소딘, 블루크랩, 스페셜리스트 등 여러 이름으로 불리고 있는 랜섬웨어이다. 매그니버(마이랜섬) - 갠드크랩 - 소디노키비 제작자가 모두 동일하다는 추측도 제기되는 상황이고 랜섬웨어들이 대부분 RaaS(Ransomware-as-a-Service) 형태로 제작되고 유포중이기 때문에 어느정도 가능성이 있는 말이라고 생각된다. 본 글에서는 소디노키비 랜섬웨어를 분석해본다. 소디노키비 랜섬웨어는 제일 먼저 대부분 랜섬웨어가 그렇듯 중복실행 방지를 위해 뮤텍스를 생성한다. 뮤텍스 ..
25. Rich Header PE 구조에서 DOS 헤더와 COFF 헤더 사이에는 2가지 Stub이 존재한다. 하나는 DOS Program으로써, 대부분 파일에 적혀있듯 This program cannot be run in DOS mode 가 DOS Stub이다. DOS Stub은 실행되지 않는 부분, 도스모드에서 실행을 방지하기 위한 부분이라고 대부분 알고있지만 사실은 도스모드에서 실행되는 부분이다. 최근 프로그램들은 모두 윈도우에서 동작하기 때문에 도스모드에서 실행될 경우에는 "This program cannot be run in DOS mode"라고 출력한 다음 종료하도록 설계해둔 것이다. 다른 하나는 Rich Header 인데, 리치헤더는 Rich 문자열 앞부분에 이어져있다. Rich 문자열 앞 부분은 모두 체크섬을 이용해 x..