분류 전체보기 (138) 썸네일형 리스트형 42. Kimsuky's 협의 이혼 의사 확인 신청서.docx 얼마 전 "협의 이혼 의사 확인 신청서"라는 이름으로 악성코드가 유포되었다. 해당 문서는 정상적으로 위장하고 있는 악성 문서이며 실행시 피해자 PC에 추가적인 악성코드를 드롭해 원격 조종을 수행하는 것으로 밝혀졌다. 또한, 해당 악성코드는 Kimsuky 조직에 의해 유포된 것으로 나타났다. 본 글에서는 해당 악성코드를 분석한다. 먼저, 해당 악성 문서는 아래와 같이 정상적인 워드 문서로 위장하고 있다. 실행시 "콘텐츠 사용" 버튼을 유도하는 이미지가 나타난다. 해당 행위는 피해자가 콘텐츠 사용을 버튼을 누르게 함으로써 악성 문서 내에 존재하는 매크로를 실행시키기 위한 목적을 가진다. 콘텐츠 사용 버튼을 눌러 매크로를 실행시킬경우 정상적인 미끼 문서를 띄운다. 하지만 실제로는 악성 문서 내에 포함되어 있는.. 41. Kimsuky's [KBS 일요진단]질문지.docx 2023년 2월경 [KBS 일요진단]질문지.docx 라는 이름으로 kimsuky의 악성코드가 유포되었다. 해당 악성코드는 정상적인 워드 문서 파일로 위장하고 있지만 Template Injection 등을 통해 내부적으로는 악성 스크립트를 다운로드 및 실행해 감염 PC의 정보들을 C2 서버로 전송하는 행위를 수행한다. 처음 파일을 열면 아래와 같이 Microsoft Office 아이콘과 함께 "콘텐츠를 불러올수 없습니다" 와 "호환성문제로 콘텐츠를 올바르게 불러올수 없습니다." 등의 문구가 존재하는 이미지를 띄운다. 해당 이미지를 통해 피해자에게 "편집 사용", "콘텐츠 사용" 버튼을 클릭하게 해 decoy 문서를 다운로드 받게 하는 목적이다. * 특이점: 해당 문서의 언어 설정값이 일본어로 되어 있다. .. 40. GuLoader 최근 보안뉴스, 해커뉴스, 시큐리티어페어즈 등 여러 매체에서 다뤄지는 악성코드이면서 드로퍼의 성격을 띄며 빠르게 퍼지고 있는 GuLoader에 대해 분석한다. 분석 환경 OS Windows 7 악성코드 해쉬 2374e67f9bafb16982479819931eeca7fcafda7dcf7248a15be29b0f061ffdc9 악성코드 종류 드로퍼 먼저, GuLoader 악성코드는 예전부터 악성코드들이 기용한 NSIS 실행 압축을 선택하고 있다. NSIS를 사용해 실행되는 이유는 백신 프로그램의 우회가 주 목적으로 생각된다. 일반적인 프로그램들도 NSIS를 사용하는 경우가 많기 때문에 백신 프로그램에서 악성코드만 골라내기 힘들기 때문이다. 본격적으로 분석을 시작해본다. NSIS 가 적용되어있기 때문에 압축을 .. 39. Rhadamanthys stealer 요즘 유행하는 Rhadamanthys stealer를 간단하게 분석해본다. 해당 정보에는 C/C++로 나오지만 실제 해당 파일은 PyInstaller로 만들어진 exe 파일이다. 따라서, 악성파일에서 사용할 라이브러리를 불러오는 부분이 존재한다. 또한, 악성파일에서 사용할 파이썬 라이브러리들을 불러오기 위한 함수들도 GetProcAddress로 불러와 사용한다. 굉장한 스파게티 코드로 짜여져 있는 것을 볼 수 있다. 이후, 보통 PyInstaller로 만들었을 때 실행을 위해 존재해야 하는 파일들을 불러오고, 해당 파일들은 %APPDATA%\Local\Temp 폴더 아래에 폴더를 생성해 다운로드 받는다. 실제 스틸러 행위는 새로운 프로세스를 생성해 시도한다. 새로운 프로세스는 자기 자신을 새롭게 하위 프.. 38. 샤오치잉 그룹 (aka White Dawn, Core Code) 보호되어 있는 글입니다. 2. evil group, UNC2165 group 최근 Mandiant가 Lockbit ransomware에 공격당했다고 알려졌었다. 얼마지나지 않아서, Mandiant Lockbit ransomware 운영 그룹으로 알려져있는 evil group에 대한 정보를 포스팅했다. https://www.mandiant.com/resources/unc2165-shifts-to-evade-sanctions To HADES and Back: UNC2165 Shifts to LOCKBIT to Evade Sanctions | Mandiant The U.S. Treasury Department's Office of Foreign Assets Control (OFAC) sanctioned the entity known as Evil Corp in December 2019.. 1. Conti group 얼마전 콘티 랜섬웨어 그룹이 문을 닫는다는 공식 선언을 했다. https://www.boannews.com/media/view.asp?idx=106920&kind=1&search=title&find=%C4%DC%C6%BC 문 닫은 콘티 랜섬웨어, 작은 팀으로 분산해 새로운 시작 IT 외신 블리핑컴퓨터에 의하면 악명 높은 콘티(Conti) 랜섬웨어의 운영자들이 공식적으로 콘티 운영을 중단했다고 한다. 공격 인프라도 사라졌고, 운영진들은 콘티라는 이름은 더 이상 없을 것이 www.boannews.com 웃긴건, 아직 conti news는 살아있다는건데, 당장 오늘까지도 자신들이 랜섬웨어를 통해 탈취한 정보를 공개했다. 만약 문을 닫는다는게 사실이라면, 보안뉴스 기사대로 실제로 문을 닫는다기보다는 여러 세부 .. 0. Ranion ransomware(EGALYTY Ransomware?) 최근 랜섬웨어 동향은 대부분 RaaS(Ransomware as a Service) 형태이고, 대부분 다크웹 내에서 구독형으로 판매된다. 일부분은 랜섬웨어 조직과 연계하여 랜섬웨어 프로그램을 받고, 랜섬웨어 구매자가 유포하는 형식도 존재하고.. 아예 위 과정들을 풀 서비스(?) 형태로 판매하는 조직도 더러 있다. 비슷하게, 2021년경까지 RaaS 형태로 다크웹 내에서 랜섬웨어를 판매하던 조직이 존재한다. Ranion 이라는 랜섬웨어를 판매하던 조직인데, 언젠가 해당 랜섬웨어 사이트가 다운되었다. 이리저리 서칭을 하다보니, EGALYTY 랜섬웨어 라는 RaaS 를 발견할 수 있었다. Ranion 랜섬웨어 판매 사이트와 비슷하게 생겼고, 실제로 본인이 Ranion 랜섬웨어의 개발자라고 주장하고 있다. 심지어.. 이전 1 2 3 4 5 6 7 8 ··· 18 다음
