본문 바로가기

Analysis

 (98)
26. Sodinikibi(Specialist) 갠드크랩이 V5.2 이후로 업그레이드가 안되고 자취를 감춘 현재, 갠드크랩과 상당히 유사한 랜섬웨어가 활발히 유포되고 있다. 심지어는 갠드크랩과 크게 다른점이 배경화면을 파란색으로 바꾸는 것 뿐이어서 블루크랩이라고도 불린다. 소디노키비, 소딘, 블루크랩, 스페셜리스트 등 여러 이름으로 불리고 있는 랜섬웨어이다. 매그니버(마이랜섬) - 갠드크랩 - 소디노키비 제작자가 모두 동일하다는 추측도 제기되는 상황이고 랜섬웨어들이 대부분 RaaS(Ransomware-as-a-Service) 형태로 제작되고 유포중이기 때문에 어느정도 가능성이 있는 말이라고 생각된다. 본 글에서는 소디노키비 랜섬웨어를 분석해본다. 소디노키비 랜섬웨어는 제일 먼저 대부분 랜섬웨어가 그렇듯 중복실행 방지를 위해 뮤텍스를 생성한다. 뮤텍스 ..
25. Rich Header PE 구조에서 DOS 헤더와 COFF 헤더 사이에는 2가지 Stub이 존재한다. 하나는 DOS Program으로써, 대부분 파일에 적혀있듯 This program cannot be run in DOS mode 가 DOS Stub이다. DOS Stub은 실행되지 않는 부분, 도스모드에서 실행을 방지하기 위한 부분이라고 대부분 알고있지만 사실은 도스모드에서 실행되는 부분이다. 최근 프로그램들은 모두 윈도우에서 동작하기 때문에 도스모드에서 실행될 경우에는 "This program cannot be run in DOS mode"라고 출력한 다음 종료하도록 설계해둔 것이다. 다른 하나는 Rich Header 인데, 리치헤더는 Rich 문자열 앞부분에 이어져있다. Rich 문자열 앞 부분은 모두 체크섬을 이용해 x..
24. Lazarus's HWP(CES 참관단) Lazarus가 제작하고 유포한 것으로 추정되는 연애심리테스트.xls 악성코드가 발견된지 바로 하루만에, 또 다시 새로운 악성코드가 유포되었다. 문서는 CES 참관단 신청서를 위장하고 있으며 타임스탬프는 2006년 2월 3일 오후 1:48:46분으로 계산된다. 또한, 최종 수정 날은 2019년 10월 21일 07:30:06(UTC)로 나타난다. 이전의 라자루스가 제작했던 HWP 악성코드와 동일하게, Y101 이라는 변수명으로 EPS 가 구성되어있다. EPS 안에는 본파일이 될 헥스값들이 존재하고 특정 헥스값과 XOR 연산을 통해 복호화 하는 방식이다. 특정 XOR은 다음과 같다. 0xF6, 0xA4, 0xE6, 0xE8, 0x0xF6, 0xA4, 0xE6, 0xE8, 0x7C, 0x27, 0x63, 0x..
23. Lazarus, 연애심리테스트.xls Lazarus 그룹이 제작한 것으로 추정되는 xls 악성코드가 유포되었다. 실제 샘플 파일의 정보를 살펴보면, xls 파일이 작성된 날짜 자체는 2018년 03월 21일이다. 이전에도 이런 비슷한 악성코드가 유포된 적이 있는데, 그 당시 사용했던 악성코드를 다시 재활용한 것으로 보인다. xls 문서를 실행하게 되면 아래와 같은 화면을 볼 수 있다. 클릭 부분이 존재하고, "진실하게 답해야 해" 라는 문구가 보인다. 하지만 이 화면에서는 특별할 것이 없고, 파일을 열고 매크로 사용을 클릭한 순간 환경 백그라운드에서는 악성 매크로가 동작하면서 파워쉘 파일을 드롭한다. 실제로 xls 파일의 매크로는 이렇게 이루어져있다. 먼저, 실행중인 환경이 Mac 환경인지를 체크한다. Mac 환경이면 특정 URL로 연결하고..
22. Kimsuky's HWP malware 지난 10월 17일, Kimsuky 조직으로 추정되는 곳에서 한국의 통일연구원(KINU)를 사칭해 악성문서를 유포했다. 이 글은 해당 악성코드를 분석하고 정리한 글이다. 가장 먼저 한글 파일의 제목은 "KINU 전문가 자문회의 안내 및 요청사항"으로 되어있다. Author는 KINU이고 최종적으로 수정한 사람의 이름은 KNU로 되어있는 걸 볼 수 있다. 한글로 유포되는 악성코드의 경우에는 EPS(Encapsulated Post Script)를 통해서 악성행위가 이루어지기 때문에 EPS 부분을 긁어왔다. EPS 안에는 /ar
21. MageCart(Cobalt?)'s skimmer 최근, 메이지카트 그룹의 카드 스키머 공격이 계속해서 진행중이다. 사실, 6월경 모습을 드러내고 진행될 떄쯤에 관심을 갖고 활동을 계속 따라가고 있었는데 최근들어서 공격이 꽤 많아졌다. 거기에 코발트 그룹이나 FIN7 그룹과 유사성까지 제기되면서 메이지카트 그룹의 영향력?이 증폭되고있다. https://blog.malwarebytes.com/threat-analysis/2019/10/magecart-group-4-a-link-with-cobalt-group/ Magecart Group 4: A link with Cobalt Group? - Malwarebytes Labs Malwarebytes partnered with security firm HYAS to connect the dots between ..
20. DGA(Domain Generation Algorithm) 일반적으로 악성코드 중에서 파괴형 악성코드를 제외하고는 피해 PC를 감염시킨 후에 원격지에 있는 C2(Command & Control) 서버에 접속을 시도한다. 특히나, 봇 악성코드나 RAT 악성코드와 같은 부류들은 더욱이 C2 서버와의 연결이 중요하다. 상식상에서 결론적으로 어떠한 원격지와의 연결을 위해서는 IP 주소를 갖고 있거나, IP 주소와 대응하는 도메인 주소를 알고 있어야 연결이 가능하다. 그래서 악성코드 내부에 IP 주소를 하드코딩하는 경우도 있고 도메인 주소를 하드코딩하는 경우도 있지만 이런 경우에는 악성코드의 특징점으로 추출해내 안티 바이러스 제품에 녹여내면 손쉽게 악성코드를 탐지 및 차단할 수 있다. 그런것 때문에 악성코드 개발자? 라고 해야하나.. 그 분들은 어떻게하면 C2 서버와 연..
19. 이벤트 당첨 위장 한글 악성코드 분석 이번 글은 '이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp' 악성코드를 분석한다. 현재 통신이 안되서 드롭되는 악성코드에서 감염사실 이후에 공격자 서버로부터 받아오는 DLL 등 추가 악성코드는 분석하지 못했다. 결론적으로 이 악성코드는 정보탈취 목적의 악성코드이며 이후에 암호화폐와 관련된 사람들에게서 지갑을 탈취한다거나 추가적인 공격에 활용되지 않을까 추정해본다. 악성코드는 한글 악성코드이다. 최종 저장자는 'Tester' 라고 저장되어있는걸 확인할 수 있다. 한글 내 EPS를 살펴보면 헥스값들로 페이로드가 저장된 걸 볼 수 있다. 결론적으로 이 페이로드를 xor 복호화 한 다음에 행위를 수행한다. 악성코드를 그냥 실행하면 (주)DAYBIT 이라는데를 사칭해서 이벤트가 당첨됐으니 이런저런걸 적..

티스토리툴바