Analysis (70) 썸네일형 리스트형 22. Kimsuky's HWP malware 지난 10월 17일, Kimsuky 조직으로 추정되는 곳에서 한국의 통일연구원(KINU)를 사칭해 악성문서를 유포했다. 이 글은 해당 악성코드를 분석하고 정리한 글이다. 가장 먼저 한글 파일의 제목은 "KINU 전문가 자문회의 안내 및 요청사항"으로 되어있다. Author는 KINU이고 최종적으로 수정한 사람의 이름은 KNU로 되어있는 걸 볼 수 있다. 한글로 유포되는 악성코드의 경우에는 EPS(Encapsulated Post Script)를 통해서 악성행위가 이루어지기 때문에 EPS 부분을 긁어왔다. EPS 안에는 /ar 21. MageCart(Cobalt?)'s skimmer 최근, 메이지카트 그룹의 카드 스키머 공격이 계속해서 진행중이다. 사실, 6월경 모습을 드러내고 진행될 떄쯤에 관심을 갖고 활동을 계속 따라가고 있었는데 최근들어서 공격이 꽤 많아졌다. 거기에 코발트 그룹이나 FIN7 그룹과 유사성까지 제기되면서 메이지카트 그룹의 영향력?이 증폭되고있다. https://blog.malwarebytes.com/threat-analysis/2019/10/magecart-group-4-a-link-with-cobalt-group/ Magecart Group 4: A link with Cobalt Group? - Malwarebytes Labs Malwarebytes partnered with security firm HYAS to connect the dots between .. 20. DGA(Domain Generation Algorithm) 일반적으로 악성코드 중에서 파괴형 악성코드를 제외하고는 피해 PC를 감염시킨 후에 원격지에 있는 C2(Command & Control) 서버에 접속을 시도한다. 특히나, 봇 악성코드나 RAT 악성코드와 같은 부류들은 더욱이 C2 서버와의 연결이 중요하다. 상식상에서 결론적으로 어떠한 원격지와의 연결을 위해서는 IP 주소를 갖고 있거나, IP 주소와 대응하는 도메인 주소를 알고 있어야 연결이 가능하다. 그래서 악성코드 내부에 IP 주소를 하드코딩하는 경우도 있고 도메인 주소를 하드코딩하는 경우도 있지만 이런 경우에는 악성코드의 특징점으로 추출해내 안티 바이러스 제품에 녹여내면 손쉽게 악성코드를 탐지 및 차단할 수 있다. 그런것 때문에 악성코드 개발자? 라고 해야하나.. 그 분들은 어떻게하면 C2 서버와 연.. 19. 이벤트 당첨 위장 한글 악성코드 분석 이번 글은 '이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp' 악성코드를 분석한다. 현재 통신이 안되서 드롭되는 악성코드에서 감염사실 이후에 공격자 서버로부터 받아오는 DLL 등 추가 악성코드는 분석하지 못했다. 결론적으로 이 악성코드는 정보탈취 목적의 악성코드이며 이후에 암호화폐와 관련된 사람들에게서 지갑을 탈취한다거나 추가적인 공격에 활용되지 않을까 추정해본다. 악성코드는 한글 악성코드이다. 최종 저장자는 'Tester' 라고 저장되어있는걸 확인할 수 있다. 한글 내 EPS를 살펴보면 헥스값들로 페이로드가 저장된 걸 볼 수 있다. 결론적으로 이 페이로드를 xor 복호화 한 다음에 행위를 수행한다. 악성코드를 그냥 실행하면 (주)DAYBIT 이라는데를 사칭해서 이벤트가 당첨됐으니 이런저런걸 적.. 18. OSINT 관련 12개 정보 오늘 트위터를 확인하면서 OSINT(Open Source Intelligence)와 관련해 유용하게 사용할 수 있는 12개 사이트가 정리된 글을 봤다. 해당 글은 nixintel 이라는 사람이 쓴 글이고, 모두 다 영문이기 때문에 번역 및 정리한 글을 올린다. 1. 구글(Google) 흔히 알려져있듯이 구글에는 방대한 정보가 저장되어있다. 그리고 그 정보는 일반 사용자도 구글 검색 키워드에 검색만 잘 해도 꽤나 잘 활용할 수 있다. 그래서 OSINT와 관련된 사이트 중 하나가 구글이다. 당장 구글 검색창에다가 자신이 주로 사용하는 이메일만 쳐봐도 한두개정도는 정보가 나타날것이다. 이런 것을 이용해 공격자의 이메일 주소가 확보된 상황에서 구글을 이용해 OSINT를 진행해볼 수 있다. 2. 유저명 유저명도 .. 17. MS Office VBA 프로젝트 암호 깨부수기(+xlSheetVeryHidden 깨부수기) 악성코드를 분석하다보면, MS Office를 이용하는 악성코드들은 매크로를 통해 퍼지는 경우가 대부분이다. 문제는, 악성코드 본파일에 이용되는 정보를 담고있는 시트 파일을 xlSheetVeryHidden 옵션으로 숨겨버리는 경우가 있다. xlSheetHidden 옵션과는 다르게 xlSheetVeryHidden 옵션은 코드 수정을 통한 실행 이외에는 시트가 보여지지 않는다. 또, 매크로를 실행시키는 VBA 프로젝트에 암호를 걸어서 보지 못하게 만드는 악성코드들도 있다. 이 글에서는 xlSheetVeryHidden 옵션을 걸고, 해제하는 것(사실 이건 코드만 조금 바꿔주면 되서 굉장히 쉽다.)과 VBA 프로젝트에 암호가 걸려있을 경우 암호를 어떻게 깨부수는지에 대해 정리한다. 일단 Sheet1, Sheet2.. 16. olevba 사용법 MS Office 워드나 엑셀같이 문서 파일을 이용한 악성코드를 분석하다보면 만나게 되는게 매크로를 이용하는 부분이다. 근데, 이 매크로 부분이 종종 안보인다거나 매크로가 있는 시트를 숨겨놓는다던가 아니면 매크로 자체에서 매크로를 실행시켜서 악성 행위를 하는 프로그램은 드롭시키고(혹은 악성행위는 수행하고) 문서 파일 자체는 꺼버리는 행위를 하기도 한다. 그러면 그 사이에 재빨리 매크로를 채올 수 있는가? 그것도 사실 힘들겠지.. 그래서 찾다보니 olevba 라는 신박한 툴이 있었다.(매크로가 있는 시트를 숨겨놓는 경우는 다음 글에서 어떻게 해결하는지 정리한다.) 굉장히 신기한 툴인데, 문서 파일 안 매크로 스크립트인 VB script를 추출해주는 툴이다. 심지어 VBA 프로젝트에 암호가 걸려있어도 매크로.. 15. Shellcode 2 exe 사이트 막힘에 대한 대처방안(OllyDBG로 분석) 한글 악성코드를 분석하다가.. 운좋게 쉘코드가 xor 연산이나 이런걸 거치지 않는 형태로 그대로 나와서.. exe로 바꿔서 분석하면 되겠다! 하고 shellcode_2_exe 사이트를 찾아 들어가봤는데.. 무슨 연유인지 이제 서비스를 하지 않는다고 나온다.. 보안 업체들에서 그 사이트를 막았다는데..(왜 그랬을까..) 여튼 그래서 exe 파일로 열심히 만들어보려다가 결국 실패하고 쉘코드 자체를 OllyDBG로 분석하는 방법을 다시 찾게되었다. Shellcode_2_exe 툴을 당장에 만들 상황이 안될 것 같아서 이게 유용하게 쓰일 것 같아서 블로그에 정리해놓는다.. 1. 올리디버거로 notepad.exe 등 아무 파일이나 오픈 (notepad.exe가 제일 좋음) 2. 마우스 우측버튼 Backup -> .. 이전 1 ··· 4 5 6 7 8 9 다음
