Analysis (70) 썸네일형 리스트형 14. Nemty 2019년 08월 27일 Nemty 랜섬웨어가 발견되었다. 본 글에서는 해당 악성코드를 상세분석한다. Malware Nemty ransomware Environment OS Windows 7 Action File encryption 가장 먼저 넴티(Nemty) 랜섬웨어는 실행되면 중복 실행 방지를 위해 "hate"라는 이름의 뮤텍스를 생성한다. 이후 base64로 인코딩 되어있는 랜섬노트 내용을 복호화 한다. 이어서 감염 PC에서 논리 드라이브를 탈취하고 드라이브 타입을 알아낸다. 드라이브 타입이 USB와 같은 "REMOVABLE" 타입인지, 일반 HDD와 같이 "FIXED" 타입인지, NAS와 같이 "NETWORK" 타입인지를 알아낸다. 드라이브 타입을 알아낸 이후에는 해당 디스크에 공간이 얼마나 남아.. 13. 분석 특징 정리 분석 특징 정리 글(지속적 업데이트 예정, 그룹 별) Lazarus - XOR 키 값 1. 0x39 0xC3 0xB2 0x70 0x05 0x85 0x3E 0x98 0x66 0x1C 0x8B 0xBC 0x1B 0xDD 0xEA 0xF8 2. 0xAA - URL 1. https://www[.]sparkdept[.]com/wp-content/uploads/themify/theme2.db.enc https://www[.]sparkdept[.]com/wp-content/uploads/themify/theme4.db.enc 2. https://stokeinvestor[.]com/common[.]php https://growthincone[.]com/board[.]php https://inverstingpurpose.. 12. 악성코드 샘플 수집 관련 사이트(무료) ANY.RUN: 등록 필요, 대쉬보드 형태로 잘 나타남(쿠쿠 샌드박스 처럼 분석 화면, 결과도 나타남) Contagio Malware Dump CAPE Sandbox Das Malwerk FreeTrojanBotnet: 등록 필요 Hybrid Analysis: 등록 필요, 학생 계정의 경우 라이센스를 무료로 열어줌(바이러스 토탈과 비슷) KernelMode.info: 등록 필요 MalShare: 등록 필요 Malware.lu’s AVCaesar: 등록 필요 Malware DB Objective-See Collection: 맥 OS 악성코드 관련(이라고 한다..) PacketTotal: Malware inside downloadable PCAP files SNDBOX: 등록 필요 theZoo 위에 있는 M.. 11. Lazarus's Movie Coin 2019년 08월 13일 라자루스 그룹이 제작한 것으로 추정되는 국세청 문서로 위장한 악성코드가 발견되었다. 본 글에서는 해당 악성코드를 상세분석한다. Malware Lazarus's Movie Coin Environment OS Windows 7 Action Stealer 먼저 국세청 문서로 위장한 악성코드는 "별지 제 172호 서식"이라는 타이틀을 가지며 "User"라는 사용자 명으로 최종 저장한 것으로 나타난다. 해당 악성코드는 이전 한글 파일을 이용해 악성코드를 유포하던 방식과 같이 EPS(Encapsulated Post Script)를 이용해 악성코드를 유포하며, 실제 악성코드 안에 PS 파일이 존재한다. PS 파일에는 드로퍼 역할을 수행하는 코드가 인코딩 되어 있으며 특정 값을 이용해 xor .. 10. APT 관련 사이트 https://embed.kumu.io/0b023bf1a971ba32510e86e8f1a38c38?fbclid=IwAR37ObJC0yrV5fxJl8omg6Vu230NgPGFna4JOkE1AwExvjgh5-FS7ZmA-tc#apt-index APT Index A Kumu Project. kumu.io 각 국의 APT 그룹이나 받고 있는 공격들에대해 자세히 나와있음. 09. Fast-Flux Fast-Flux는 특정 도메인에 대량의 IP 주소를 제공하는 것을 가능하도록 하는 것을 이용한 기법이다. 악성코드 유포에서 이용된다. 한 마디로, 하나의 도메인에 많은 IP 주소가 연결되어 있는 경우이다. Fast-Flux에서 TTL(Time-To-Live)는 3-5분 이내로 굉장히 짧게 구성되며 한 도메인에 대해 많은 IP 주소들이 라운드로빈 방식으로 빠르게 바뀌게 된다. 라운드 로빈 DNS는 도메인에 많은 IP를 붙인다는 것에서 추측할 수 있듯이 네트워크 부하 분산과 네트워크 밸런싱에 사용되는 기술이다. 각기 다른 사용자가 동일 도메인에 한번에 접속해있는 느낌을 받게 해주면서 같은 도메인에 대해 각기 다른 서버에서 전달되는 reply를 받을 수 있도록 해주는 것이다. 예를 들게되면, 첫번째 사용자가.. 08. Clop Clop 랜섬웨어는 2019년에 등장한 기업을 타깃으로 삼는 랜섬웨어이다. 본 글에서는 Clop 랜섬웨어를 분석한다. Malware Clop OS Windows7 action File Crypt(Ransom) 악성코드 파일을 실행하면 첫 행위로 popup.txt 라는 파일을 읽으려 한다. 추측상이지만 현재 컴퓨터가 감염된것인지 아닌지를 구분하기 위해서로 보인다. 이후 감염 PC의 MS-DOS 디바이스명을 1234567890로 재정의한다. 재정의 후, 감염 PC의 테이프를 삭제하고 아톰 테이블을 삭제한 뒤에 MS-DOS 디바이스 명을 1234567890으로 재정의하는 것을 반복하면서 아톰명으로 27이라는 이름을 가진 아톰을 찾는걸 반복한다. 해당 행위들을 수행하고 난 뒤, 현재 PC에서 특정 프로그램(백신.. 07. 도메인 쉐도잉 1. 도메인 쉐도잉 드라이브-바이-다운로드에서 악성코드 유포지로 흘러가는 길목(경유지)에 사용되는 도메인들이 수 많은 서브 도메인으로 구성되는 기술이다. 탐지 및 블랙리스팅 형태의 솔루션을 우회하기 위해 사용되는 기술이다. 서브 도메인이 여러개가 합쳐져서 하나의 도메인을 이루기 때문에 침해사고 대응의 입장에서는 당연하게도 추적하기 매우 어려운 구조를 지닌다. 최초 경유지에 삽입된 악성 스크립트를 따라서 추적을 진행한 뒤, 감염시킨 악성코드를 분석해 대응하는 구조를 가질수는 있지만 사실상 최초 경유지 이후 나오는 도메인들이 수 많은 서브 도메인이 합쳐져 만들어지다보니 그걸 다 따라가면서 추적한다는게 불가능하다. 많은 서브 도메인이 다 한 국가에 있을거라는 보장도 없으며 얼마나 많은 서브 도메인이 존재하는지.. 이전 1 ··· 5 6 7 8 9 다음
