분류 전체보기 (140) 썸네일형 리스트형 01. Signal Overshadowing 최근 LTE, 5G 취약점에 관련해서 공부하고 있어 좋은 주제의 공격 방식에 대해 정리한다. 일단, 기본적으로 현재 5G 환경은 NSA(None-Stand Alone) 환경으로 NR 기지국과 eNodeB 기지국을 함께 사용하는 형식이다. 아래 그림처럼, 코어망은 LTE로 공유하면서 데이터만 5G 망을 통해 받아오는 형식이다. 그렇기 때문에, LTE에서 발생하는 취약점은 현재 NSA 5G 환경에서도 발생할 확률이 높다. + SA 5G 환경도 LTE 망에 기반해서 발전되었기 때문에 SA 5G 환경에서도 LTE 에서 발생했던 취약점이 동일하게 혹은 비슷하게 발생할 확률이 높다. 대부분 LTE 환경에서 취약점은 셀 재선택이나 여러 옵션들(System Information Block 을 이용한)을 이용해서 FBS.. 34. makop ransomware 요즘에 makop라고 이름붙여진 랜섬웨어가 유포중이다. ASEC 팀의 관련 글을 보고 분석해봐야지 생각이 들어 분석해봤다. - ASEC 팀의 분석 글 https://asec.ahnlab.com/1314 [주의] 이력서로 위장한 makop 랜섬웨어 (04.13) ASEC 분석팀은 4월 13일 이력서로 위장해 유포 중인 makop랜섬웨어를 발견하였다. 이메일의 압축 첨부파일 형태로 유포되며, 내부에는 한글 문서(.hwp) 아이콘의 실행파일(exe)이 존재한다. 금일 확인된 유포 파일.. asec.ahnlab.com 일단 분석 대상은 위 글에 나온 이력서_항상무었을하던지~ 샘플로 정해 시작했다. 예전부터 악성코드에서 많이 보이듯, 정적 분석을 피하기 위한 목적으로 실제 사용하는 함수들을 미리 로드해둔채로 프로.. 33. Remcos 최근 Remcos 악성코드가 활발히 유포중인 것으로 보인다. 본 글에서는 Remcos 악성코드를 분석해본다. 기본적으로 Remcos 악성코드는 Stealer 형 악성코드이다. 분석 OS는 Windows 7 64 bit 였으며 분석 도구로는 IDA와 OllyDBG를 사용했으나.. 거의 OllyDBG로 진행했다. 악성코드 특성상 메모리로 직접 로드해서 사용하는 악성행위가 많았기 때문이다. Remcos 악성코드는 가장먼저 자신이 사용할 DLL을 모두 불러온다. 미리 DLL을 내장한채로 실행되지 않는다. 이후 실행되고 있는 컴퓨터의 CP, Code Page 정보를 가져온다. sfxcmd, sfxpar, sfxname 등의 이름으로 환경변수를 등록하기도 한다. 이후에는 현재 실행중인 컴퓨터의 LocalTime 정.. e01. uDork 이리저리 정보를 검색하다, uDork라는 툴을 발견했다. 툴의 주요 기능은 지정된 도메인 내부에서 어떤 파일 유형의 파일이 존재하는지를 검색해서 알려주는 것이다. https://github.com/m3n0sd0n4ld/uDork?fbclid=IwAR0ygLIlbZm6MmQ1zY_ACFYlVHbpoUcVDDmzazLS9Fr0lS1UQa3dxdU50xo m3n0sd0n4ld/uDork Contribute to m3n0sd0n4ld/uDork development by creating an account on GitHub. github.com 공식 github은 위와 같고 대략적인 사용법은 python3 uDork -d [도메인명] -e [파일유형] 식으로 사용한다. 아래는 uDork에서 지원하는 파라미터들 .. 03. MIPS architecture syscall number MIPS 아키텍쳐의 syscall number가 잘 정리되어 있음. https://syscalls.w3challs.com/?arch=mips_o32 32. Lazarus Graph 이번 글에서는 이전부터 연결해왔던 북한 해킹그룹인 라자루스 그룹의 연관관계 그래프를 업로딩하고자 한다. 일단 전체 그래프는 위와 같다.(많은 샘플에 대한 그래프는 아니다.) 각 구역을 상하좌우로 4등분해서 한 구역당 하나의 공격 혹은 비슷한 샘플들의 위치이다. 언뜻 보기에도 다른 유형의 공격, 다른 유형의 샘플임에도 불구하고 C2 서버와 같은 것들이 서로 연관돼 있는 것을 볼 수 있다. 물론 여기서의 C2 서버는 VPN 등을 이용해 다른 나라로 거쳐간 C2 들이겠지만.. 각 구역을 상세히 살펴보면 먼저, 홉라이트 악성코드들과 작년 말쯤 유포되었던 한글 악성코드에 연관관계가 있는 것을 볼 수 있다. 둘의 공격은 엄연히 다른 샘플과 공격 유형이지만, 각각이 비슷한 샘플에서 겹치는 샘플이 나타나는 것을 볼 수.. 31. Lazarus's Ratankba 3일전, 바이러스 토탈 Lazarus 야라 룰에 새로운 악성코드가 잡혔다. 악성코드는 2017년도 활발히 유포되었던 Ratankba 라는 악성코드이다. 대부분 POS(Point Of Sale System)에서 금전 탈취나 피해자 PC에서 암호화폐 채굴과 정보 탈취를 목적으로 유포되었던 것으로 보인다. 기본적인 악성코드 정보는 아래와 같다. 악성코드 명 Ratankba 수행 행위 암호화폐 채굴, 정보 탈취 악성코드의 메인 함수에는 총 3개의 악성행위 수행 함수들이 존재한다. 각각의 함수들이 수행하는 대략적인 행위는 아래와 같다. Copy_Winslui_sub_405560 본 파일을 %APPDATA%\Microsoft\Windows\시작 메뉴\프로그램\시작프로그램\Winslui.exe 로 복사 혹은 %USE.. 30. Lazarus's Dtrack 라자루스 그룹은 Dtrack이라는 악성코드로 컴퓨터 내 정보 탈취를 목적으로 악성 행위를 수행한 적이 있다. 해당 악성코드는 ATM 등에서도 활발히 사용되어 카드 정보 등을 탈취하려는 시도도 존재했었다. 본 글에서는 해당 Dtrack 악성코드를 분석한다. 먼저 분석한 악성코드의 정보는 아래와 같다. 비주얼C/C++을 이용해 컴파일 되어있다. 악성코드는 크게 세가지 행위를 수행한다. 악성코드 내에서 행위를 수행할 때 사용할 함수를 불러오는 것을 첫번째로 수행한다. 이후로 악성코드가 실행된 피해자 PC 내의 정보들을 탈취하고 최종적으로 공격자의 C2(Command and Control) 서버에 연결해 탈취한 정보들을 전송하는 형식이다. 제일 먼저 악성행위에서 사용할 함수들을 불러오는 함수에는 아래와 같은 코.. 이전 1 ··· 4 5 6 7 8 9 10 ··· 18 다음
