Analysis (41) 썸네일형 리스트형 50. Kanti ransomware (nim language) NIM 언어로 작성된 랜섬웨어가 새롭게 발견되었다. 본 글에서는 해당 샘플을 분석한다. 먼저, 해당 샘플은 비트코인 지갑이 Lock 되어있는 상태인 것 처럼 피해자를 속인다. 비트코인 지갑 주소를 풀기 위해서는 랜섬웨어 샘플과 같이 동봉된 LNK 파일을 실행하도록 유도하는데, 해당 LNK 파일은 아래 그림에 나타난 것처럼 "Locked_253_BTC.zip" 이름의 Kanti 랜섬웨어를 실행하는 명령로 연결된다. Kanti 랜섬웨어는 Nim 언어로 작성되었다. 아래 그림처럼 관련 정보를 열어보면 Nim 언어로 작성된 것을 알 수 있다. 실행시 가장 먼저 %APPDATA% 아래에 key.txt 를 생성한다. key.txt 내용은 "Get Fucked!" 라는 문자열로 이루어진다. 해당 랜섬웨어는 단순한 형.. 46. Kimsuky's CHM 최근 Kimsuky 그룹이 위장 chm 파일을 이용하여 악성코드를 유포하고 있다. 스피어피싱 공격 기법 등과 조합하여 chm 파일을 열람하도록 유도해 RAT 악성코드 등을 유포하는 형태이다. - 관련 분석 보고서 https://blog.alyac.co.kr/4609 https://p3ngdump.tistory.com/109 45. Aukill 랜섬웨어 공격자들이 Aukill 이라는 도구를 사용해 MS Defender나 드라이버의 취약점을 통해 EDR를 회피한다는 기사를 접했다. https://thehackernews.com/2023/04/ransomware-hackers-using-aukill-tool-to.html Ransomware Hackers Using AuKill Tool to Disable EDR Software Using BYOVD Attack Ransomware attackers are utilizing a new "defense evasion tool" called AuKill to deactivate EDR software using a BYOVD attack. thehackernews.com https://www.boann.. 41. Kimsuky's [KBS 일요진단]질문지.docx 2023년 2월경 [KBS 일요진단]질문지.docx 라는 이름으로 kimsuky의 악성코드가 유포되었다. 해당 악성코드는 정상적인 워드 문서 파일로 위장하고 있지만 Template Injection 등을 통해 내부적으로는 악성 스크립트를 다운로드 및 실행해 감염 PC의 정보들을 C2 서버로 전송하는 행위를 수행한다. 처음 파일을 열면 아래와 같이 Microsoft Office 아이콘과 함께 "콘텐츠를 불러올수 없습니다" 와 "호환성문제로 콘텐츠를 올바르게 불러올수 없습니다." 등의 문구가 존재하는 이미지를 띄운다. 해당 이미지를 통해 피해자에게 "편집 사용", "콘텐츠 사용" 버튼을 클릭하게 해 decoy 문서를 다운로드 받게 하는 목적이다. * 특이점: 해당 문서의 언어 설정값이 일본어로 되어 있다. .. 40. GuLoader 최근 보안뉴스, 해커뉴스, 시큐리티어페어즈 등 여러 매체에서 다뤄지는 악성코드이면서 드로퍼의 성격을 띄며 빠르게 퍼지고 있는 GuLoader에 대해 분석한다. 분석 환경 OS Windows 7 악성코드 해쉬 2374e67f9bafb16982479819931eeca7fcafda7dcf7248a15be29b0f061ffdc9 악성코드 종류 드로퍼 먼저, GuLoader 악성코드는 예전부터 악성코드들이 기용한 NSIS 실행 압축을 선택하고 있다. NSIS를 사용해 실행되는 이유는 백신 프로그램의 우회가 주 목적으로 생각된다. 일반적인 프로그램들도 NSIS를 사용하는 경우가 많기 때문에 백신 프로그램에서 악성코드만 골라내기 힘들기 때문이다. 본격적으로 분석을 시작해본다. NSIS 가 적용되어있기 때문에 압축을 .. 35. Maze ransomware 최근 LG의 데이터를 훔쳤다고 핫(?)해진 Maze 랜섬웨어를 분석해보았다. 사실 랜섬웨어가 랜섬웨어이기 때문에.. 크게 다른 점은 없어보인다. OS Windows 7 Name Maze ransomware md5 4e2554b448424859b508433e6c4a043718343febc7894a849f446dd197b47d1e Maze 랜섬웨어 샘플에서는 특별한 패킹이나 프로텍터는 존재하지 않았다. 약간 특이한점은 실제로 사용하는 함수를 애초에 불러와놓은 상태로 가져다 쓰는 것이 아니라 아래 그림처럼 JMP 코드를 통해서 사용할 함수를 그때그때 변수를 통해 실행한다는 점이었다. 더해서, 사용할 함수와 같은 것들을 점프해서 쓰는 코드 또한 그냥 박혀있는게 아니라 프로그램 내 특정 디코딩 루틴을 통해서 디코.. 34. makop ransomware 요즘에 makop라고 이름붙여진 랜섬웨어가 유포중이다. ASEC 팀의 관련 글을 보고 분석해봐야지 생각이 들어 분석해봤다. - ASEC 팀의 분석 글 https://asec.ahnlab.com/1314 [주의] 이력서로 위장한 makop 랜섬웨어 (04.13) ASEC 분석팀은 4월 13일 이력서로 위장해 유포 중인 makop랜섬웨어를 발견하였다. 이메일의 압축 첨부파일 형태로 유포되며, 내부에는 한글 문서(.hwp) 아이콘의 실행파일(exe)이 존재한다. 금일 확인된 유포 파일.. asec.ahnlab.com 일단 분석 대상은 위 글에 나온 이력서_항상무었을하던지~ 샘플로 정해 시작했다. 예전부터 악성코드에서 많이 보이듯, 정적 분석을 피하기 위한 목적으로 실제 사용하는 함수들을 미리 로드해둔채로 프로.. 33. Remcos 최근 Remcos 악성코드가 활발히 유포중인 것으로 보인다. 본 글에서는 Remcos 악성코드를 분석해본다. 기본적으로 Remcos 악성코드는 Stealer 형 악성코드이다. 분석 OS는 Windows 7 64 bit 였으며 분석 도구로는 IDA와 OllyDBG를 사용했으나.. 거의 OllyDBG로 진행했다. 악성코드 특성상 메모리로 직접 로드해서 사용하는 악성행위가 많았기 때문이다. Remcos 악성코드는 가장먼저 자신이 사용할 DLL을 모두 불러온다. 미리 DLL을 내장한채로 실행되지 않는다. 이후 실행되고 있는 컴퓨터의 CP, Code Page 정보를 가져온다. sfxcmd, sfxpar, sfxname 등의 이름으로 환경변수를 등록하기도 한다. 이후에는 현재 실행중인 컴퓨터의 LocalTime 정.. 이전 1 2 3 4 5 6 다음
