Analysis (41) 썸네일형 리스트형 23. Lazarus, 연애심리테스트.xls Lazarus 그룹이 제작한 것으로 추정되는 xls 악성코드가 유포되었다. 실제 샘플 파일의 정보를 살펴보면, xls 파일이 작성된 날짜 자체는 2018년 03월 21일이다. 이전에도 이런 비슷한 악성코드가 유포된 적이 있는데, 그 당시 사용했던 악성코드를 다시 재활용한 것으로 보인다. xls 문서를 실행하게 되면 아래와 같은 화면을 볼 수 있다. 클릭 부분이 존재하고, "진실하게 답해야 해" 라는 문구가 보인다. 하지만 이 화면에서는 특별할 것이 없고, 파일을 열고 매크로 사용을 클릭한 순간 환경 백그라운드에서는 악성 매크로가 동작하면서 파워쉘 파일을 드롭한다. 실제로 xls 파일의 매크로는 이렇게 이루어져있다. 먼저, 실행중인 환경이 Mac 환경인지를 체크한다. Mac 환경이면 특정 URL로 연결하고.. 17. MS Office VBA 프로젝트 암호 깨부수기(+xlSheetVeryHidden 깨부수기) 악성코드를 분석하다보면, MS Office를 이용하는 악성코드들은 매크로를 통해 퍼지는 경우가 대부분이다. 문제는, 악성코드 본파일에 이용되는 정보를 담고있는 시트 파일을 xlSheetVeryHidden 옵션으로 숨겨버리는 경우가 있다. xlSheetHidden 옵션과는 다르게 xlSheetVeryHidden 옵션은 코드 수정을 통한 실행 이외에는 시트가 보여지지 않는다. 또, 매크로를 실행시키는 VBA 프로젝트에 암호를 걸어서 보지 못하게 만드는 악성코드들도 있다. 이 글에서는 xlSheetVeryHidden 옵션을 걸고, 해제하는 것(사실 이건 코드만 조금 바꿔주면 되서 굉장히 쉽다.)과 VBA 프로젝트에 암호가 걸려있을 경우 암호를 어떻게 깨부수는지에 대해 정리한다. 일단 Sheet1, Sheet2.. 16. olevba 사용법 MS Office 워드나 엑셀같이 문서 파일을 이용한 악성코드를 분석하다보면 만나게 되는게 매크로를 이용하는 부분이다. 근데, 이 매크로 부분이 종종 안보인다거나 매크로가 있는 시트를 숨겨놓는다던가 아니면 매크로 자체에서 매크로를 실행시켜서 악성 행위를 하는 프로그램은 드롭시키고(혹은 악성행위는 수행하고) 문서 파일 자체는 꺼버리는 행위를 하기도 한다. 그러면 그 사이에 재빨리 매크로를 채올 수 있는가? 그것도 사실 힘들겠지.. 그래서 찾다보니 olevba 라는 신박한 툴이 있었다.(매크로가 있는 시트를 숨겨놓는 경우는 다음 글에서 어떻게 해결하는지 정리한다.) 굉장히 신기한 툴인데, 문서 파일 안 매크로 스크립트인 VB script를 추출해주는 툴이다. 심지어 VBA 프로젝트에 암호가 걸려있어도 매크로.. 15. Shellcode 2 exe 사이트 막힘에 대한 대처방안(OllyDBG로 분석) 한글 악성코드를 분석하다가.. 운좋게 쉘코드가 xor 연산이나 이런걸 거치지 않는 형태로 그대로 나와서.. exe로 바꿔서 분석하면 되겠다! 하고 shellcode_2_exe 사이트를 찾아 들어가봤는데.. 무슨 연유인지 이제 서비스를 하지 않는다고 나온다.. 보안 업체들에서 그 사이트를 막았다는데..(왜 그랬을까..) 여튼 그래서 exe 파일로 열심히 만들어보려다가 결국 실패하고 쉘코드 자체를 OllyDBG로 분석하는 방법을 다시 찾게되었다. Shellcode_2_exe 툴을 당장에 만들 상황이 안될 것 같아서 이게 유용하게 쓰일 것 같아서 블로그에 정리해놓는다.. 1. 올리디버거로 notepad.exe 등 아무 파일이나 오픈 (notepad.exe가 제일 좋음) 2. 마우스 우측버튼 Backup -> .. 14. Nemty 2019년 08월 27일 Nemty 랜섬웨어가 발견되었다. 본 글에서는 해당 악성코드를 상세분석한다. Malware Nemty ransomware Environment OS Windows 7 Action File encryption 가장 먼저 넴티(Nemty) 랜섬웨어는 실행되면 중복 실행 방지를 위해 "hate"라는 이름의 뮤텍스를 생성한다. 이후 base64로 인코딩 되어있는 랜섬노트 내용을 복호화 한다. 이어서 감염 PC에서 논리 드라이브를 탈취하고 드라이브 타입을 알아낸다. 드라이브 타입이 USB와 같은 "REMOVABLE" 타입인지, 일반 HDD와 같이 "FIXED" 타입인지, NAS와 같이 "NETWORK" 타입인지를 알아낸다. 드라이브 타입을 알아낸 이후에는 해당 디스크에 공간이 얼마나 남아.. 11. Lazarus's Movie Coin 2019년 08월 13일 라자루스 그룹이 제작한 것으로 추정되는 국세청 문서로 위장한 악성코드가 발견되었다. 본 글에서는 해당 악성코드를 상세분석한다. Malware Lazarus's Movie Coin Environment OS Windows 7 Action Stealer 먼저 국세청 문서로 위장한 악성코드는 "별지 제 172호 서식"이라는 타이틀을 가지며 "User"라는 사용자 명으로 최종 저장한 것으로 나타난다. 해당 악성코드는 이전 한글 파일을 이용해 악성코드를 유포하던 방식과 같이 EPS(Encapsulated Post Script)를 이용해 악성코드를 유포하며, 실제 악성코드 안에 PS 파일이 존재한다. PS 파일에는 드로퍼 역할을 수행하는 코드가 인코딩 되어 있으며 특정 값을 이용해 xor .. 08. Clop Clop 랜섬웨어는 2019년에 등장한 기업을 타깃으로 삼는 랜섬웨어이다. 본 글에서는 Clop 랜섬웨어를 분석한다. Malware Clop OS Windows7 action File Crypt(Ransom) 악성코드 파일을 실행하면 첫 행위로 popup.txt 라는 파일을 읽으려 한다. 추측상이지만 현재 컴퓨터가 감염된것인지 아닌지를 구분하기 위해서로 보인다. 이후 감염 PC의 MS-DOS 디바이스명을 1234567890로 재정의한다. 재정의 후, 감염 PC의 테이프를 삭제하고 아톰 테이블을 삭제한 뒤에 MS-DOS 디바이스 명을 1234567890으로 재정의하는 것을 반복하면서 아톰명으로 27이라는 이름을 가진 아톰을 찾는걸 반복한다. 해당 행위들을 수행하고 난 뒤, 현재 PC에서 특정 프로그램(백신.. 06. LokiBot LokiBot은 웹 브라우저, FTP, 이메일 클라이언트, Putty 같은 IT 관리 툴 패스워드를 정보를 훔치는 스틸러 악성코드이다. 닉네임 "lokistov"를 사용하는 사람이 처음 개발해 LokiBot 이라고 불린다고한다. 본 글에서는 LokiBot을 분석한다. Malware LokiBot OS Windows7 action Stealer 악성코드 샘플을 실행하면 파일 자체에 DLL 이 있는 것이 아니라, 자체 디코딩 함수를 통해서 사용할 DLL 파일들을 문자열로 디코딩 시키고 LoadLibrary 함수를 통해 문자열로 디코딩 해 둔 DLL 파일들을 가져온다. 피해 PC의 정보들을 탈취한 후 C&C 서버에 소켓 연결로 탈취한 데이터를 전송하기 위해서 미리 소켓 초기화를 수행한다. 이후 "SOFTWAR.. 이전 1 2 3 4 5 6 다음
