Malware (39) 썸네일형 리스트형 40. GuLoader 최근 보안뉴스, 해커뉴스, 시큐리티어페어즈 등 여러 매체에서 다뤄지는 악성코드이면서 드로퍼의 성격을 띄며 빠르게 퍼지고 있는 GuLoader에 대해 분석한다. 분석 환경 OS Windows 7 악성코드 해쉬 2374e67f9bafb16982479819931eeca7fcafda7dcf7248a15be29b0f061ffdc9 악성코드 종류 드로퍼 먼저, GuLoader 악성코드는 예전부터 악성코드들이 기용한 NSIS 실행 압축을 선택하고 있다. NSIS를 사용해 실행되는 이유는 백신 프로그램의 우회가 주 목적으로 생각된다. 일반적인 프로그램들도 NSIS를 사용하는 경우가 많기 때문에 백신 프로그램에서 악성코드만 골라내기 힘들기 때문이다. 본격적으로 분석을 시작해본다. NSIS 가 적용되어있기 때문에 압축을 .. 39. Rhadamanthys stealer 요즘 유행하는 Rhadamanthys stealer를 간단하게 분석해본다. 해당 정보에는 C/C++로 나오지만 실제 해당 파일은 PyInstaller로 만들어진 exe 파일이다. 따라서, 악성파일에서 사용할 라이브러리를 불러오는 부분이 존재한다. 또한, 악성파일에서 사용할 파이썬 라이브러리들을 불러오기 위한 함수들도 GetProcAddress로 불러와 사용한다. 굉장한 스파게티 코드로 짜여져 있는 것을 볼 수 있다. 이후, 보통 PyInstaller로 만들었을 때 실행을 위해 존재해야 하는 파일들을 불러오고, 해당 파일들은 %APPDATA%\Local\Temp 폴더 아래에 폴더를 생성해 다운로드 받는다. 실제 스틸러 행위는 새로운 프로세스를 생성해 시도한다. 새로운 프로세스는 자기 자신을 새롭게 하위 프.. 35. Maze ransomware 최근 LG의 데이터를 훔쳤다고 핫(?)해진 Maze 랜섬웨어를 분석해보았다. 사실 랜섬웨어가 랜섬웨어이기 때문에.. 크게 다른 점은 없어보인다. OS Windows 7 Name Maze ransomware md5 4e2554b448424859b508433e6c4a043718343febc7894a849f446dd197b47d1e Maze 랜섬웨어 샘플에서는 특별한 패킹이나 프로텍터는 존재하지 않았다. 약간 특이한점은 실제로 사용하는 함수를 애초에 불러와놓은 상태로 가져다 쓰는 것이 아니라 아래 그림처럼 JMP 코드를 통해서 사용할 함수를 그때그때 변수를 통해 실행한다는 점이었다. 더해서, 사용할 함수와 같은 것들을 점프해서 쓰는 코드 또한 그냥 박혀있는게 아니라 프로그램 내 특정 디코딩 루틴을 통해서 디코.. 34. makop ransomware 요즘에 makop라고 이름붙여진 랜섬웨어가 유포중이다. ASEC 팀의 관련 글을 보고 분석해봐야지 생각이 들어 분석해봤다. - ASEC 팀의 분석 글 https://asec.ahnlab.com/1314 [주의] 이력서로 위장한 makop 랜섬웨어 (04.13) ASEC 분석팀은 4월 13일 이력서로 위장해 유포 중인 makop랜섬웨어를 발견하였다. 이메일의 압축 첨부파일 형태로 유포되며, 내부에는 한글 문서(.hwp) 아이콘의 실행파일(exe)이 존재한다. 금일 확인된 유포 파일.. asec.ahnlab.com 일단 분석 대상은 위 글에 나온 이력서_항상무었을하던지~ 샘플로 정해 시작했다. 예전부터 악성코드에서 많이 보이듯, 정적 분석을 피하기 위한 목적으로 실제 사용하는 함수들을 미리 로드해둔채로 프로.. 33. Remcos 최근 Remcos 악성코드가 활발히 유포중인 것으로 보인다. 본 글에서는 Remcos 악성코드를 분석해본다. 기본적으로 Remcos 악성코드는 Stealer 형 악성코드이다. 분석 OS는 Windows 7 64 bit 였으며 분석 도구로는 IDA와 OllyDBG를 사용했으나.. 거의 OllyDBG로 진행했다. 악성코드 특성상 메모리로 직접 로드해서 사용하는 악성행위가 많았기 때문이다. Remcos 악성코드는 가장먼저 자신이 사용할 DLL을 모두 불러온다. 미리 DLL을 내장한채로 실행되지 않는다. 이후 실행되고 있는 컴퓨터의 CP, Code Page 정보를 가져온다. sfxcmd, sfxpar, sfxname 등의 이름으로 환경변수를 등록하기도 한다. 이후에는 현재 실행중인 컴퓨터의 LocalTime 정.. 32. Lazarus Graph 이번 글에서는 이전부터 연결해왔던 북한 해킹그룹인 라자루스 그룹의 연관관계 그래프를 업로딩하고자 한다. 일단 전체 그래프는 위와 같다.(많은 샘플에 대한 그래프는 아니다.) 각 구역을 상하좌우로 4등분해서 한 구역당 하나의 공격 혹은 비슷한 샘플들의 위치이다. 언뜻 보기에도 다른 유형의 공격, 다른 유형의 샘플임에도 불구하고 C2 서버와 같은 것들이 서로 연관돼 있는 것을 볼 수 있다. 물론 여기서의 C2 서버는 VPN 등을 이용해 다른 나라로 거쳐간 C2 들이겠지만.. 각 구역을 상세히 살펴보면 먼저, 홉라이트 악성코드들과 작년 말쯤 유포되었던 한글 악성코드에 연관관계가 있는 것을 볼 수 있다. 둘의 공격은 엄연히 다른 샘플과 공격 유형이지만, 각각이 비슷한 샘플에서 겹치는 샘플이 나타나는 것을 볼 수.. 30. Lazarus's Dtrack 라자루스 그룹은 Dtrack이라는 악성코드로 컴퓨터 내 정보 탈취를 목적으로 악성 행위를 수행한 적이 있다. 해당 악성코드는 ATM 등에서도 활발히 사용되어 카드 정보 등을 탈취하려는 시도도 존재했었다. 본 글에서는 해당 Dtrack 악성코드를 분석한다. 먼저 분석한 악성코드의 정보는 아래와 같다. 비주얼C/C++을 이용해 컴파일 되어있다. 악성코드는 크게 세가지 행위를 수행한다. 악성코드 내에서 행위를 수행할 때 사용할 함수를 불러오는 것을 첫번째로 수행한다. 이후로 악성코드가 실행된 피해자 PC 내의 정보들을 탈취하고 최종적으로 공격자의 C2(Command and Control) 서버에 연결해 탈취한 정보들을 전송하는 형식이다. 제일 먼저 악성행위에서 사용할 함수들을 불러오는 함수에는 아래와 같은 코.. 29. Konni's 답변서.hwp 지난 12일, 코니(Konni) 조직이 한글 문서를 위장해 악성코드를 유포한 것이 발견되었다. 본 글에서는 해당 한글 악성코드를 분석한다. 먼저 한글 문서의 속성은 아래와 같이 나타난다. 타임 스탬프 : 2011년 4월 20일 수요일 오후 10:44:52 최종 수정자 : Administrator 생성 시간 : 2004년 11월 09일 06:23:46 (UTC) 최종 수정 시간 : 2019년 12월 09일 08:30:24 (UTC) 문서 안에는 한글 문서를 이용해 악성코드를 유포 및 감염시킬 때 주로 사용되는 EPS 코드가 존재한다. 아래는 해당 EPS 코드이다. 해당 EPS코드 안에는 특정 XOR 키를 이용해 문자열로 저장되어있는 헥스값을 XOR 연산해 복호화한다. 연산에 사용되는 XOR 키는 총 16바.. 이전 1 2 3 4 5 다음
