지은이는 지은이

Analysis Report – IcedID IcedID malwareIcedID는 2017년 9월 처음 발견된 뱅킹 트로이목마이다. BokBot이라는 이름으로도 불리는 IcedID 악성코드는 Microsoft 문서 첨부 파일과 함께 피싱 메일로 주로 유포되며, 주요 목적 은 금융 기관의 사용자 계정에 대한 로그인 자격 증명을 훔치는 것이다. 사용자 PC에 설치되 면 원격지(C2 server)와 통신하여 사용자의 은행 정보를 비롯한 각종 정보를 탈취한다. IcedID는 자신을 은닉하기 위해 프로세스 인젝션과 스테가노그래피를 주로 사용하며 웹 인젝 션을 사용하여 민감한 정보를 탈취합니다. IcedID에 대비하기 위해서는 사원 교육, 엔드포인트 보안 솔루션 도입, 강력한 다중 인증 사 용, 이메일 보안 구현..

악성 문자열 확인 메모리에 ‘.stub’이 있는지 알아보기 위해 strings 명령어를 사용하여 결과를 텍스트 파일로 저장해 봤습니다.[그림 1] 명령어: strings /Users/lucykorea/Desktop/DF/assignment/stuxnet.vmem | grep -E "\.stub" > /Users/lucykorea/Desktop/DF/assignment/task1a.txt 이 명령어를 실행한 결과, 생성된 텍스트파일의 캡쳐화면은 다음과 같습니다.[그림 2] task1a.txt 의 텍스트파일 메모리에 ‘mrxnet.sys’이 있는지 알아보기 위해 strings 명령어를 사용하여 결과를 텍스트 파일로 저장해봤습니다.[그림 3] 명렁어: strings /Users/lucykorea/Deskto..

DDE란?- Dynamic Data Exchange- 윈도우 응용 프로그램간의 동일한 데이터를 공유하도록 하는 기능   ex) 워드파일을 열람할 때 엑셀파일에서 데이터를 가져와 사용할 수 있는 기능- 2017년에 MS의 DDE 기능(워드, 엑셀, 비주얼베이직 등)을 활용한 악성코드 유포 증가 DDE 취약점을 이용한 악성코드 예시 (제작해보기)DDE 기능- 삽입 > 빠른 문서 요소 > 필드 > Formula > 확인- 수식 에러 나는 부분 클릭- 필드 코드 토글 수정 DDEAUTO 기능 넣기- DDEAUTO C:\\Windows\\system32\\cmd.exe “/k calc.exe” 작성 악성코드 확인- doc는 pk 파일로 zip 형태를 갖춤- 확장자를 zip으로 바꿔 압축 해제- docx/word/..

https://www.hybrid-analysis.com/sample/fac69c4b9785cdc861c8fae99998a1ad011cf2e98456a1891bd29bcc990897f0?environmentId=100 Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'Rech-82559693785Hybrid Analysis requires that users undergo the Hybrid Analysis Vetting Process prior to obtaining an API key or downloading malware samples. Please..

https://www.hybrid-analysis.com/sample/378cad5cd01226de423b71f4081c18d2a0479b648a829d0e355f55d0863f2c79?environmentId=100 Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for '0245262.doc'Loading content, please wait...www.hybrid-analysis.com 여기서 밑으로 내려가다 보면 이 부분을 복사 한다. 이 난독문의 마지막 부분을 보면 이렇게 끝나는데== 으로 끝나는것을 보아 base64로 인코딩 되었음을 알 수 있다. 이걸..

자바스크립트 파일을 분석해봅시다 .doc파일이 아니라 .js파일임! 노트패드로 열어보면 이렇게 나옴 word wrap 을 누르면 자동줄바꿈이 된다! 맨 밑으로 내려가면 eval() 함수가 보이는데 이거는 스크립트를 실행하지 않고 마지막에 t42가 뭔지 출력해보면 됨!! 이 내용을 이제 복사를 해서 크롬에 붙여넣어보자 크롬에 아무 사이트 들어가서 F12를 눌러서 개발자 도구 꺼내고 콘솔에 붙여넣기 누르고 엔터 누르자. 여기서 eval() 이 실행됐을 때 에러가 뜬 걸 볼 수 있다. 그러면 eval() 을 지우고 다시 실행시켜 보자! 요렇게 나오는데, 이게 t42에 들어간 내용이랑 똑같음!! 이 t42 부분을 카피를 하자! 그리고 자바스크립트로 실행을 할건데, 일단 인터넷에 javascript beautif..

저번에 b.exe로 저장한 taskche.exe를 IDA로 다시 열어보자 이 실행파일 내에서 t.wnry를 사용하는 부분을 찾아야 하기 때문에 strings 에 들어가서 찾아준다! 그러면 요기에 이렇게 보인다. 더블클릭해서 들어가서 ctrl+x 누르면 XREF 따라갈 수 있음!! (또는 그냥 XREF 부분 더블 클릭) 그러면 이쪽으로 온다 (Win Main 함수임) 여기에서 자세히 보면 이렇게 밑에서 함수를 호출하는 것을 볼 수 있다!! 이 함수를 들어가서 더 자세하게 분석을 해보면, 함수 호출 전 오프셋으로 지정한 파일명(t.wnry)의 파일을 열고 사이즈 얻고 등등 작업을 해주고 파일 시그니처가 WANACRY! 가 맞는지 확인 하는 부분이 있다. 이 부분은 전 게시글에서도 파일 분석하면서 적어놨지만 ..

2024.03.23 - [study/보안] - WannaCrypto 리소스 파일 추출 WannaCrypto 리소스 파일 추출 워너크립토 랜섬웨어를 실행하게 되면 킬스위치, 네트워크 전파, 파일 드로핑 되는 것 까지 나와있음 그 다음에는 리소스가 동작함! 리소스에서 tasksche.exe 실행파일이 동작한다. 여기에서 a.zip lucykorea414.tistory.com 위 게시글에서 파일에 대한 설명을 간략히 알아볼 수 있었는데, 실제로 분석을 해봅시다!! msg 폴더 언어 종류별로 다 적혀있다. 아마 화면에 랜섬웨어 메세지 띄울때 시스템의 언어를 감지하여 언어별로 출력할 수 있게 미리 만들어놓은것인듯!! b.wnry 얘를 실행하니 갑자기 바탕화면이 까만색으로 바뀌었다... 내용은 이렇게 되어있는데 아..

전에 이미 랜섬웨어에 걸린 윈도우에서 pestudio를 열어준다 여기에 이제 C드라이브에 있는 a.exe를 드롭해주면 이렇게 떠야 하는데... 더보기 나는 왜 안뜰까 ㅜㅜ 이렇게 아무것도 안뜸... 뭐지? 일단 강의 내용 바탕으로 쓰기.. 이 a.exe 같은 경우에는 킬스위치, 네트워크 전파, 드로핑하고 파일을 설치하는 등의 일들을 함!! 여기서 리소스를 클릭하면 a.exe 안에 숨겨진 파일을 볼 수 있음!! 맨 위에 있는 R 의 dump를 떠서 바탕화면에 b.exe로 저장해줍니당 (얘가 사실 나중에 taskche.exe 임) 이걸 다시 pestudio로 열자~~ 여기에 resources(PKZIP) 이라고 있음!!! 여기서 보면, 전체 b.exe 파일의 크기의 98퍼를 이 pkzip 파일이 차지하는 것..

워너크립토 랜섬웨어를 실행하게 되면 킬스위치, 네트워크 전파, 파일 드로핑 되는 것 까지 나와있음 그 다음에는 리소스가 동작함! 리소스에서 tasksche.exe 실행파일이 동작한다. 여기에서 a.zip 파일을 꺼내서 추가적인 작업을 실행한다. 이 a.zip에 대한 파일들을 간략히 분석하면 다음과 같다. 파일/폴더명 내용 b.wnry 파일 암호화 후 설정되는 바탕화면 이미지 c.wnry Tor 네트워크 설정파일 (다운로드, 비트코인 계좌 주소) r.wnry 랜섬웨어 감염에 따른 비트코인 결제 안내문 (txt 파일) s.wnry Tor 네트워크 실행 모듈 (zip 압축 파일) t.wnry 암호화 모듈 파일 (.WNRY 형태로 암호화 되어 있음) -> 프로세스 시스템에 들어가서 직접적으로 암호화 수행 (암호..