지은이는 지은이

간단한 vs extension을 개발해보자. 일단 공식 문서를 따라해봤다. https://code.visualstudio.com/docs/editor/refactoring Refactoring source code in Visual Studio CodeRefactoring source code in Visual Studio Code.code.visualstudio.cominstall 받아주자. 그 다음 yo code를 입력하자. 에러가 뜨긴 하는데,, 그냥 무시하고 생성하자.두번째껄로 선택했다. 그리고 다음과 같이 전체 선택해줬다 깃헙에는 안 올릴거라 그냥 no 했다! 그러면 이렇게 결과가 뜬다. 그러면 이렇게 폴더 안에 파일들이 생긴다! 이 중에서 extension.js를 선택하고 f5를 눌러보자 근데..

보호되어 있는 글입니다.

DDE란?- Dynamic Data Exchange- 윈도우 응용 프로그램간의 동일한 데이터를 공유하도록 하는 기능   ex) 워드파일을 열람할 때 엑셀파일에서 데이터를 가져와 사용할 수 있는 기능- 2017년에 MS의 DDE 기능(워드, 엑셀, 비주얼베이직 등)을 활용한 악성코드 유포 증가 DDE 취약점을 이용한 악성코드 예시 (제작해보기)DDE 기능- 삽입 > 빠른 문서 요소 > 필드 > Formula > 확인- 수식 에러 나는 부분 클릭- 필드 코드 토글 수정 DDEAUTO 기능 넣기- DDEAUTO C:\\Windows\\system32\\cmd.exe “/k calc.exe” 작성 악성코드 확인- doc는 pk 파일로 zip 형태를 갖춤- 확장자를 zip으로 바꿔 압축 해제- docx/word/..

문서형 악성코드란?- 문서형 악성코드는 일반적인 악성코드(실행파일, exe)과는 달리 문서형 파일(doc, hwp, pdf 등)으로 존재- 내부에 매크로와 같은 취약점을 실행하게하는 부분이 있어서 최종적으로 악성코드가 실행되는 것 분석하기 위해선?가장 쉬운 방법은 가상머신에 올려서 직접 동작을 확인해보는 것하지만 이 방식으로는 구체적으로 어떤 코드가 실행되고 이런것은 안보이기 때문에 구체적으로 분석하려면 툴이 필요함 문서형 악성코드의 형식- OLE 형식: 객체 연결 삽입(object linking and embedding), 애플리케이션 사이에서 객체를 공유하는 기술, zip 파일 형태를 지닌 것들도 있음- RTF 형식: 서식 있는 텍스트 포맷(rich text format)등.. MS오피스 악성 HTA..

https://www.hybrid-analysis.com/sample/ceb72d57957beec8e3a9e9dea3ea0bf16ab92db0f69b793210fa017f19b90d0d?environmentId=100 Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'index.html.17'Hybrid Analysis requires that users undergo the Hybrid Analysis Vetting Process prior to obtaining an API key or downloading malware samples. Please n..

https://www.hybrid-analysis.com/sample/fac69c4b9785cdc861c8fae99998a1ad011cf2e98456a1891bd29bcc990897f0?environmentId=100 Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'Rech-82559693785Hybrid Analysis requires that users undergo the Hybrid Analysis Vetting Process prior to obtaining an API key or downloading malware samples. Please..

https://www.hybrid-analysis.com/sample/378cad5cd01226de423b71f4081c18d2a0479b648a829d0e355f55d0863f2c79?environmentId=100 Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for '0245262.doc'Loading content, please wait...www.hybrid-analysis.com 여기서 밑으로 내려가다 보면 이 부분을 복사 한다. 이 난독문의 마지막 부분을 보면 이렇게 끝나는데== 으로 끝나는것을 보아 base64로 인코딩 되었음을 알 수 있다. 이걸..

자바스크립트 파일을 분석해봅시다 .doc파일이 아니라 .js파일임! 노트패드로 열어보면 이렇게 나옴 word wrap 을 누르면 자동줄바꿈이 된다! 맨 밑으로 내려가면 eval() 함수가 보이는데 이거는 스크립트를 실행하지 않고 마지막에 t42가 뭔지 출력해보면 됨!! 이 내용을 이제 복사를 해서 크롬에 붙여넣어보자 크롬에 아무 사이트 들어가서 F12를 눌러서 개발자 도구 꺼내고 콘솔에 붙여넣기 누르고 엔터 누르자. 여기서 eval() 이 실행됐을 때 에러가 뜬 걸 볼 수 있다. 그러면 eval() 을 지우고 다시 실행시켜 보자! 요렇게 나오는데, 이게 t42에 들어간 내용이랑 똑같음!! 이 t42 부분을 카피를 하자! 그리고 자바스크립트로 실행을 할건데, 일단 인터넷에 javascript beautif..

저번에 b.exe로 저장한 taskche.exe를 IDA로 다시 열어보자 이 실행파일 내에서 t.wnry를 사용하는 부분을 찾아야 하기 때문에 strings 에 들어가서 찾아준다! 그러면 요기에 이렇게 보인다. 더블클릭해서 들어가서 ctrl+x 누르면 XREF 따라갈 수 있음!! (또는 그냥 XREF 부분 더블 클릭) 그러면 이쪽으로 온다 (Win Main 함수임) 여기에서 자세히 보면 이렇게 밑에서 함수를 호출하는 것을 볼 수 있다!! 이 함수를 들어가서 더 자세하게 분석을 해보면, 함수 호출 전 오프셋으로 지정한 파일명(t.wnry)의 파일을 열고 사이즈 얻고 등등 작업을 해주고 파일 시그니처가 WANACRY! 가 맞는지 확인 하는 부분이 있다. 이 부분은 전 게시글에서도 파일 분석하면서 적어놨지만 ..

2024.03.23 - [study/보안] - WannaCrypto 리소스 파일 추출 WannaCrypto 리소스 파일 추출 워너크립토 랜섬웨어를 실행하게 되면 킬스위치, 네트워크 전파, 파일 드로핑 되는 것 까지 나와있음 그 다음에는 리소스가 동작함! 리소스에서 tasksche.exe 실행파일이 동작한다. 여기에서 a.zip lucykorea414.tistory.com 위 게시글에서 파일에 대한 설명을 간략히 알아볼 수 있었는데, 실제로 분석을 해봅시다!! msg 폴더 언어 종류별로 다 적혀있다. 아마 화면에 랜섬웨어 메세지 띄울때 시스템의 언어를 감지하여 언어별로 출력할 수 있게 미리 만들어놓은것인듯!! b.wnry 얘를 실행하니 갑자기 바탕화면이 까만색으로 바뀌었다... 내용은 이렇게 되어있는데 아..