티스토리 뷰

[Reversing] Self Creation, 디버깅


Emotet 분석

(그림 1)을 살펴보면 서비스 실행 한도 시간을 수정한 후 해당 서비스 실행 파일의 EP의 2byte 값을 무한루프로 변경해 주는 것을 확인 할 수 있다. 

이후 서비스를 시작할 때 해당 서비스를 Attach를 한 후 원복 후 디버깅을 진행 할 수 있다.. 

 

그림 1 – 서비스 디버깅 


CVE-2017-11882 분석중

취약점 발생 원인 부분을 살펴보면 Microsoft Office의 수식 편집기(EQNEDT32)을 이용하여 쉘 코드를 실행하는 한다는 사실을 알 수 있었다. 

즉, Cve-2017-11882.rtf을 실행 시 수식 편집기가 실행 되면서 취약점이 발생하는 걸 확인하였다. 

(그림 2)와 같이 EQNEDT32.EXE의 Entry Point을 확인 후 Entry Point를 “EB FE”로 변경해주면 무한루프 상태로 이때 디버거을 이용하여 ATTACH 후 원래 HEX 값으로 원복하여 디버깅을 할 것 이다.  

 

그림 2 – EQENDT32.EXE  


 

실제로 무한루프가 걸려 원복 후 디버깅 진행..

 

그림 3 – 무한루프 원복  


댓글
댓글쓰기 폼
공지사항
«   2020/09   »
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30      
Total
156,825
Today
19