정짱의 작은 도서관

[Reversing] Zw함수의 접두사의 의미 ex) zwopenprocess, zwopenprocesstoken, zwqueryinformationtoken 함수등 함수명 앞에 접두사 Nt 및 Zw로 시작하는 걸 볼 수 있다.MSDN 검색 결과 Nt의 접두사는 NT의 약자지만, Zw의 접두사는 의미가 없다고 한다.그저 다른 API와 이름으로 인한 잠재적인 충돌을 피하기 위해 사용했다고 하며, 자세한 내용은 해당 링크를 참고하면 될 것 같다. 접두사커널 구성요소루틴 예CmConfiguration managerCmRegisterCallbackExExExecutiveExAllocatePoolHalHardware abstraction layerHalGetAdapterIoI/O managerIoAllocateI..

[Reversing] Anti-Reversing 샘플에 적용된 안티 디버깅, 안티 VM 기법에 대해 확인하였다. IsDebuggerPresent, CheckRemoteDebuggerPresent API 안티 디버깅 0x4019D0()에서 IsDebuggerPresent()을 이용하여 디버거를 통해 호출이 되었는지를 확인한다. 디버거 환경이 아니라면 “0”을 반환하고, 디버거 환경이라면 “0”이 아닌 값을 반환 한다. CheckRemoteDebuggerPresent()의 v1 즉, GetCurrentProcess() 현재 프로세스의 핸들을 얻는다. CheckRemoteDebuggerPresent()에서 해당 프로세스를 확인하여 디버깅 유무에 대해 반환 해준다. 보통 디버깅을 탐지했을 때 종료하는 코드로 진..

[Reversing] VirtualProtect BreakPoint Olydbg에서 VirtualProtect에서 브레이크포인트를 설정하는 방법unpack 시 알게 된 내용 Alt +F1 누르게 되면 아래와 같은 그림에 "bp VirtualProtect" 입력 후 진행하게 되면 해당 부분에서 BreakPoint가 걸리게 된다. Ctrl+G단축키를 누르게 되면 아래와 같은 팝업창이 실행이 되는데 해당 팝업창에 "kernel32.VirtualProtect" 입력 후 ok 해당 부분으로 가게 된다. 이후 BreakPoint을 설정 후 진행하게 되면 된다.

[Malware analtsis] Malwarebytes CrackMe: a step-by-step tutorial 본 블로그에서는 생략된 부분이 많이 있음 정적 분석 파일명 1번 훈련용 샘플.exe 파일크기 175.0 KB MD5 473CE8A8B5C6BA36BB796A1673EE8751 1번 훈련용 샘플.exe BinText 파일 내부의 문자열들을 확인 시 VBOX라는“HARDWARE\ACPI\DSDT\VBOX__” 가상 머신과 관련된 코드가 있을 것으로 예측할 수 있다. BinText IDA Pro BinText 활용하여 본 문자열을 확인 할 수 있으며, Flag 값 획득이 필요할 것으로 보여진다. Main() 함수 동적 분석 파일을 직접 실행시켜 파일, 레지스트리, 네트워크 등을 동작 행위를 분석..

[Malware analtsis] Emotet Malware 악성코드 정보 Emotet 악성코드는 2014년 금융 데이터를 훔치는 트로이 목마로 처음 발견되었다. 시간이 지남에 따라 사용자 PC를 감염시키고, C&C 통신을 통해서 악성 행위를 시도한다. Emotet 악성코드는 주소 스팸메일을 통해 유포되며, 공격자는 메일 내용으로 청구서와 같이 사용자가 관심을 가질만한 소재를 사용한다. 이와 함께 위장된 워드 파일을 첨부하거나, 청구서를 다운로드 할 수 있는 URL를 포함하여 사용자의 다음 행동을 유도한다. 파일명 Emotet.exe(payload) 파일크기 468.1 KB MD5 1ABEEC317E6C10B9201EE1C713069715 SHA-256 8976948f9537629f14573a2a3007..

[Reversing] RTF, OLE, Open XML RTFRTF 파일은 여러 OLE 객체로 이루어져 있으며, OLE 객체를 태그 별로 구분을 하고 있다. RTF 파일은 서식 있는 텍스트 포맷으로 HxD을 이용하여 rtf라는 문자열을 확인 할 수 있다. 그림 1 – RTF HxD OLEMicrosoft Office의 .doc, .xls 파일을 HxD을 이용하여 (그림 2)와 같이 OLE 헤더 시그니처를 확인 할 수 있다. 또한, 해당 “test_doc.doc” 파일은 7-zip을 이용하여 압축 해제하게 되면 각각의 OLE 객체들을 확인 할 수 있다. 그림 2 – OLE HxD Open XMLMicrosoft Office의 .docx, .docm, .xlsx, xlsm, pptx등은 XML 기반 파일 형..

[Malware analtsis] CVE-2017-11882 Microsoft Office EQENDT32 취약점 CVE-2017-11882 Microsoft Office 2007, 2010, 2013 등으로 현재 시중에서 이용되고 있는 대다수의 MS Office 제품군이 해당된다. 이에 따라 취약점의 심각도 또한 “높음(HIGH)”으로 분류되어 있다. CVE-2017-11882 분석 파일명 CVE-2017-11882/OLE 파일크기 50.1 KB MD5 89E36574ECE95178C511705A999A4E6E SHA-256 c63ccc5c08c3863d7eb330b69f96c1bcf1e031201721754132a4c4d0baff36f8 표 1 – CVE-2017-11882 취약점 발생 원인 Micr..

[Reversing] APC Injection_QueueUserAPC() QueueUserAPC()의 인자를 적절하게 넣는다고 하여도 스레드(hThread)가 alertable 상태일 때 QueueUserAPC()가 호출이 되는 조건이 있다. 그렇듯이 스레드가 alertable 상태되는 조건으로는 sleep(), wait() 관련 API를 통해야 된다는 것을 알고 있어야 하며 아래와 같다. (SleepEx, WaitForSingleObjectEx, WaitForMultipleObjectsEx, SignalObjectAndWait, MsgWaitForMultipleObjectsEx) 내용을 정리하면 위 함수 중 하나를 호출하여 스레드가 alertable 상태로 만들어진다는 걸 알 수 있으며, 대상 프로세스..

[Reversing] Self Creation, 디버깅 Emotet 분석 과정중(그림 1)을 살펴보면 서비스 실행 한도 시간을 수정한 후 해당 서비스 실행 파일의 EP의 2byte 값을 무한루프로 변경해 주는 것을 확인 할 수 있다. 이후 서비스를 시작할 때 해당 서비스를 Attach를 한 후 원복 후 디버깅을 진행 할 수 있다.. 그림 1 – 서비스 디버깅 CVE-2017-11882 분석 과정중취약점 발생 원인 부분을 살펴보면 Microsoft Office의 수식 편집기(EQNEDT32)을 이용하여 쉘 코드를 실행하는 한다는 사실을 알 수 있었다. 즉, Cve-2017-11882.rtf을 실행 시 수식 편집기가 실행 되면서 취약점이 발생하는 걸 확인하였다. (그림 2)와 같이 EQNEDT32.EXE의 ..