[Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ② [Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ① 계속 진행해서 HimTratIcon.exe 살펴보자. 1. Injection 상세분석(HimTratIcon.exe)alloc 할당을 진행 후 반복을 통해 메모리에 PE파일을 쌓는 걸 확인할 수 있었다 진행 시 System 폴더 경로를 얻은 후 해시 값을 통해 “userinit.exe”을 얻는 것을 확인할 수 있다. 이후 alloc 할당까지 진행하는 것을 알 수 있으며, CreateProcessA() 까지 호출하는 것을 확인할 수 있었다. “Userini.exe” 프로세스를 Suspend 상태로 생성하는 것을 알 수 있다. 이후 살펴보면..
[Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ① 파일> (첨부2)20-0206_법인_운영상황_평가표_서식(법인작성용).hwp [Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ② 1. 취약점 발생 원인CVE-2017-8291 취약점은 고스트스크립트 인터프리터가 .eqproc 함수에서 매개변수 타입 유효성을 검증하지 않아 피연산자 스택의 메모리 변조를 허용해 발생한다. 즉, 포스트스크립트를 이용하여 스택을 변조하여 공격 코드를 실행할 수 있다. 취약점은 gsdll32.dll에서 발생한다고 한다. 1.2 취약점 분석 방법#1 (PostScript)> https://jeongzzang.com/129> https://jeongzzang.com..
[Malware analysis] 정보 탈취형 멀웨어 Lokibot 분석 정보 탈취형 멀웨어인 로키봇(LokiBot)은 특히 악성 스팸 메일 캠페인을 통해 번지고 있으며, 주로 ISO 이미지 파일이 첨부되어 있다는 게 특징이다. 첨부 악성 파일은 악성 실행 파일(.exe)이 포함된 압축파일(.zip) 혹은 문서 파일(.docx, .xls, .pptx)이 있다.로키봇 악성코드는 사용자 PC의 메일, 웹 브라우저, 패스워드 관리 프로그램 등의 사용자 정보를 수집한다. 또 사용자 몰래 C&C서버에 접속해 탈취한 사용자 정보를 전송하고 더 나아가 사용자 PC를 원격 조종해 추가적인 악성 행위 시도를 한다 해당 파일의 해시 값 조회 시 60곳에서 악성코드로 진단이 되고 있다. 문자열 조회 시 select문을 이용..
[Malware analysis] 암호 걸린 첨부 파일 내 워드문서를 통한 인포스틸러(Emotet) 악성코드
[Malware analysis] 암호 걸린 첨부 파일 내 워드문서를 통한 인포스틸러(Emotet) 악성코드 참조- 암호 걸린 첨부 파일로 유포 중인 Emotet 악성코드> https://asec.ahnlab.com/1395> https://jeongzzang.com/150> https://jeongzzang.com/148> https://jeongzzang.com/97 과거와 동일한 형태로 MS 워드 문서의 매크로를 통하여 인포스틸러인 이모텟이 유포되는 것을 확인할 수 있었다. 위 워드 파일의 매크로 부분을 살펴보면 아래와 같이 짜여진 것을 확인할 수 있는데 이후 확인할 것이다. 다음으론 워드 문서를 이용할 땐 매크로 활성화를 위하여 콘텐츠 사용 탭이 보여지는 것을 확인할 수 있다.즉 매크로 [콘텐츠 ..
[Malware analysis] 류크(Ryuk) 랜섬웨어 ② [Malware analysis] 류크(Ryuk) 랜섬웨어 ① ① 다음으로 계속 진행하겠다. 대상 프로세스인 taskhost.exe을 상세분석한 부분이다 암호화와 관련된 Crypt API와 “Microsoft Enhanced RSA and AES Cryptographic Provider” 문자열을 확인할 수 있다. CryptAcquireContext() szContainer에 있는 ”AES_unique_” 컨테이너를 가져오는 것을 확인할 수 있다.이후 CryptImportKey()을 이용하여 RSA 공개키 핸들을 구해 키 지정을 확인할 수 있다. 1. Ransom Note다음을 살펴보면 루프문을 통해 Ransom Note 내용을 저장하는 것을..
[Malware analysis] 전산 및 비전산자료 보존 요청서.zip
[Malware analysis] 전산 및 비전산자료 보존 요청서.zip 참조 > https://blog.alyac.co.kr/3286?category=957259> https://jeongzzang.com/135 최근 또 다시 이력서로 위장한 Makop 랜섬웨어 유포 중이라는 것을 확인할 수 있다. 공정거래위원회를 사칭한 조사 통지서 첨부 파일 실행을 유도하는 악성 메일을 확인할 수 있다. 첨부된 압축파일은 이중 압축되어 있으며, zip 파일 해제 시, alz 파일 확인할 수 있다.pdf로 위장한 exe 파일을 확인할 수 있으며, 동일 해시 값을 가지는 것을 확인할 수 있다. 파일명 : 부당 전자상거래 위반행위 안내(20201006)자료 반드시 준비해주세요.exe.exe 파일 실행 및 실행 파일에 의한..
[Malware analysis] 류크(Ryuk) 랜섬웨어 헤르메스(Hermes) 랜섬웨어 변종으로 분류되는 류크 랜섬웨어는 표적형 랜섬웨어로 알려져 있다.특정 조직 및 기업을 대상으로 유포하는 특징이며, 헤르메스 랜섬웨어와 유사하다. 또한, 확장자를 변경하지 않는 것을 확인할 수 있다. 살펴보자. 1. 원본 파일 삭제 및 파일 생성루프문을 통해 C: (0x43 0x3A)을 복사 후 해당 문자열 뒤에 \users\public을 추가 복사하는 것을 확인할 수 있다. 해당 루틴을 통해 파일명(vWQql.exe)을 생성한 후 .exe 확장자를 복사하는 것을 확인할 수 있다. 파일명은 매번 랜덤하게 생성되는 것을 확인할 수 있다. 이후 메모리에 저장한 후 CreateFile()을 이용하여 C:\users\pub..
[Malware analysis] 주문 요청에 대한 첨부파일 열람 유도한 피싱 메일
[Malware analysis] 주문 요청에 대한 첨부파일 열람 유도한 피싱 메일 워드문서를 가장한 이메일 패스워드 입력을 유도하는 로그인 페이지가 나오게 된다.계정정보는 미리 입력되어 있으며 패스워드를 입력하도록 유도하는 걸 확인 할 수 있다.패스워드 입력 후 국내 정상 사이트로 리다이렉트가 되어 정상적인 접근으로 착각할 수 있다. 패스워드 입력 시 POST 메소드를 통하여 C&C 주소로 전송되는 걸 확인 할 수 있다. 이메일 페이지를 사칭한 피싱사이트를 통해 사용자 계정 정보 탈취를 확인 할 수 있다.