[Malware analysis] CVE-2017-11882 Microsoft Office EQENDT32 취약점 CVE-2017-11882 Microsoft Office 2007, 2010, 2013 등으로 현재 시중에서 이용되고 있는 대다수의 MS Office 제품군이 해당된다. 이에 따라 취약점의 심각도 또한 “높음(HIGH)”으로 분류되어 있다. CVE-2017-11882 분석 파일명 CVE-2017-11882/OLE 파일크기 50.1 KB MD5 89E36574ECE95178C511705A999A4E6E SHA-256 c63ccc5c08c3863d7eb330b69f96c1bcf1e031201721754132a4c4d0baff36f8 표 1 – CVE-2017-11882 취약점 발생 원인 Micr..
[Reversing] APC Injection_QueueUserAPC()
[Reversing] APC Injection_QueueUserAPC() QueueUserAPC()의 인자를 적절하게 넣는다고 하여도 스레드(hThread)가 alertable 상태일 때 QueueUserAPC()가 호출이 되는 조건이 있다. 그렇듯이 스레드가 alertable 상태되는 조건으로는 sleep(), wait() 관련 API를 통해야 된다는 것을 알고 있어야 하며 아래와 같다. (SleepEx, WaitForSingleObjectEx, WaitForMultipleObjectsEx, SignalObjectAndWait, MsgWaitForMultipleObjectsEx) 내용을 정리하면 위 함수 중 하나를 호출하여 스레드가 alertable 상태로 만들어진다는 걸 알 수 있으며, 대상 프로세스..
[Reversing] Self Creation, 디버깅
[Reversing] Self Creation, 디버깅 Emotet 분석 과정중(그림 1)을 살펴보면 서비스 실행 한도 시간을 수정한 후 해당 서비스 실행 파일의 EP의 2byte 값을 무한루프로 변경해 주는 것을 확인 할 수 있다. 이후 서비스를 시작할 때 해당 서비스를 Attach를 한 후 원복 후 디버깅을 진행 할 수 있다.. 그림 1 – 서비스 디버깅 CVE-2017-11882 분석 과정중취약점 발생 원인 부분을 살펴보면 Microsoft Office의 수식 편집기(EQNEDT32)을 이용하여 쉘 코드를 실행하는 한다는 사실을 알 수 있었다. 즉, Cve-2017-11882.rtf을 실행 시 수식 편집기가 실행 되면서 취약점이 발생하는 걸 확인하였다. (그림 2)와 같이 EQNEDT32.EXE의 ..
# SHGetFolderPath CSIDL_FLAG_CREATE (0x8000) Version 5.0. Combine this CSIDL with any of the following CSIDLs to force the creation of the associated folder. CSIDL_ADMINTOOLS (0x0030) Version 5.0. The file system directory that is used to store administrative tools for an individual user. The Microsoft Management Console (MMC) will save customized consoles to this directory, and it will roam wit..
[Reversing] API 동적 로딩 기법, PEB의 LDR 이용
[Reversing] API 동적 로딩 기법, PEB의 LDR 이용 Emotet paylaod 분석할 때 알게 된 ?.dll API 동적 로딩 기법을 이용한 부분 참고. TEB0x30 : PEB PEB0x0C : PEB_LDR_DATA PEB_LDR_DATA0x0C : ( InLoadOrderModuleList )0x14 : ( InMemoryOrderModuleList )0x1C : LDR_MODULE ( InInitializationOrderModuleList ) ( InLoadOrderModuleList )( 바이너리 -> ntdll.dll -> kernel32.dll -> kernelbase.dll )0x00 : Next Module0x04 : Previous Module0x18 : ImgBase..
[Reversing] Malwarebytes CrackMe: a step-by-step tutorial
[Reversing] Malwarebytes CrackMe: a step-by-step tutorial 악성코드 분석 훈련용 샘플로 MalwareByte에서 제작하였다.Malwarebytes Crackme로 분석 연습용이며, CrackMe에서 다양한 기술을 보여주므로 좋은 경험이 되었다. - [https://blog.malwarebytes.com/tag/malwarebytes-crackme/] - https://jeongzzang.com/99 첨부- 훈련용 파일
[Reversing] PEB Structure kd> dt _PEBnt!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 SpareBool : UChar +0x004 Mutant : Ptr32 Void +0x008 ImageBaseAddress : Ptr32 Void +0x00c Ldr : Ptr32 _PEB_LDR_DATA - 링크 +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS +0x014 SubSystemData : Ptr32 Void +0x018 ProcessHeap : Ptr..
[Reversing] RaiseException dwExceptionCode_SEH 0x00000000 STATUS_SUCCESS 0x00000001 STATUS_WAIT_1 0x00000002 STATUS_WAIT_2 0x00000003 STATUS_WAIT_3 0x0000003F STATUS_WAIT_63 0x00000080 STATUS_ABANDONED 0x000000BF STATUS_ABANDONED_WAIT_63 0x000000C0 STATUS_USER_APC 0x000000FF STATUS_ALREADY_COMPLETE 0x00000100 STATUS_KERNEL_APC 0x00000101 STATUS_ALERTED 0x00000102 STATUS_TIMEOUT 0x00000103 STATUS..
[Reversing] Process Hollowing 기법 프로레스 할로잉 기법은 자식 프로세스를 이용하여 프로세스 자체를 인젝션하는 것으로 절차는 자식 프로레스를 서스펜드 상태로 만든 뒤 기존 악성 프로세스의 정보를 통해 자식 프로세스의 각 위치에 매핑을 한다. 이후 메모리를 할당과 악성 데이터를 삽입한 후 서스펜드 상태를 풀어주게 되면 악성 행위를 하게된다.. - [ https://github.com/theevilbit/injection/tree/master/ProcessHollowing ] : source code 프로세스 생성(SUSPENDED) BOOL CreateProcessA( LPCSTR lpApplicationName, LPSTR lpCommandLine, LPSECURITY_ATTRIB..