[Malware analysis] 이메일 본문에 단축 URL(URL Shortening) 또는 하이퍼 링크 통한 피싱 메일 웹사이트를 사칭하여 메일 본문에 하이퍼링크를 통해 피싱 사이트로 접속을 유도한다.해당 링크로 피싱 사이트 접속 시 (그림 1)와 같이 로그인 페이지가 나오게 된다.계정정보는 미리 입력되어 있으며 패스워드를 입력하도록 유도하는 걸 확인 할 수 있다.패스워드 입력 후 국내 정상 사이트로 리다이렉트가 되어 정상적인 접근으로 착각할 수 있다.(그림 1) 패스워드 입력 시 POST 메소드를 통하여 C&C 주소로 전송되는 걸 확인 할 수 있다. 이메일 페이지를 사칭한 피싱사이트를 통해 사용자 계정 정보 탈취를 확인 할 수 있다.(그림 2)네이버 로그인 페이지를 사칭한 피싱사이트를 통해 사용자 ..
[Malware analysis] 이력서 사칭 악성코드 분석 참조 - [주의] 이력서와 공정거래위원회를 사칭한 악성코드 유포 > https://asec.ahnlab.com/1316?category=342979 이력서(지원서) 사칭 악성코드5월 20일 첨부파일 형태로 탐지되었다. .zip 파일 내부에 이력서를 확인 할 수 있다. 압축해제 후 (그림 1)와 같이 이력서 사칭 악성코드를 확인 할 수 있다. (그림 1) 지원서 사칭 악성코드 [NW통신을 통한 .dll 파일 다운로드]네트워크 통신으로 해당 도메인으로부터 dll 파일 다운로드 하는 것을 확인 할 수 있다.- hxxp://barddistocor.com/freeb13.dll- hxxp://barddistocor.com/mozglue.dll- hxxp:..
[Reversing] ZwQuerySystemInformation(), ZwDuplicateObject(), ZwQueryObject() 분석 중 해당 API에 대해 정리가 필요해 작성한다.NtQuerySystemInformation() API을 보게되면 첫번째 멤버는 System_Information_class로 인자값에 대한 시스템 정보를 보여준다. (그림 1)의 해당 API의 스택에 쌓인 인자를 보게되면 “10”을 가지고 있으며, SystemHandleInformation로 시스템 핸들의 정보를 원하는 것을 확인 할 수 있다. [https://www.geoffchappell.com/studies/windows/km/ntoskrnl/api/ex/sysinfo/query.htm]이후 진행 시 ZwDup..
- Total
- Today