[Reversing] Pe-sieve 도구 by Hasherezade 트위터를 보다가 PE-sieve 업데이트 소식을 듣고 잘 사용하면 편리하기에 해당 도구에 대해 작성한다.PE-sieve는 실행중인 프로세스를 추출하는 것으로 악성 행위를 주입한 프로세스를 .exe 파일로 만들어주는 도구이다. 악성 행위라면 여러 인젝션이 될 수도 있으며 Process Hollowing 등을 말한다.해당 도구 사용법은 간단하며 자세한 내용은 구글링이나 https://github.com/hasherezade/pe-sieve 참고하면 될 것 같다. 모든 악성 파일에 적용이 가능하지는 않지만 최근 자주 유포되는 이력서로 위장한 Makop 랜섬웨어인 악성파일로 설명해보겠다. 먼저 (그림 1)을 보게 되면 해당 Makpo 악성파일..
[Malware analysis] Nemty 스페셜 에디션 랜섬웨어 참조> https://asec.ahnlab.com/search/nemty Nemty 스페셜 에디션 랜섬웨어는 캠페인을 통해 배포되는 것으로 확인되었으며, 첨부파일 및 다운로드 링크로 악성 파일을 포함한다.본 블로그에는 늦은감이 있지만, Nemty 스페셜 에디션에 대한 분석 내용을 작성하겠습니다."전산 및 비전산자료 보존 요청서.zip" 첨부파일을 통해 배포하였으며, 압축 해제 시 (그림 1)와 같이 한글파일로 위장한 .exe 실행 파일을 확인할 수 있다.(그림 1) 해당 파일을 실행하게 되면 바탕화면이 변하면서 여러명의 확장자를 가진 파일들이 (그림 2)와 같이 NEMTY_[랜덤한 문자]로 변경이 되는 것을 알 수 있다. (그림 2) 암..
[Reversing] MSCryptoAPI unit MSCryptoAPI; interface uses Windows, KOL; // Constants for HiAsm Componentsconst NO_ERROR = 0; ERROR_INVALID_PARAMETER = 1; ERROR_INCORRECT_KEY = 2; ERROR_ACQUIRE_CONTEXT = 3; ERROR_GENERATION_KEY = 4; ERROR_GENERATION_KEYPAIR = 5; ERROR_GET_USER_KEY = 6; ERROR_DERIVE_KEY = 7; ERROR_ENCRYPT = 8; ERROR_DECRYPT = 9; ERROR_CREATE_HASH = 10; ERROR_HASH_DATA = 11; ERROR_G..
[Reversing] 레지스터 관련 정리 정리가 필요하여 메모한다.(개인정리) > https://software.intel.com/content/www/us/en/develop/articles/intel-sdm.html 레지스터 크기E 문자가 붙으면 32비트R 문자가 붙으면 64비트x64 R 레지스터에 저장된 값중 dword, word, byte만 사용도 가능하며, 64bit r8의 경우 r8d, r8w, r8b를 통해 각 비트에 접근 할 수 있다고 한다.RAX 64비트EAX 32비트AX 16비트AH/AL 8비트 소프트웨어 레지스터범용레지스터논리, 산술 연산등에 사용되나 디버깅 시 유기적으로 사용하는 것 같다.AX, BX, CX, DX, SP, BP, SI, DI 세그먼트 레지스터코드, 데이터, 스택등의..
[Malware analysis] 탈북민 인터뷰 내용으로 위장한 APT 공격 참조 - 김수키(Kimsuky) APT 그룹, 과거 라자루스(Lazarus) doc 공격 방식 활용 > https://blog.alyac.co.kr/3052?category=957259 (그림 1) VBA 매크로를 이용한 악성 MS 워드 문서파일이다.(그림 1) 악성 워드 문서가 실행되면 (그림 2)와 같이 나오면 VBA 내부에 포함되는 악성 매크로를 사용하게 유도하는 콘텐츠 사용 보안 경고를 확인할 수 있다. (그림 2) VBA 매크로 확인 시 Project 암호가 걸려있는 걸 확인할 수 있다. DPB > DPx 변경하는 방법도 있다고 하지만 잘안되서 기존 방법을 사용했다.(그림 3) vbaProject.bin 확인을 통해 여..
[Malware analysis] 스팸 캠페인에서 새로운 Avaddon Ransomware 참조 > https://www.pcrisk.com/removal-guides/18039-avaddon-ransomware 일반적으로 스팸 캠페인을 악의적인 첨부 파일이나 악의적 인 파일을 다운로드하도록 설계된 웹 사이트 링크가 포함 된 메일을 통해 Avaddon 랜섬웨어 관련 .js 파일을 첨부해 배포하고 있다.첨부파일 확인 시 "IMG141146.jpg.js" JPG 사진으로 가장한 .js 파일을 확인할 수 있다.(그림 1) 해당 파일 실행시 UAC 알림 메시지를 확인할 수 있다. (그림 2) .js 파일 실행시 PowerShell을 통한 sava.exe 라는 파일을 다운로드 하는 것을 확인할 수 있으며, %te..
[Malware analysis] KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp(CVE-2017-8291) 참조 - [보고서] 한글 파일에 숨어든 '고스트' > https://asec.ahnlab.com/1239 - EPS 파일을 이용한 악성 한글 HWP 문서> 링크 취약점 발생 원인CVE-2017-8291 취약점은 고스트스크립트 인터프리터가 .eqproc 함수에서 매개변수 타입 유효성을 검증하지 않아 피연산자 스택의 메모리 변조를 허용해 발생한다. 즉, 포스트스크립트를 이용하여 스택을 변조하여 공격 코드를 실행할 수 있다. 취약점은 gsdll32.dll에서 발생한다고 한다. CVE-2017-8291Cve-2017-8291 취약점은 그래픽 파일을 제공하기 위해 만들어진 EPS 파일을 이용한 ..
- Total
- Today