[Malware] Fileless 관련 정리 과거 Fileless 코인마이너 악성코드를 살펴본 적이 있다. 참조 링크에 있는 Fileless 공격에 대해 관련 동영상을 참조해 정리를 할 것이다. 참조> https://jeongzzang.com/137> https://www.youtube.com/watch?v=Y_e1oZUWaZI&feature=youtu.be> https://ukdiss.com/examples/fileless-malware-attack-techniques.php Fileless 공격이란?악성 행위를 하는 코드를 메모리에서 실행하면서 공격하는 것으로 파일이 아닌 형태로 보관한다.즉, Fileless 말 그대로 파일로 존재하지 않고 메모리나 레지스트리에서 동작하는 악성코드이다. Fileles..
[Malware analysis] 폼북(Formbook) Malware_진행중
[Malware analysis] 폼북(Formbook) Malware 참조> https://learn.darungrim.com/contents/windows-malware-analysis-formbook-yara.html> https://asec.ahnlab.com/1362> https://medium.com/@s2wlab/formbook-tracker-unveiled-on-the-dark-web-f7f2568bb850> https://jeongzzang.com/147 참조 블로그에 있는 ASEC 주간 악성코드 통계를 살펴보면 인포스틸러에 자주 있는 Formbook을 살펴보려고 한다.(그림 1)은 Formbook 태그를 달고 있는 샘플 파일을 얻어 분석을 진행하였다.DHL Express으로 위장한 실행..
[Malware analysis] 5개월만에 돌아온 Emotet Malware
[Malware analysis] 5개월만에 돌아온 Emotet Malware 참조 - 매크로를 이용한 워드 파일 Emotet Malware> https://jeongzzang.com/148- 과거 Emotet Malware 분석> https://jeongzzang.com/97 뉴스 내용과 같이 과거 Emotet 악성코드와 최근 유포되는 Emotet 악성코드와 인자 값이 필요하지 않는지 확인 차 분석을 진행하였다.(그림 1)와 같이 5개월만에 돌아온 유포중인 Emotet 샘플 파일 확보 후 분석을 진행하였다. (그림 1) 구조 확인 시 (그림 2)와 같은 문자열을 확인할 수 있다.(그림 2) (그림 3)와 같은 방식을 이용하여 dll을 로딩하는 것을 확인할 수 있다. (그림 3) (그림 4)를 보게되면 ..
[Malware analysis] WastedLocker 랜섬웨어
[Malware analysis] WastedLocker 랜섬웨어 참조> https://www.zdnet.com/article/garmin-services-and-production-go-down-after-ransomware-attack/> https://usf.app.box.com/s/z4fljmzgc2291ivv2u9prw3sh0apch17> https://asec.ahnlab.com/11 참조 블로그 뉴스를 살펴보면 웨어러블 제조업체인 가민(Gamin)은 랜섬웨어로 인하여 여러 서비스를 중단한 상태라는 것을 확인할 수 있다.WastedLocker라고 불리는 랜섬웨어로 추정이 되고 있는 상태라고 한다. 변형된 랜섬웨어 일수도 있지만 WastedLocker_IOC에 있는 하나를 분석할 것 이다. (그..
[Malware analysis] 매크로를 이용한 워드 파일 Emotet Malware
[Malware analysis] 매크로를 이용한 워드 파일 Emotet Malware 참조 - 5개월만에 돌아온 Emotet 악성코드!! 국내 유포 중> https://asec.ahnlab.com/1358 참조 블로그를 보게되면 5개월만에 돌아온 Emotet 악성코드가 유포중이라는 것을 확인할 수 있다.과거 작성글 https://jeongzzang.com/97 에서 Emotet 악성코드를 분석해보았는데 과거 Emotet은 '--xxxxxxxx' 인자를 통해 악성행위 부분을 분석 가능했던 경험이 있다. 하지만 현재 유포되는 Emotet은 인자 값 없이 실행 가능하다고 알려져있다.유포되는 여러 유형이 있는데 본 블로그에는 .doc 문서 형태를 분석했다. (그림 1)을 살펴보면 해당 파일을 볼 수 있으며 콘..
[Malware analysis] '결백' 영화 파일로 위장한 백도어 악성코드
[Malware analysis] '결백' 영화 파일로 위장한 백도어 악성코드 참조> https://jeongzzang.com/141> https://asec.ahnlab.com/1351> https://www.hauri.co.kr/security/issue_view.html?intSeq=405&page=1> https://www.virustotal.com/gui/file/88bd2a65da1bea7e7815fb9cab600c87e69b0bd8f3770b68a3b74b51a2d9eb2b/detection 영화 '결백'으로 위장한 백도어형 악성코드(Innocence Bot) 토렌트를 통해 유포되는 것을 확인할 수 있다. 위 참조 블로그를 통해 분석을 하였다.아이비코리아 토렌트큐큐에서 영화 검색시 해당 파일..
[Reversing] Python Reverse a String 참조> http://spellbackwards.com/> https://www.educative.io/edpresso/how-do-you-reverse-a-string-in-python 분석을 하다 보면 보기 어렵게 된 문자열을 확인할 수 있다.문자열을 Reverse 하는 Python Code 이다.매번 찾기 귀찮아서 정리해둔다.>>> with open('rawdata', 'r') as read_file, open('reverse', 'w') as write_file:>>> read_file = read_file.read()>>> stringlength=len(read_file)>>> slicedstring=read_file[stringle..
[Malware analysis] Black Ball SMBGhost 취약점 공격
[Malware analysis] Black Ball SMBGhost 취약점 공격 참조> https://s.tencent.com/research/report/1008.html> https://gist.github.com/vortexau/13de5b6f9e46cf419f1540753c573206 이터널블루(Eternal Blue) 취약점 발생으로 큰 이슈였던 SMBGhost라고 불리는 CVE-2020-0796와 관련된 공격이다.아는 선에서 이야기하자면 이런 시나리오다.. 취약한 대상을 찾아 SMBv3 활성화 확인 후 CVE-2020-0796 취약점을 이용하여 중요 정보를 탈취하는 정도로 알고 있으며 해당 취약점에 대해서는 상세정보는 구글링을 권한다..Eternal Blue 취약점 악용(MS17-010) $..