정짱의 작은 도서관

[Malware analysis] BlackByte랜섬웨어 -s 49685378 L52MDR2Hp6PfdcfiV healthservice,monitoringhost,mssense,sensecncproxy,senseir,screenconnect,dwservice,getscreen,ultravnc,aeroadmin,anyviewer,rustdesk,teamviewer trend micro,heimdal,tanium,malwarebytes,emsisoft,elastic endpoint,eset,carbonblack,mcafee,crowdstrike,cylance,fireeye,kaspersky,sentinelone,symantec,bitdefender,comodo,doctor web,f-secure,panda..

[Malware analysis] 유튜브 캠페인 관련 최근 유튜브 채널에 영상 업로드를 통해 유료 소프트웨어를 무료 다운받을 수 있는 링크를 유포하고 있다. 계정 탈취 당한 국내 유튜버 채널에도 아래와 같은 영상이 최근 업로드 되었다. 유료 소프트웨어를 무료로 얻는 사람을 대상으로 했으며 아래와 같이 평소와 다른 영상이 업로드된다. 링크 클릭시 아래와 같은 페이지로 리다이렉트 되며, 다운로드 클릭시 dropbox에서 동일한 파일을 다운로드 받는다. 미디어파이어, 드롭박스, 메가에 호스팅되어 유포되는 파일은 아래와 같다. 이번에 유포된 압축 파일 해제시 아래와 같다. 악성 X 추가적으로 22년 상반기에는 인포스틸러인 PennyWise 악성코드가 유튜브 링크를 통해 유포 되었다. 확인시 PennyWise 악..

LockBit 3.0 ransomware 제외 폴더 목록 제외 폴더 목록$recycle.bin, config.msi, $windows.~bt, $windows.~ws, windows, appdata, application data, boot, google, mozilla, program files, program files (x86), programdata, system volume information, tor browser, windows.old, intel, msocache, perflogs, public, all users, default str_hashingexcept folder0x030A212D 0x8CF281CD 0x267078F5 0x26687E35 0xE3426CD7 0xC6CE6958..

LockBit 3.0 ransomware 제외 확장자 목록 제외 확장자 목록386, adv, ani, bat, bin, cab, cmd, com, cpl, cur, deskthemepack, diagcab, diagcfg, diagpkg, dll, drv, exe, hlp, icl, icns, ico, ics, idx, ldf, lnk, mod, mpa, msc, msp, msstyles, msu, nls, nomedia, ocx, prf, ps1, rom, rtp, scr, shs, spl, sys, theme, themepack, wpx, lock, key, hta, msi, pdb str_hashingexcept extension0x67B00E00 0xC5B01900 0xC5481B80 0xC7A0..

[Reversing] Remote DOTM Template Injection 참조 > https://interoperability.blob.core.windows.net/files/MS-OI29500/%5BMS-OI29500%5D-180828.pdf > https://www.ired.team/offensive-security/initial-access/phishing-with-ms-office/inject-macros-from-a-remote-dotm-template-docx-with-macros > http://web.mit.edu/~stevenj/www/ECMA-376-new-merged.pdf > https://www.ecma-international.org/publications-and-stand..

algorithm - Is the RijndaelManaged Class in C# equivalent to AES encryption? - Stack Overflow algorithm - Is the RijndaelManaged Class in C# equivalent to AES encryption? I am asking this question to confirm whether the RijndaelManaged class in C# is equivalent to AES encryption. From what I have been reading, RijndaelManaged was the algorithm of choice to implemen... stackoverflow.com security ..

[Malware analysis] 미국 대선 예측 문서로 위장한 악성코드 참조> https://twitter.com/cyberwar_15/status/1323684824926818307> https://www.virustotal.com/gui/file/ca1b8c75357bf0f3c55de02c1c4ce8289e6cdd2338c9a4bec0cc8fdea379f1b5/detection 미국 대선 예측에 대한 문서로 위장한 악성 한글 문서인 걸 확인할 수 있다. 즉, 오늘 있는 2020 미국 선거를 악용한 파일이다. 아래와 같이 영문, 한글로 작성된 내용을 확인할 수 있다. 해당 HWP 파일 내 악성 BIN0001.OLE 데이터가 있는 것을 확인할 수 있다. 과거 작성한 HWP 문서 글을 보게되면 포스트 스..

[Malware analysis] 엑셀 4.0 (XLM) 매크로를 이용한 악성코드 참조> https://www.virustotal.com/gui/file/ee0400adcec67d05e4b6825df53ff7e5fb5d86680a65264976940239c322d9fb/detection 자주 보았던 VBA 매크로 방식이 아닌 다른 방식으로 악성 파일을 다운로드 받는 악성코드를 확인할 수 있다.아래와 같은 메일 내용과 함께 파일을 첨부하는 방식으로 유포되고 있다. 악성 엑셀 파일을 실행하면 내용을 보기 위해 상단의 노란색 바 콘텐츠 사용을 클릭하라는 것을 확인할 수 있다.이전 작성한 여러 게시글에서 말하였듯이 콘텐츠 사용을 허용하게 되면 매크로 코드 동작에 대한 허용을 의미한다. 기존의 VBA 매크로와 다..