[Malware analysis] CVE-2017-8291, EPS(Encapsulated PostScript), 고스트스크립트(GhostScript) 참조 (Asec 블로그) - [보고서] 한글 파일에 숨어든 '고스트' > https://asec.ahnlab.com/1239 CVE-2017-8291 한글 EPS 취약점을 이용하는 악성코드에서 쉘코드를 실행하기 전 제작자 실수로 추정되는 코드상의 오류가 확인되었으며, 코드상의 오류에는 VirtualProtect 함수을 이용하여 쉘코드 영역의 메모리의 속성을 변경할 때 발생한다. 한글 프로그램은 2017년 초까지 EPS 파일을 문서 내에 삽입하고 문서에 삽입된 EPS 그래픽 이미지를 볼 수 있는 기능을 제공했다. 해당 취약점은 악의적으로 제작된 EPS 파일..
[Malware analysis] 이메일 본문에 단축 URL(URL Shortening) 또는 하이퍼 링크 통한 피싱 메일
[Malware analysis] 이메일 본문에 단축 URL(URL Shortening) 또는 하이퍼 링크 통한 피싱 메일 웹사이트를 사칭하여 메일 본문에 하이퍼링크를 통해 피싱 사이트로 접속을 유도한다.해당 링크로 피싱 사이트 접속 시 (그림 1)와 같이 로그인 페이지가 나오게 된다.계정정보는 미리 입력되어 있으며 패스워드를 입력하도록 유도하는 걸 확인 할 수 있다.(그림 1) 패스워드 입력 시 POST 메소드를 통하여 C&C 주소로 전송되는 걸 확인 할 수 있다. 이메일 페이지를 사칭한 피싱사이트를 통해 사용자 계정 정보 탈취를 확인 할 수 있다.(그림 2) 네이버 로그인 페이지를 사칭한 피싱사이트를 통해 사용자 계정 정보 탈취하는 피싱페이지, 메일 사서함 용량 복원 프로세스를 가장한 본문 내 악성 ..
[Malware analysis] 이력서(지원서) 사칭 악성코드
[Malware analysis] 이력서 사칭 악성코드 분석 참조 (Asec 블로그) - [주의] 이력서와 공정거래위원회를 사칭한 악성코드 유포 > https://asec.ahnlab.com/1316?category=342979 이력서(지원서) 사칭 악성코드5월 20일 첨부파일 형태로 탐지되었다. .zip 파일 내부에 이력서를 확인 할 수 있다. 압축해제 후 (그림 1)와 같이 이력서 사칭 악성코드를 확인 할 수 있다. (그림 1) 지원서 사칭 악성코드 [NW통신을 통한 .dll 파일 다운로드]네트워크 통신으로 해당 도메인으로부터 dll 파일 다운로드 하는 것을 확인 할 수 있다.- hxxp://barddistocor.com/freeb13.dll- hxxp://barddistocor.com/mozglue..
[Reversing] ZwQuerySystemInformation(), ZwDuplicateObject(), ZwQueryObject() 분석 중 해당 API에 대해 정리가 필요해 작성한다.NtQuerySystemInformation() API을 보게되면 첫번째 멤버는 System_Information_class로 인자값에 대한 시스템 정보를 보여준다. (그림 1)의 해당 API의 스택에 쌓인 인자를 보게되면 “10”을 가지고 있으며, SystemHandleInformation로 시스템 핸들의 정보를 원하는 것을 확인 할 수 있다. [https://www.geoffchappell.com/studies/windows/km/ntoskrnl/api/ex/sysinfo/query.htm]이후 진행 시 ZwDup..
[Reversing] ROP(Return Oriented Programming)
[Reversing] ROP(Return Oriented Programming) Atombombing 기법을 보다가 정리가 필요하여 일부 정리를 한다.ROP는 Retrun Oriented Programming의 약자로 데이터 실행 방지(Data Execution Prevention, DEP)을 우회하기 위하여 이용된다. 또한, 취약한 프로그램 내부에 있는 기계어 코드들의 섹션(Gadget)을 이용하여 버퍼오버플로우 공격시 특정 명령을 실행시키는 방법이기도하다.ROP의 방법에 대해서는 1.Virtual Protect() 2.할당 등 여러가지 방법이 있으며 해당 POC 코드에서는 2.할당 방법을 사용하는 걸 확인 할 수 있다. 아래 소스코드를 살펴보면 (그림 1)와 같이 그려지는 걸 확인 할 수 있으며, R..
[Reversing] 메모리 생성 방식에 따라 버퍼 기본값 변화 CVE-2017-8291 취약점에서의 Postscript aload 연산자를 살펴보던 중 0x020EADBA or 0x0DF0ADBA 같은 값이 있어 찾아본다.메모리 생성 방식에 따라 버퍼의 기본 값이 정해진다.HeapAlloc() 호출 후 메모리를 보면 아래와 같다.ex) 주소 HeapAlloc () 이후 00320FD8 09 00 09 01 00320FDC E8 07 18 00 00320FE0 0D F0 AD BA 00320FE4 0D F0 AD BA 00320FE8 0D F0 AD BA 00320FEC 0D F0 AD BA 00320FF0 0D F0 AD BA 00320FF4 0D F0 AD BA 00320FF8 0D F0 AD BA ..
[Malware analysis] 스크린락커, 코로나 바이러스
[Malware analysis] 스크린락커(screenlocker), 코로나 바이러스 분석 참조 (알약블로그) - 매우 성가신 코로나 바이러스 스크린락커 발견돼 > https://blog.alyac.co.kr/2934?category=750247 - 샘플 파일 다운로드> https://app.any.run/tasks/b4d1365e-c9d0-4857-81f0-beeb633dc94a/ 스크린락커(screenlocker), 코로나 바이러스 wifihacker.exe 실행 시, C:\Program Files\vb\wifi hacker 폴더 내 다수의 파일 생성 확인 파일명 설명 파일명 설명 allwh.reg 악성행위 관련 레지스트리anti.exe PC Locker 해제 관련 파일antiwh.vbs PC 잠금..
[Reversing] DLL의 EAT에서 API 주소 얻기 1. AddressOfNames()을 이용하여 원하는 함수의 이름을 찾은 후, 함수 이름을 비교하여 인덱스를 구한다.2. AddressOfNameOrdinals()을 이용하여 ordinal 배열에서 인덱스 값을 찾는다.3. AddressOfFunction()을 이용하여 EAT에서 ordinal 값을 찾아 함수의 시작 주소를 가져온다. 출처 : x64dbg 디버거를 활용한 리버싱과 시스템 해킹의 원리 VB 분석시 해당하는 부분을 정리했다.PEB 구조체의 LDR 멤버를 이용하여 DLL을 얻는 것을 알 수 있다. 이후 비교 구분을 통해 원하는 DLL을 얻었는지 확인 후 분기를 진행하는 것을 알 수 있다. 그림 1 – .dll loading (그림 2)..
[Reversing] Wscript & VBA Tip
[Reversing] Wscript & VBA Tip 난독화를 일일이 해제하기에는 시간이 너무 많이 걸리며 쉽지 않은 작업이다. 난독화를 MsgBox를 띄어 복호화된 실행 코드를 확인 할 수 있는 내용을 정리한다. VBA 난독화 > MsgBox난독화 된 매크로 VBA 코드이다.MsgBox "" & 매개변수명령어를 추가하여 복호화된 VBA 코드를 확인 할 수 있다. 난독화 > MsgBox살펴보게 되면 execute 실행시키는 것을 확인 할 수 있다.Wscript.echo 명령어를 변경하여 복호화된 VBA 코드를 확인 할 수 있다.