[Reversing] Remote DOTM Template Injection 참조 > https://interoperability.blob.core.windows.net/files/MS-OI29500/%5BMS-OI29500%5D-180828.pdf > https://www.ired.team/offensive-security/initial-access/phishing-with-ms-office/inject-macros-from-a-remote-dotm-template-docx-with-macros > http://web.mit.edu/~stevenj/www/ECMA-376-new-merged.pdf > https://www.ecma-international.org/publications-and-stand..
[Reversing] AES algorithm? FIPS ?
algorithm - Is the RijndaelManaged Class in C# equivalent to AES encryption? - Stack Overflow algorithm - Is the RijndaelManaged Class in C# equivalent to AES encryption? I am asking this question to confirm whether the RijndaelManaged class in C# is equivalent to AES encryption. From what I have been reading, RijndaelManaged was the algorithm of choice to implemen... stackoverflow.com security ..
[Reversing] Python 16진수 reverse
[Reversing] Python 16진수 reverse 참조 > https://blog.alyac.co.kr/3970 > https://asec.ahnlab.com/ko/26183/ 북한 연관 그룹 추정 PDF 문서를 이용한 APT 공격 - ASEC BLOG PDF 문서를 이용한 북한 연관 그룹 소행으로 추정되는 타깃형 공격이 확인되었다. 공격 그룹은 김수키(Kimsuky) 혹은 탈륨(Thallium)으로 추정되지만, 이를 모방한 공격 그룹의 소행일 가능성도 있다. asec.ahnlab.com 北 연계 사이버 위협 조직 탈륨, PDF 문서 취약점 이용한 공격 수행 안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 악성 PDF 문서를 이용한 새로운 APT(지능형지속위협) 공격이 국내..
[Malware analysis] 미국 대선 예측 HWP 문서로 위장한 악성코드
[Malware analysis] 미국 대선 예측 문서로 위장한 악성코드 참조> https://twitter.com/cyberwar_15/status/1323684824926818307> https://www.virustotal.com/gui/file/ca1b8c75357bf0f3c55de02c1c4ce8289e6cdd2338c9a4bec0cc8fdea379f1b5/detection 미국 대선 예측에 대한 문서로 위장한 악성 한글 문서인 걸 확인할 수 있다. 즉, 오늘 있는 2020 미국 선거를 악용한 파일이다. 아래와 같이 영문, 한글로 작성된 내용을 확인할 수 있다. 해당 HWP 파일 내 악성 BIN0001.OLE 데이터가 있는 것을 확인할 수 있다. 과거 작성한 HWP 문서 글을 보게되면 포스트 스..
[Malware analysis] 엑셀 4.0 (XLM) 매크로를 이용한 악성코드
[Malware analysis] 엑셀 4.0 (XLM) 매크로를 이용한 악성코드 참조> https://www.virustotal.com/gui/file/ee0400adcec67d05e4b6825df53ff7e5fb5d86680a65264976940239c322d9fb/detection 자주 보았던 VBA 매크로 방식이 아닌 다른 방식으로 악성 파일을 다운로드 받는 악성코드를 확인할 수 있다.아래와 같은 메일 내용과 함께 파일을 첨부하는 방식으로 유포되고 있다. 악성 엑셀 파일을 실행하면 내용을 보기 위해 상단의 노란색 바 콘텐츠 사용을 클릭하라는 것을 확인할 수 있다.이전 작성한 여러 게시글에서 말하였듯이 콘텐츠 사용을 허용하게 되면 매크로 코드 동작에 대한 허용을 의미한다. 기존의 VBA 매크로와 다..
[Malware analysis] CVE-2017-0199, 원격서버를 통한 악성파일 다운로드
[Malware analysis] CVE-2017-0199, 원격서버를 통한 악성파일 다운로드 참조> https://www.virustotal.com/gui/file/a7e8c4d24e013f48bed29fb9a5f0d80c60be249862213e142c7feb47f07ac39e/detection 메일에 포함된 문서를 열면, 숨겨진 exploit 코드가 악성파일 다운로드가 가능한 원격서버에 연결되는 것을 확인할 수 있다.아래 그림와 같이 접속을 시도하는 것을 확인할 수 있으며, 팝업창은 보면 사용자 본인의 계정을 기입하도록 유도하는 것을 확인할 수 있다.하지만 자세히 보면 해당 원격서버로 접속을 하는 것을 확인할 수 있다. 아래 그림와 같이 get 메소드를 이용해 다운로드하는 것을 확인할 수 있다. 해..
[Malware analysis] 첨부파일 열람 유도한 AGENTTESLA 악성코드
[Malware analysis] 첨부파일 열람 유도한 AGENTTESLA 악성코드 에이전트 테슬라 악성코드는 메일의 첨부파일을 통해 유포된다. 해당 파일을 열었을 경우 아래와 같은 주소에서 파일을 다운로드 받는 것을 확인할 수 있다. 또한, 아래와 같은 메일 내용을 가지고 첨부 파일에는 악성파일과 정상 파일을 함께 첨부하여 유포되고 있다.(공급 업체_재료.pdf)에이전트 테슬라는 합법적으로 판매되는 프로그램이지만, 공격자에 의해 악용으로 유포되고 있으며 인포스틸러인 악성코드 이다. 위와 같이 .doc 파일와 같은 방식으로 유포도 되지만, ,.cab 확장자를 통하여 첨부파일에 첨부되어 유포되기도 한다.해당 파일 압축 해제 시 아래와 같이 .exe 파일을 확인할 수 있다. 살펴보면 닷넷으로 만들어졌으며, ..
[Reversing] Formbook Visual Basic 외형 참조> https://jeongzzang.com/152> https://blog.vincss.net/2020/05/re014-guloader-antivm-techniques.html> https://medium.com/m4n0w4r/quick-analysis-note-about-guloader-or-cloudeye-6d4408cca61 ZwQueryVirtualMemory() 이용하여 가상환경관련 문자열이 메모리에 있으면 그 문자열을 해시 계산한 후 일치하면 종료한다. 다음으로는 EAX에 1 넣고 CPUID 어셈명령 호출하고 ECX에 31번째 비트 1인지 확인한다. 즉, EAX에 값은 넣고 CPUID을 호출하면 EAX 값에 따라 정보가 E..