[Malware analysis] MBRLocker 악성코드를 생성하는 Dropper 참조> https://securitynews.sonicwall.com/xmlpost/coronavirus-trojan-overwriting-the-mbr/> https://www.boannews.com/media/view.asp?idx=87385&kind=14 본글은 코로나 이슈를 이용하여 악성행위를 하는 악성코드로 4월초 해당 파일에 대해 확인해 본적이 있다.분석 내용을 블로그에 남기기 위하여 새로 분석해본다.(그림 1)을 살펴보면 해당 파일에 대해 확인할 수 있다.(그림 1) (그림 2)를 살펴보면 RCData(리소스스크립트) 부분에 스크립트를 확인할 수 있다. (그림 2) COVID-19.exe 실행시 (그림 3)..
[Malware analysis] 북한의 회색지대 전략과 대응방안.hwp 참조 - '북한의 회색지대 전략과 대응방안' 한글문서(HWP) 유포 중 > https://asec.ahnlab.com/1347 본 블로그에서 ESP 관련 내용을 확인할 수 있다. KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp(그림 1)을 보게되면 샘플 파일을 확보한 것을 확인할 수 있다.(그림 1) (그림 2)을 보게되면 본문 내용과 함께 해당 파일의 정보를 확인할 수 있으며, 2019년 작성 되어 2020년 6월 23일에 수정된 정보와 작성자는 Venus.H로 확인할 수 있다. (그림 2) 한글 파일 구조 확인 시 BinData는 PNG, OLE, EPS로 구성되어 있으며 EPS 코드 용량이 한글 문서 용량의 절반을 ..
[Malware analysis] WannaMine 파워쉘을 이용한 파일리스 악성코드 파일리스 관련하여 살펴보던 중 파일리스 코인마이너 악성코드를 확인할 수 있었다.파일리스란 말 그래도 파일로 존재하지 않고 메모리나 레지스트리에서 동작하는 악성코드이다. 참조> https://s.tencent.com/research/report/869.html> https://sanseolab.tistory.com/29> https://gist.github.com/vortexau/13de5b6f9e46cf419f1540753c573206 작성하려는 파일리스 악성코드는 현재 URL이 막혀있기에 미리 얻은 .xsl 파일부터 분석해보겠습니다..xsl 살펴보면 XML 형식으로 작성된 파일 확인 시 cmd 명령을 통해 base64..
[Malware analysis] Poulight Stealer 인포스틸러 악성코드 참조> https://isarc.tachyonlab.com/3075 정보 탈취형 악성코드 Poulight Stealer 이며, 해당 악성코드의 주요 행위에 대해 작성하겠습니다.파일 확인 시 닷넷(.net)으로 제작 된 파일인 것을 확인할 수 있다. 닷넷 디버거를 이용하여 살펴보겠습니다.(그림 1) 해당 파일을 main 부분을 살펴보면 Check Vm 이라는게 보이며 가상환경 유무를 확인하는지 예상할 수 있다. 먼저 CheckVM()을 살펴보자.(그림 2) "Select * from Win32.ComputerSystem"이라는 쿼리문을 확인할 수 있다. 이후 vmware, VIRTUAL, VirtualBox, sbiedll..
[Malware analysis] Nemty 스페셜 에디션 랜섬웨어 참조> https://asec.ahnlab.com/search/nemty Nemty 스페셜 에디션 랜섬웨어는 캠페인을 통해 배포되는 것으로 확인되었으며, 첨부파일 및 다운로드 링크로 악성 파일을 포함한다.본 블로그에는 늦은감이 있지만, Nemty 스페셜 에디션에 대한 분석 내용을 작성하겠습니다."전산 및 비전산자료 보존 요청서.zip" 첨부파일을 통해 배포하였으며, 압축 해제 시 (그림 1)와 같이 한글파일로 위장한 .exe 실행 파일을 확인할 수 있다.(그림 1) 해당 파일을 실행하게 되면 바탕화면이 변하면서 여러명의 확장자를 가진 파일들이 (그림 2)와 같이 NEMTY_[랜덤한 문자]로 변경이 되는 것을 알 수 있다.(그림 2) 암호..
[Malware analysis] 탈북민 인터뷰 내용으로 위장한 APT 공격 참조 - 김수키(Kimsuky) APT 그룹, 과거 라자루스(Lazarus) doc 공격 방식 활용 > https://blog.alyac.co.kr/3052?category=957259 (그림 1) VBA 매크로를 이용한 악성 MS 워드 문서파일이다.(그림 1) 악성 워드 문서가 실행되면 (그림 2)와 같이 나오면 VBA 내부에 포함되는 악성 매크로를 사용하게 유도하는 콘텐츠 사용 보안 경고를 확인할 수 있다. (그림 2) VBA 매크로 확인 시 Project 암호가 걸려있는 걸 확인할 수 있다. DPB > DPx 변경하는 방법도 있다고 하지만 잘안되서 기존 방법을 사용했다.(그림 3) vbaProject.bin 확인을 통해 여..
[Malware analysis] 스팸 캠페인에서 새로운 Avaddon Ransomware 참조 > https://www.pcrisk.com/removal-guides/18039-avaddon-ransomware 일반적으로 스팸 캠페인을 악의적인 첨부 파일이나 악의적 인 파일을 다운로드하도록 설계된 웹 사이트 링크가 포함 된 메일을 통해 Avaddon 랜섬웨어 관련 .js 파일을 첨부해 배포하고 있다.첨부파일 확인 시 "IMG141146.jpg.js" JPG 사진으로 가장한 .js 파일을 확인할 수 있다.(그림 1) 해당 파일 실행시 UAC 알림 메시지를 확인할 수 있다. (그림 2) .js 파일 실행시 PowerShell을 통한 sava.exe 라는 파일을 다운로드 하는 것을 확인할 수 있으며, %te..
[Malware analysis] KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp(CVE-2017-8291) 참조 - [보고서] 한글 파일에 숨어든 '고스트' > https://asec.ahnlab.com/1239 - EPS 파일을 이용한 악성 한글 HWP 문서> 링크 취약점 발생 원인CVE-2017-8291 취약점은 고스트스크립트 인터프리터가 .eqproc 함수에서 매개변수 타입 유효성을 검증하지 않아 피연산자 스택의 메모리 변조를 허용해 발생한다. 즉, 포스트스크립트를 이용하여 스택을 변조하여 공격 코드를 실행할 수 있다. 취약점은 gsdll32.dll에서 발생한다고 한다. CVE-2017-8291Cve-2017-8291 취약점은 그래픽 파일을 제공하기 위해 만들어진 EPS 파일을 이용한 ..
- Total
- Today