[Malware analysis] 스크린락커(screenlocker), 코로나 바이러스 분석 참조 - 매우 성가신 코로나 바이러스 스크린락커 발견돼 > https://blog.alyac.co.kr/2934?category=750247 - 샘플 파일 다운로드> https://app.any.run/tasks/b4d1365e-c9d0-4857-81f0-beeb633dc94a/ 스크린락커(screenlocker), 코로나 바이러스 wifihacker.exe 실행 시, C:\Program Files\vb\wifi hacker 폴더 내 다수의 파일 생성 확인 파일명 설명 파일명 설명 allwh.reg 악성행위 관련 레지스트리anti.exe PC Locker 해제 관련 파일antiwh.vbs PC 잠금 메시지 스크립..
[Malware analysis] Netwalker 랜섬웨어, 코로나 바이러스 피싱 분석 참조 - Netwalker 랜섬웨어, 코로나 바이러스 피싱 통해 사용자 감염시켜 > https://blog.alyac.co.kr/2851?category=750247 - 샘플 파일 다운로드 > https://app.any.run/tasks/f9fbd0e2-f8eb-4a42-accb-8494b9f50dce/ 코로나 바이러스(COVID-19) 피싱 이메일 "CORONAVIRUS_COVID-19.vbs"라는 첨부파일로 (그림 1)와 같이 난독화된 코드를 확인 할 수 있다.[그림 1 - 난독화된 .vbs] 해당 난독화된 코드를 디코딩 시 (그림 2)와 같은 걸 확인 할 수 있다. 디코딩된 코드를 살펴보면 임시디렉토리에 Ne..
[Malware analysis] Anti-VM(Ursnif) Ursnif 분석 시 Anti-VM 우회 부분을 정리한 내용이다. > 이전 Unpacking 내용> Anti-Reversing 참고 - 샘플 파일 다운로드> 첨부파일 Payload(decoding) 상세 분석 Ursnif 디버깅 진행 시 해당 시스템 정보를 얻는 것을 확인 할 수 있었으며, 해당 정보을 이용하여 Anti-Vm과 CPU 사이클 횟수 차를 이용하여 Rdtsc 안티 디버깅이 있는 걸 확인 할 수 있다. 즉, 해당 기법을 통하여 디버깅 유무를 확인하는 사실을 확인 할 수 있다. 그림 1 – Anti_VM, Rdtsc 안티 디버깅 먼저 Anti-Vm을 우회하기 위해 해당 “vbox”, “qemu”, “vmware”, “virtual h..
[Malware analysis] Malware Unpacking(Ursnif) Ursnif 분석 시 Unpacking 부분을 정리한 내용이다.- 샘플 파일 다운로드> 첨부 파일 Unpacking(Payload) 동적 분석 시 현재 “Error Initializing Client App!” 라는 메시지와 함께 다른 행위를 하지 않는 것을 확인 할 수 있었다. 디버깅을 통해 packing 유무의 확인이 필요하다. Main()을 살펴보면 CALL 4015A1과 CreateWindowExA()을 볼 수 있다. 0x4015A1()을 살펴보게 되면 RegisterClassExA()를 만나게 되는데 정보 검색을 하게 되면 윈도우를 만드려면 윈도우 클래스를 먼저 등록한 후 CreateWindow()을 호출해야 한다...
[Malware analysis] Malwarebytes CrackMe: a step-by-step tutorial 본 블로그에서는 생략된 부분이 많이 있음 참조> https://blog.malwarebytes.com/malwarebytes-news/2017/11/how-to-solve-the-malwarebytes-crackme-a-step-by-step-tutorial/ - 샘플 파일 다운로드> 첨부파일 정적 분석 파일명 1번 훈련용 샘플.exe 파일크기 175.0 KB MD5 473CE8A8B5C6BA36BB796A1673EE8751 1번 훈련용 샘플.exe BinText 파일 내부의 문자열들을 확인 시 VBOX라는“HARDWARE\ACPI\DSDT\VBOX__” 가상 머신과 관련된 코드가 있을 것..
[Malware analysis] Emotet Malware - 샘플 파일 다운로드> 파일첨부 악성코드 정보 Emotet 악성코드는 2014년 금융 데이터를 훔치는 트로이 목마로 처음 발견되었다. 시간이 지남에 따라 사용자 PC를 감염시키고, C&C 통신을 통해서 악성 행위를 시도한다. Emotet 악성코드는 주소 스팸메일을 통해 유포되며, 공격자는 메일 내용으로 청구서와 같이 사용자가 관심을 가질만한 소재를 사용한다. 이와 함께 위장된 워드 파일을 첨부하거나, 청구서를 다운로드 할 수 있는 URL를 포함하여 사용자의 다음 행동을 유도한다. 파일명 Emotet.exe(payload) 파일크기 468.1 KB MD5 1ABEEC317E6C10B9201EE1C713069715 SHA-256 8976948f9..
[Malware analysis] CVE-2017-11882 Microsoft Office EQENDT32 취약점 분석 참조 (Asec 블로그) > https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=27369 - 샘플 파일 다운로드 > 파일첨부 CVE-2017-11882 Microsoft Office 2007, 2010, 2013 등으로 현재 시중에서 이용되고 있는 대다수의 MS Office 제품군이 해당된다. 이에 따라 취약점의 심각도 또한 “높음(HIGH)”으로 분류되어 있다. CVE-2017-11882 분석 파일명 CVE-2017-11882/OLE 파일크기 50.1 KB MD5 89E36574ECE95178C511705..