[Malware analysis] 4.[아태연구]논문투고규정.docx 참조> https://www.boannews.com/media/view.asp?idx=90918> https://blog.alyac.co.kr/3228?category=957259 개성공단 근무 경험자 관련 문서와 아태 지역의 학술 연구논문 투고문서 등을 사칭한 "탈륨(Thallium)"사용자의 시스템 정보 수집 및 추가 악성코드를 다운로드 시도하는 악성코드이다. 보안뉴스 이슈 확인에 따른 분석으로 (그림 1)을 보면 워드문서를 사칭한 실행파일을 확인할 수 있다.리소스데이터를 살펴보면 데이터를 숨겨둔 것을 확인할 수 있다.(그림 1) JUYFON 리소스를 불러오는 것을 확인할 수 있다. (그림 2) 이후 임시 디렉토리에 " 4.[아태연..
[Reversing] UnHandledExceptionFilter 참조> https://www.codeproject.com/Articles/30815/An-Anti-Reverse-Engineering-Guide#UnhandledExceptionFilter> https://sanseolab.tistory.com/16 Access Violation가 발생하여 계속 따라 가다보니 처음 본 함수를 발견하여 정리한다. 일반적으로 디버깅 중이라면 UnHandledExceptionFilter()는 실행 되지 않는다고 한다.필자도 역시 먼저 예외 발생 후 KiUserExceptionDispatcher()에서 UnHandledExceptionFilter() 내부에서 ZwQueryInformationProcess()를 호..
[Malware analysis] Smokeloader Malware 참조> https://asec.ahnlab.com/1371> https://n1ght-w0lf.github.io/malware%20analysis/smokeloader/ 해당 ASEC 주간 악성코드 통계를 보게되면 Smokeloader 악성코드를 확인할 수 있다. 그 전주 통계와 비교했을 때 크게 증가한 것을 확인하여 Smokeloader 즉, 인포스틸러/ 다운로드 악성코드를 살펴보았다. 먼저 Smokeloader 역시 MalPe 외형을 가지고 있다는 것을 확인할 수 있었는데, 확인 한 샘플은 (그림 1)와 같다.(그림 1) 파일 실행 시 (그림 2)와 같이 .dotm을 다운로드 하는 것을 확인할 수 있다. (그림 2) 다운로드한 해당..
[Reversing] Windows System Call Table_Windows 7 x86 참조> https://github.com/j00ru/windows-syscalls "Windows 7": { "SP0": { "NtAcceptConnectPort": 0, "NtAccessCheck": 1, "NtAccessCheckAndAuditAlarm": 2, "NtAccessCheckByType": 3, "NtAccessCheckByTypeAndAuditAlarm": 4, "NtAccessCheckByTypeResultList": 5, "NtAccessCheckByTypeResultListAndAuditAlarm": 6, "NtAccessCheckByTypeResultListAndAuditAlarmByHa..
[Malware] Fileless 관련 정리 과거 Fileless 코인마이너 악성코드를 살펴본 적이 있다. 참조 링크에 있는 Fileless 공격에 대해 관련 동영상을 참조해 정리를 할 것이다. 참조> https://jeongzzang.com/137> https://www.youtube.com/watch?v=Y_e1oZUWaZI&feature=youtu.be> https://ukdiss.com/examples/fileless-malware-attack-techniques.php Fileless 공격이란?악성 행위를 하는 코드를 메모리에서 실행하면서 공격하는 것으로 파일이 아닌 형태로 보관한다.즉, Fileless 말 그대로 파일로 존재하지 않고 메모리나 레지스트리에서 동작하는 악성코드이다. Fileles..
[Malware analysis] 폼북(Formbook) Malware 참조> https://learn.darungrim.com/contents/windows-malware-analysis-formbook-yara.html> https://asec.ahnlab.com/1362> https://medium.com/@s2wlab/formbook-tracker-unveiled-on-the-dark-web-f7f2568bb850> https://jeongzzang.com/147 참조 블로그에 있는 ASEC 주간 악성코드 통계를 살펴보면 인포스틸러에 자주 있는 Formbook을 살펴보려고 한다.(그림 1)은 Formbook 태그를 달고 있는 샘플 파일을 얻어 분석을 진행하였다.DHL Express으로 위장한 실행..
[Malware analysis] 5개월만에 돌아온 Emotet Malware 참조 - 매크로를 이용한 워드 파일 Emotet Malware> https://jeongzzang.com/148- 과거 Emotet Malware 분석> https://jeongzzang.com/97 뉴스 내용과 같이 과거 Emotet 악성코드와 최근 유포되는 Emotet 악성코드와 인자 값이 필요하지 않는지 확인 차 분석을 진행하였다.(그림 1)와 같이 5개월만에 돌아온 유포중인 Emotet 샘플 파일 확보 후 분석을 진행하였다. (그림 1) 구조 확인 시 (그림 2)와 같은 문자열을 확인할 수 있다.(그림 2) (그림 3)와 같은 방식을 이용하여 dll을 로딩하는 것을 확인할 수 있다. (그림 3) (그림 4)를 보게되면 ..
[Malware analysis] WastedLocker 랜섬웨어 참조> https://www.zdnet.com/article/garmin-services-and-production-go-down-after-ransomware-attack/> https://usf.app.box.com/s/z4fljmzgc2291ivv2u9prw3sh0apch17> https://asec.ahnlab.com/11 참조 블로그 뉴스를 살펴보면 웨어러블 제조업체인 가민(Gamin)은 랜섬웨어로 인하여 여러 서비스를 중단한 상태라는 것을 확인할 수 있다.WastedLocker라고 불리는 랜섬웨어로 추정이 되고 있는 상태라고 한다. 변형된 랜섬웨어 일수도 있지만 WastedLocker_IOC에 있는 하나를 분석할 것 이다. (그..
- Total
- Today