정짱의 작은 도서관

[Malware analysis] Black Ball SMBGhost 취약점 공격 참조> https://s.tencent.com/research/report/1008.html> https://gist.github.com/vortexau/13de5b6f9e46cf419f1540753c573206 이터널블루(Eternal Blue) 취약점 발생으로 큰 이슈였던 SMBGhost라고 불리는 CVE-2020-0796와 관련된 공격이다.아는 선에서 이야기하자면 이런 시나리오다.. 취약한 대상을 찾아 SMBv3 활성화 확인 후 CVE-2020-0796 취약점을 이용하여 중요 정보를 탈취하는 정도로 알고 있으며 해당 취약점에 대해서는 상세정보는 구글링을 권한다..Eternal Blue 취약점 악용(MS17-010) $..

[Malware analysis] MBRLocker 악성코드를 생성하는 Dropper 참조> https://securitynews.sonicwall.com/xmlpost/coronavirus-trojan-overwriting-the-mbr/> https://www.boannews.com/media/view.asp?idx=87385&kind=14 본글은 코로나 이슈를 이용하여 악성행위를 하는 악성코드로 4월초 해당 파일에 대해 확인해 본적이 있다.분석 내용을 블로그에 남기기 위하여 새로 분석해본다.(그림 1)을 살펴보면 해당 파일에 대해 확인할 수 있다.(그림 1) (그림 2)를 살펴보면 RCData(리소스스크립트) 부분에 스크립트를 확인할 수 있다. (그림 2) COVID-19.exe 실행시 (그림 3)..

[Reversing] Python zlib unpacking참조> https://stackabuse.com/python-zlib-library-tutorial/> https://docs.python.org/3/library/zlib.htmlPython zlib는 참조 링크를 통하여 알 수 있다.HwpScan2 도구는 한글(HWP) 문서 파일의 취약점 및 파일 구조에 대해 분석 정보를 확인할 수 있다.하지만 해당 도구는 주기적으로 재설치가 필요하며 가끔 오류가 발생하는 거 같다.해당 도구의 하나의 기능인 zlib decompress 관련해서 Python을 이용하여 제작하였다. >>> import zlib>>> obj1 = open('[.eps_file]', 'rb').read()>>> obj..

[Malware analysis] 북한의 회색지대 전략과 대응방안.hwp 참조 - '북한의 회색지대 전략과 대응방안' 한글문서(HWP) 유포 중 > https://asec.ahnlab.com/1347 본 블로그에서 ESP 관련 내용을 확인할 수 있다. KINU 전문가 자문 요청사항(한미동맹과 한중관계).hwp(그림 1)을 보게되면 샘플 파일을 확보한 것을 확인할 수 있다.(그림 1) (그림 2)을 보게되면 본문 내용과 함께 해당 파일의 정보를 확인할 수 있으며, 2019년 작성 되어 2020년 6월 23일에 수정된 정보와 작성자는 Venus.H로 확인할 수 있다. (그림 2) 한글 파일 구조 확인 시 BinData는 PNG, OLE, EPS로 구성되어 있으며 EPS 코드 용량이 한글 문서 용량의 절반을 ..

[Reversing] 델파이(Delphi) 관련 정리 영화 '결백' 동영상 파일(*.AAC)로 위장하여 유포되는 백도어> https://asec.ahnlab.com/1351 참조> https://sanseolab.tistory.com/56> http://www.reversenote.info/how-to-analyze-delphi/> https://reverseengineering.stackexchange.com/questions/2873/which-ida-pro-signature-should-be-used-for-borland-delphi-6-0-7-0-binaries-as-re> https://sanseolab.tistory.com/55 분석을 하다보면 여러 언어(VB, dotNet, C, C++, M..

[Malware analysis] WannaMine 파워쉘을 이용한 파일리스 악성코드 파일리스 관련하여 살펴보던 중 파일리스 코인마이너 악성코드를 확인할 수 있었다.파일리스란 말 그래도 파일로 존재하지 않고 메모리나 레지스트리에서 동작하는 악성코드이다. 참조> https://s.tencent.com/research/report/869.html> https://sanseolab.tistory.com/29> https://gist.github.com/vortexau/13de5b6f9e46cf419f1540753c573206 작성하려는 파일리스 악성코드는 현재 URL이 막혀있기에 미리 얻은 .xsl 파일부터 분석해보겠습니다..xsl 살펴보면 XML 형식으로 작성된 파일 확인 시 cmd 명령을 통해 base64..

[Malware analysis] Poulight Stealer 인포스틸러 악성코드 참조> https://isarc.tachyonlab.com/3075 정보 탈취형 악성코드 Poulight Stealer 이며, 해당 악성코드의 주요 행위에 대해 작성하겠습니다.파일 확인 시 닷넷(.net)으로 제작 된 파일인 것을 확인할 수 있다. 닷넷 디버거를 이용하여 살펴보겠습니다.(그림 1) 해당 파일을 main 부분을 살펴보면 Check Vm 이라는게 보이며 가상환경 유무를 확인하는지 예상할 수 있다. 먼저 CheckVM()을 살펴보자.(그림 2) "Select * from Win32.ComputerSystem"이라는 쿼리문을 확인할 수 있다. 이후 vmware, VIRTUAL, VirtualBox, sbiedll..

[Reversing] Pe-sieve 도구 by Hasherezade 트위터를 보다가 PE-sieve 업데이트 소식을 듣고 잘 사용하면 편리하기에 해당 도구에 대해 작성한다.PE-sieve는 실행중인 프로세스를 추출하는 것으로 악성 행위를 주입한 프로세스를 .exe 파일로 만들어주는 도구이다. 악성 행위라면 여러 인젝션이 될 수도 있으며 Process Hollowing 등을 말한다.해당 도구 사용법은 간단하며 자세한 내용은 구글링이나 https://github.com/hasherezade/pe-sieve 참고하면 될 것 같다. 모든 악성 파일에 적용이 가능하지는 않지만 최근 자주 유포되는 이력서로 위장한 Makop 랜섬웨어인 악성파일로 설명해보겠다. 먼저 (그림 1)을 보게 되면 해당 Makpo 악성파일..