정짱의 작은 도서관

[Malware analysis] Malwarebytes CrackMe: a step-by-step tutorial 본 블로그에서는 생략된 부분이 많이 있음 참조> https://blog.malwarebytes.com/malwarebytes-news/2017/11/how-to-solve-the-malwarebytes-crackme-a-step-by-step-tutorial/ - 샘플 파일 다운로드> 첨부파일 정적 분석 파일명 1번 훈련용 샘플.exe 파일크기 175.0 KB MD5 473CE8A8B5C6BA36BB796A1673EE8751 1번 훈련용 샘플.exe BinText 파일 내부의 문자열들을 확인 시 VBOX라는“HARDWARE\ACPI\DSDT\VBOX__” 가상 머신과 관련된 코드가 있을 것..

[Malware analysis] Emotet Malware - 샘플 파일 다운로드> 파일첨부 악성코드 정보 Emotet 악성코드는 2014년 금융 데이터를 훔치는 트로이 목마로 처음 발견되었다. 시간이 지남에 따라 사용자 PC를 감염시키고, C&C 통신을 통해서 악성 행위를 시도한다. Emotet 악성코드는 주소 스팸메일을 통해 유포되며, 공격자는 메일 내용으로 청구서와 같이 사용자가 관심을 가질만한 소재를 사용한다. 이와 함께 위장된 워드 파일을 첨부하거나, 청구서를 다운로드 할 수 있는 URL를 포함하여 사용자의 다음 행동을 유도한다. 파일명 Emotet.exe(payload) 파일크기 468.1 KB MD5 1ABEEC317E6C10B9201EE1C713069715 SHA-256 8976948f9..

[Reversing] RTF, OLE, Open XML RTFRTF 파일은 여러 OLE 객체로 이루어져 있으며, OLE 객체를 태그 별로 구분을 하고 있다. RTF 파일은 서식 있는 텍스트 포맷으로 HxD을 이용하여 rtf라는 문자열을 확인 할 수 있다. 근데 모든 rtf 파일이 저런건 아닌거 같다..그림 1 – RTF HxD OLEMicrosoft Office의 .doc, .xls 파일을 HxD을 이용하여 (그림 2)와 같이 OLE 헤더 시그니처를 확인 할 수 있다. 또한, 해당 “test_doc.doc” 파일은 7-zip을 이용하여 압축 해제하게 되면 각각의 OLE 객체들을 확인 할 수 있다. 그림 2 – OLE HxD Open XMLMicrosoft Office의 .docx, .docm, .xlsx..

[Malware analysis] CVE-2017-11882 Microsoft Office EQENDT32 취약점 분석 참조 (Asec 블로그) > https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=27369 - 샘플 파일 다운로드 > 파일첨부 CVE-2017-11882 Microsoft Office 2007, 2010, 2013 등으로 현재 시중에서 이용되고 있는 대다수의 MS Office 제품군이 해당된다. 이에 따라 취약점의 심각도 또한 “높음(HIGH)”으로 분류되어 있다. CVE-2017-11882 분석 파일명 CVE-2017-11882/OLE 파일크기 50.1 KB MD5 89E36574ECE95178C511705..

[Reversing] APC Injection_QueueUserAPC() - 샘플 파일 다운로드> 첨부파일 APC인젝션은 비동기 함수 호출로 직접 호출하는 형태가 아닌 CALLBACK 함수를 통해 호출하는 것이다.QueueUserAPC() 함수를 이용하는데 해당 함수가 호출되기에는 스레드가 Alertable 상태여야며, 또 스레드가 Alertable 상태가 되기 위한 조건은 sleep(), wait() 관련 API를 통해야 된다는 조건이 있다. alertable 상태란? 사용자가 조정할 수 있는 유일한 스레드의 상태이다. (SleepEx, WaitForSingleObjectEx, WaitForMultipleObjectsEx, SignalObjectAndWait, MsgWaitForMultipleObjec..

[Reversing] Self Creation, 디버깅 Emotet 분석중(그림 1)을 살펴보면 서비스 실행 한도 시간을 수정한 후 해당 서비스 실행 파일의 EP의 2byte 값을 무한루프로 변경해 주는 것을 확인 할 수 있다. 이후 서비스를 시작할 때 해당 서비스를 Attach를 한 후 원복 후 디버깅을 진행 할 수 있다.. 그림 1 – 서비스 디버깅 CVE-2017-11882 분석중취약점 발생 원인 부분을 살펴보면 Microsoft Office의 수식 편집기(EQNEDT32)을 이용하여 쉘 코드를 실행하는 한다는 사실을 알 수 있었다. 즉, Cve-2017-11882.rtf을 실행 시 수식 편집기가 실행 되면서 취약점이 발생하는 걸 확인하였다. (그림 2)와 같이 EQNEDT32.EXE의 Entry ..

# SHGetFolderPath 참조> http://msdn.microsoft.com/library/en-us/shellcc/platform/shell/reference/enums/csidl.asp> https://tarma.com/support/im9/using/symbols/functions/csidls.htm CSIDL_FLAG_CREATE (0x8000) Version 5.0. Combine this CSIDL with any of the following CSIDLs to force the creation of the associated folder. CSIDL_ADMINTOOLS (0x0030) Version 5.0. The file system directory that is used to ..

[Reversing] API 동적 로딩 기법, PEB의 LDR 이용 참조> https://5kyc1ad.tistory.com/328> https://sanseolab.tistory.com/47 TEB0x30 : PEB PEB0x0C : PEB_LDR_DATA PEB_LDR_DATA0x0C : ( InLoadOrderModuleList )0x14 : ( InMemoryOrderModuleList )0x1C : LDR_MODULE ( InInitializationOrderModuleList ) ( InLoadOrderModuleList )( 바이너리 -> ntdll.dll -> kernel32.dll -> kernelbase.dll )0x00 : Next Module0x04 : Previous Module0..