정짱의 작은 도서관

[Reversing] Formbook Visual Basic 외형 참조> https://jeongzzang.com/152> https://blog.vincss.net/2020/05/re014-guloader-antivm-techniques.html> https://medium.com/m4n0w4r/quick-analysis-note-about-guloader-or-cloudeye-6d4408cca61 ZwQueryVirtualMemory() 이용하여 가상환경관련 문자열이 메모리에 있으면 그 문자열을 해시 계산한 후 일치하면 종료한다. 다음으로는 EAX에 1 넣고 CPUID 어셈명령 호출하고 ECX에 31번째 비트 1인지 확인한다. 즉, EAX에 값은 넣고 CPUID을 호출하면 EAX 값에 따라 정보가 E..

[Reversing] 악성코드 분석 도구 참조> https://down.52pojie.cn/> https://github.com/ganlvtech/down_52pojie_cn 최신 온라인 크래킹 툴킷에 대한 정보를 공유하기 위해 작성을 한다. 해당 참조 사이트에서 제공하는 도구들은 자주 사용하는 도구로 다운로드 할 수 있으며, 새로운 도구도 함께 살펴볼 수 있다.CrackMe 콘테스트 작품과 해당 분석 기사등을 함께 확인할 수 있다. 도구를 살펴보면 아래와 같다. Android_Tools - Android 프로그램의 리버스 엔지니어링에 사용되는 관련 도구 (Androidkiller , JEB 등) Anti_Rootkit- 안티 바이러스 트로이 목마가 사용하는 관련 도구 (PCHunter, Procmon ..

[Malware analysis] Visual Basic 악성코드 VB 전용 엔진을 사용해 Visual Basic으로 제작되었다. 스팸 메일 외 다수 유포되는 국내외 Visual Basic 악성코드는 일반적으로 빌더를 이용하여 만들어지기 때문에 파일의 코드 외형 특징과 동작 방식이 단기적으로 같은 특징이 있는 경우도 있다고 한다.또한, 인터넷 주소로 접속을 시도해 다른 악성코드들을 다운로드 및 실행하게 만들며 암호 유출용 악성코드의 전파와 실행을 보조하기도 한다 Visual Basic으로 작성된 걸 확인할 수 있다. 1. Visual Basic Main 살펴보면 난독화 된 코드를 확인할 수 있다. 진행하며 살펴보겠다. 살펴보게 되면 이전 할당 받은 공간에 [EAX+EDX] 주소부터 데이터를 입력하는 것을..

[Malware analysis] 암호 걸린 첨부 파일을 이용한 Emotet 참조> https://jeongzzang.com/162> https://www.virustotal.com/gui/file/c6837f0ac871c07b7e1330f74ba054bffcf4b9d45e482669cfa35f7447229353/detection> https://www.virustotal.com/gui/file/57f5134f5273a79ff5d44d820975ee70ddedf209d190f5d210e5efde5fca06a8/detection 10월 20일에 작성한 암호가 걸린 첨부 파일 내 이모텟이 유포되는 것을 확인할 수 있었다.오늘도 성격이 같은 유형의 악성코드를 간략히 정리한다. 아래 그림을 보게 되면 .zip ..

[Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ② [Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ① 계속 진행해서 HimTratIcon.exe 살펴보자. 1. Injection 상세분석(HimTratIcon.exe)alloc 할당을 진행 후 반복을 통해 메모리에 PE파일을 쌓는 걸 확인할 수 있었다 진행 시 System 폴더 경로를 얻은 후 해시 값을 통해 “userinit.exe”을 얻는 것을 확인할 수 있다. 이후 alloc 할당까지 진행하는 것을 알 수 있으며, CreateProcessA() 까지 호출하는 것을 확인할 수 있었다. “Userini.exe” 프로세스를 Suspend 상태로 생성하는 것을 알 수 있다. 이후 살펴보면..

[Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ① 파일> (첨부2)20-0206_법인_운영상황_평가표_서식(법인작성용).hwp [Malware analysis] CVE-2017-8291, 고스트스크립트 취약점 ② 1. 취약점 발생 원인CVE-2017-8291 취약점은 고스트스크립트 인터프리터가 .eqproc 함수에서 매개변수 타입 유효성을 검증하지 않아 피연산자 스택의 메모리 변조를 허용해 발생한다. 즉, 포스트스크립트를 이용하여 스택을 변조하여 공격 코드를 실행할 수 있다. 취약점은 gsdll32.dll에서 발생한다고 한다. 1.2 취약점 분석 방법#1 (PostScript)> https://jeongzzang.com/129> https://jeongzzang.com..

[Malware analysis] 정보 탈취형 멀웨어 Lokibot 분석 정보 탈취형 멀웨어인 로키봇(LokiBot)은 특히 악성 스팸 메일 캠페인을 통해 번지고 있으며, 주로 ISO 이미지 파일이 첨부되어 있다는 게 특징이다. 첨부 악성 파일은 악성 실행 파일(.exe)이 포함된 압축파일(.zip) 혹은 문서 파일(.docx, .xls, .pptx)이 있다.로키봇 악성코드는 사용자 PC의 메일, 웹 브라우저, 패스워드 관리 프로그램 등의 사용자 정보를 수집한다. 또 사용자 몰래 C&C서버에 접속해 탈취한 사용자 정보를 전송하고 더 나아가 사용자 PC를 원격 조종해 추가적인 악성 행위 시도를 한다 해당 파일의 해시 값 조회 시 60곳에서 악성코드로 진단이 되고 있다. 문자열 조회 시 select문을 이용..

[Malware analysis] 암호 걸린 첨부 파일 내 워드문서를 통한 인포스틸러(Emotet) 악성코드 참조- 암호 걸린 첨부 파일로 유포 중인 Emotet 악성코드> https://asec.ahnlab.com/1395> https://jeongzzang.com/150> https://jeongzzang.com/148> https://jeongzzang.com/97 과거와 동일한 형태로 MS 워드 문서의 매크로를 통하여 인포스틸러인 이모텟이 유포되는 것을 확인할 수 있었다. 위 워드 파일의 매크로 부분을 살펴보면 아래와 같이 짜여진 것을 확인할 수 있는데 이후 확인할 것이다. 다음으론 워드 문서를 이용할 땐 매크로 활성화를 위하여 콘텐츠 사용 탭이 보여지는 것을 확인할 수 있다.즉 매크로 [콘텐츠 ..