[Malware analysis] 주문 요청에 대한 첨부파일 열람 유도한 피싱 메일 워드문서를 가장한 이메일 패스워드 입력을 유도하는 로그인 페이지가 나오게 된다.계정정보는 미리 입력되어 있으며 패스워드를 입력하도록 유도하는 걸 확인 할 수 있다.패스워드 입력 후 국내 정상 사이트로 리다이렉트가 되어 정상적인 접근으로 착각할 수 있다. 패스워드 입력 시 POST 메소드를 통하여 C&C 주소로 전송되는 걸 확인 할 수 있다. 이메일 페이지를 사칭한 피싱사이트를 통해 사용자 계정 정보 탈취를 확인 할 수 있다.
[Malware analysis] 4.[아태연구]논문투고규정.docx 참조> https://www.boannews.com/media/view.asp?idx=90918> https://blog.alyac.co.kr/3228?category=957259 개성공단 근무 경험자 관련 문서와 아태 지역의 학술 연구논문 투고문서 등을 사칭한 "탈륨(Thallium)"사용자의 시스템 정보 수집 및 추가 악성코드를 다운로드 시도하는 악성코드이다. 보안뉴스 이슈 확인에 따른 분석으로 (그림 1)을 보면 워드문서를 사칭한 실행파일을 확인할 수 있다.리소스데이터를 살펴보면 데이터를 숨겨둔 것을 확인할 수 있다.(그림 1) JUYFON 리소스를 불러오는 것을 확인할 수 있다. (그림 2) 이후 임시 디렉토리에 " 4.[아태연..
[Reversing] UnHandledExceptionFilter 참조> https://www.codeproject.com/Articles/30815/An-Anti-Reverse-Engineering-Guide#UnhandledExceptionFilter> https://sanseolab.tistory.com/16 Access Violation가 발생하여 계속 따라 가다보니 처음 본 함수를 발견하여 정리한다. 일반적으로 디버깅 중이라면 UnHandledExceptionFilter()는 실행 되지 않는다고 한다.필자도 역시 먼저 예외 발생 후 KiUserExceptionDispatcher()에서 UnHandledExceptionFilter() 내부에서 ZwQueryInformationProcess()를 호..
[Malware analysis] Smokeloader Malware 참조> https://asec.ahnlab.com/1371> https://n1ght-w0lf.github.io/malware%20analysis/smokeloader/ 해당 ASEC 주간 악성코드 통계를 보게되면 Smokeloader 악성코드를 확인할 수 있다. 그 전주 통계와 비교했을 때 크게 증가한 것을 확인하여 Smokeloader 즉, 인포스틸러/ 다운로드 악성코드를 살펴보았다. 먼저 Smokeloader 역시 MalPe 외형을 가지고 있다는 것을 확인할 수 있었는데, 확인 한 샘플은 (그림 1)와 같다.(그림 1) 파일 실행 시 (그림 2)와 같이 .dotm을 다운로드 하는 것을 확인할 수 있다. (그림 2) 다운로드한 해당..
[Reversing] Windows System Call Table_Windows 7 x86 참조> https://github.com/j00ru/windows-syscalls "Windows 7": { "SP0": { "NtAcceptConnectPort": 0, "NtAccessCheck": 1, "NtAccessCheckAndAuditAlarm": 2, "NtAccessCheckByType": 3, "NtAccessCheckByTypeAndAuditAlarm": 4, "NtAccessCheckByTypeResultList": 5, "NtAccessCheckByTypeResultListAndAuditAlarm": 6, "NtAccessCheckByTypeResultListAndAuditAlarmByHa..
[Malware] Fileless 관련 정리 과거 Fileless 코인마이너 악성코드를 살펴본 적이 있다. 참조 링크에 있는 Fileless 공격에 대해 관련 동영상을 참조해 정리를 할 것이다. 참조> https://jeongzzang.com/137> https://www.youtube.com/watch?v=Y_e1oZUWaZI&feature=youtu.be> https://ukdiss.com/examples/fileless-malware-attack-techniques.php Fileless 공격이란?악성 행위를 하는 코드를 메모리에서 실행하면서 공격하는 것으로 파일이 아닌 형태로 보관한다.즉, Fileless 말 그대로 파일로 존재하지 않고 메모리나 레지스트리에서 동작하는 악성코드이다. Fileles..
[Malware analysis] 폼북(Formbook) Malware 참조> https://learn.darungrim.com/contents/windows-malware-analysis-formbook-yara.html> https://asec.ahnlab.com/1362> https://medium.com/@s2wlab/formbook-tracker-unveiled-on-the-dark-web-f7f2568bb850> https://jeongzzang.com/147 참조 블로그에 있는 ASEC 주간 악성코드 통계를 살펴보면 인포스틸러에 자주 있는 Formbook을 살펴보려고 한다.(그림 1)은 Formbook 태그를 달고 있는 샘플 파일을 얻어 분석을 진행하였다.DHL Express으로 위장한 실행..
[문제해결] 사이트에 연결할 수 없음(..에서 응답하는 데 시간이 너무 오래 걸립니다) HTTPS(SSL)웹 페이지 접속 이슈가 발생한다면 아래와 같은 원인일 수 있다. [Host PC에서 확인] 사이트에 연결할수없음 xx 에서 응답하는 데 시간이 너무 오래 걸립니다 ERR_CONNECTION_TIMED_OUT [Web Server에서 로그 확인] SSL handshake interrupted by system [Hint: Stop button pressed in browser?!] [발생 원인 및 해결방법] 해당 이슈 원인은 많이 알려져있는 인증서 이슈와 거의 알려지지 않은 MTU 불일치 이슈가 있다. 1. 인증서 이슈 : 인증서가 만료되었거나 폐기되었을 경우 발생한다. * 해결방법 : 해당 원인의 경..
- Total
- Today