정짱의 작은 도서관

[Malware analysis] 류크(Ryuk) 랜섬웨어 헤르메스(Hermes) 랜섬웨어 변종으로 분류되는 류크 랜섬웨어는 표적형 랜섬웨어로 알려져 있다.특정 조직 및 기업을 대상으로 유포하는 특징이며, 헤르메스 랜섬웨어와 유사하다. 또한, 확장자를 변경하지 않는 것을 확인할 수 있다. 살펴보자. 1. 원본 파일 삭제 및 파일 생성루프문을 통해 C: (0x43 0x3A)을 복사 후 해당 문자열 뒤에 \users\public을 추가 복사하는 것을 확인할 수 있다. 해당 루틴을 통해 파일명(vWQql.exe)을 생성한 후 .exe 확장자를 복사하는 것을 확인할 수 있다. 파일명은 매번 랜덤하게 생성되는 것을 확인할 수 있다. 이후 메모리에 저장한 후 CreateFile()을 이용하여 C:\users\pub..

[Malware analysis] 주문 요청에 대한 첨부파일 열람 유도한 피싱 메일 워드문서를 가장한 이메일 패스워드 입력을 유도하는 로그인 페이지가 나오게 된다.계정정보는 미리 입력되어 있으며 패스워드를 입력하도록 유도하는 걸 확인 할 수 있다.패스워드 입력 후 국내 정상 사이트로 리다이렉트가 되어 정상적인 접근으로 착각할 수 있다. 패스워드 입력 시 POST 메소드를 통하여 C&C 주소로 전송되는 걸 확인 할 수 있다. 이메일 페이지를 사칭한 피싱사이트를 통해 사용자 계정 정보 탈취를 확인 할 수 있다.

[Malware analysis] 4.[아태연구]논문투고규정.docx 참조> https://www.boannews.com/media/view.asp?idx=90918> https://blog.alyac.co.kr/3228?category=957259 개성공단 근무 경험자 관련 문서와 아태 지역의 학술 연구논문 투고문서 등을 사칭한 "탈륨(Thallium)"사용자의 시스템 정보 수집 및 추가 악성코드를 다운로드 시도하는 악성코드이다. 보안뉴스 이슈 확인에 따른 분석으로 (그림 1)을 보면 워드문서를 사칭한 실행파일을 확인할 수 있다.리소스데이터를 살펴보면 데이터를 숨겨둔 것을 확인할 수 있다.(그림 1) JUYFON 리소스를 불러오는 것을 확인할 수 있다. (그림 2) 이후 임시 디렉토리에 " 4.[아태연..

[Reversing] UnHandledExceptionFilter 참조> https://www.codeproject.com/Articles/30815/An-Anti-Reverse-Engineering-Guide#UnhandledExceptionFilter> https://sanseolab.tistory.com/16 Access Violation가 발생하여 계속 따라 가다보니 처음 본 함수를 발견하여 정리한다. 일반적으로 디버깅 중이라면 UnHandledExceptionFilter()는 실행 되지 않는다고 한다.필자도 역시 먼저 예외 발생 후 KiUserExceptionDispatcher()에서 UnHandledExceptionFilter() 내부에서 ZwQueryInformationProcess()를 호..

[Malware analysis] Smokeloader Malware 참조> https://asec.ahnlab.com/1371> https://n1ght-w0lf.github.io/malware%20analysis/smokeloader/ 해당 ASEC 주간 악성코드 통계를 보게되면 Smokeloader 악성코드를 확인할 수 있다. 그 전주 통계와 비교했을 때 크게 증가한 것을 확인하여 Smokeloader 즉, 인포스틸러/ 다운로드 악성코드를 살펴보았다. 먼저 Smokeloader 역시 MalPe 외형을 가지고 있다는 것을 확인할 수 있었는데, 확인 한 샘플은 (그림 1)와 같다.(그림 1) 파일 실행 시 (그림 2)와 같이 .dotm을 다운로드 하는 것을 확인할 수 있다. (그림 2) 다운로드한 해당..

[Reversing] Windows System Call Table_Windows 7 x86 참조> https://github.com/j00ru/windows-syscalls "Windows 7": { "SP0": { "NtAcceptConnectPort": 0, "NtAccessCheck": 1, "NtAccessCheckAndAuditAlarm": 2, "NtAccessCheckByType": 3, "NtAccessCheckByTypeAndAuditAlarm": 4, "NtAccessCheckByTypeResultList": 5, "NtAccessCheckByTypeResultListAndAuditAlarm": 6, "NtAccessCheckByTypeResultListAndAuditAlarmByHa..

[Malware] Fileless 관련 정리 과거 Fileless 코인마이너 악성코드를 살펴본 적이 있다. 참조 링크에 있는 Fileless 공격에 대해 관련 동영상을 참조해 정리를 할 것이다. 참조> https://jeongzzang.com/137> https://www.youtube.com/watch?v=Y_e1oZUWaZI&feature=youtu.be> https://ukdiss.com/examples/fileless-malware-attack-techniques.php Fileless 공격이란?악성 행위를 하는 코드를 메모리에서 실행하면서 공격하는 것으로 파일이 아닌 형태로 보관한다.즉, Fileless 말 그대로 파일로 존재하지 않고 메모리나 레지스트리에서 동작하는 악성코드이다. Fileles..

[Malware analysis] 폼북(Formbook) Malware 참조> https://learn.darungrim.com/contents/windows-malware-analysis-formbook-yara.html> https://asec.ahnlab.com/1362> https://medium.com/@s2wlab/formbook-tracker-unveiled-on-the-dark-web-f7f2568bb850> https://jeongzzang.com/147 참조 블로그에 있는 ASEC 주간 악성코드 통계를 살펴보면 인포스틸러에 자주 있는 Formbook을 살펴보려고 한다.(그림 1)은 Formbook 태그를 달고 있는 샘플 파일을 얻어 분석을 진행하였다.DHL Express으로 위장한 실행..