Anti-VM 기법
뭘 했는지? 모르겠지만
벌써 추석이네요...
일어나니 4시가 넘었네요..
다시 잘 준비를 하는게 좋겠죠?!
제 컴퓨터에서 테스트할 수는 없기 때문에
가상머신에서 테스트를 진행했습니다.
당연히 혹시모를 상황에 대비해서
네트워크 연결은 하지 않았구요!!
Windows7에서 진행하였습니다.
가상머신이라도 아깝네요.
https://www.boannews.com/media/view.asp?idx=80519
갠드크랩 최신 버전을 위한 복호화 툴, 무료로 배포 중
악명 높은 랜섬웨어인 갠드크랩(GandCrab)의 최신 버전으로부터 피해자들의 데이터를 살릴 수 있는 복구 툴이 개발돼 무료로 배포되고 있다. 현재 랜섬웨어 피해 복구 노력이 진행되고 있는 전 세계적인 프로젝트, 노모어랜섬(NoMoreRansom)을 통해 공개되어 있으며 갠드크랩 1~4버전은 물론 가장 최신 버전인 5~5.2 버전까지 복구가 가능하다고 한다.
www.boannews.com
개인적으로 궁금한거는..
네트워크를 끊어놨는데
키는 어디서 얻어와서
암호화를 했을까요?
네트워크가 연결되어 있지 않은 경우
내부에 복호화할 수 있는 키가 있다는 말이 아닐까요?
요약해보면
통신을 통해 받아오는 방식과
내부에 존재하는 공개키를 이용하는 방식
모두 사용하도록 했다네요.
원래 하려고 한 것은 이게 아니므로..
VM-escape라는 말을 들어보신적이 있으신가요?
https://www.boannews.com/media/view.asp?idx=74521&page=1&kind=1
VM웨어, 해킹 대회서 발견된 취약점 긴급하게 패치
VM웨어(VMware)가 최근 중국에서 열린 해킹 대회인 긱폰2018(GeekPwn2018)에서 공개된 가상 기계 탈출 취약점에 대한 패치를 긴급하게 개발, 발표했다.
www.boannews.com
딱히 VM웨어나 Virtualbox의
가상머신에서 호스트로 탈출하는 것을
말합니다.
랜섬웨어를 가상머신에서 분석하려다가
호스트까지 암호화되버리면
어떤 기분일지 상상이 되질 않네요.
이러한 부분은
개발회사에서 패치를 하겠죠?
그러나 요즘나온 똘똘한 악성코드는
자신이 돌고있는 환경이
가상환경이면 자신의 모습을 드러내지 않는다고 합니다.
악성코드를 분석하는 사람들이
호스트에서 분석하기에는 제약이 있겠죠?
그래서 Anti-VM기법을
우회하는 방법을 생각해보려고 합니다.
'Try Attack > Malware Analysis[basic]' 카테고리의 다른 글
| [악성코드 분석] 드롭퍼/다운로더(1) (0) | 2019.11.13 |
|---|---|
| 메모리 상에 있는 code영역을 수정하는 프로그램 (0) | 2019.09.18 |
| [논문요약] 악성코드 정적탐지를 위한 PE의 Rich헤더 활용방법 (0) | 2019.09.04 |
| 악성코드 분석[4] (0) | 2019.09.01 |
| 악성코드 분석[3] (0) | 2019.08.30 |
댓글