Try Attack91 안티포렌식 기능이 적용된 랜섬웨어 분석보고 안티포렌식 기능이 적용된 랜섬웨어 분석을 시작하겠습니다!! 1. 악성행위 및 침해사고분석내용 요약 1) 실행 시 분석중인지 확인 후 분석되고 있다면 종료 ▶ 분석환경에서 동작하지 않도록 하는 기술을 적용해 분석이 어렵도록 제작 2) 레지스트리 변경(UAC 설정) ▶ 새 프로세스를 관리자권한으로 실행하기위해 UAC(사용자계정컨트롤)설정을 해제하도록 레지스트리 변경 3) 암호화할 파일정보 얻어 파일 읽기 ▶ C:\부터 순회하며 파일식별정보를 얻은 후 암호화할 파일의 내용을 읽기 4) 데이터 암호화 및 덮어쓰기 ▶ 스스로 암호키를 생성하여 읽은 파일 내용을 암호화 한 후 저장 5) 암호화 전/후 파일명 및 암호화 시간 ▶ 바탕화면에 랜섬노트 생성 후 감염된파일복구를 위한 복호화금액 요구 ▶ 디스크복구가 불가능.. 2022. 9. 12. 사이트 접속만으로 감염되는 랜섬웨어 분석보고 사이트 접속만으로도 감염되는 랜섬웨어가 있다고 합니다 함께 알아보시죠 1. 악성행위 및 침해사고분석내용 요약 1) 악성페이지 접속 시 ActiveX설치유도 ▶ 사용자가 sisainlive.com 접속 시 경유지 4곳을 거치면서 ActiveX 설치 유도 2) 악성파일 다운로드 ▶ ActiveX 설치 시 유포지에서 악성파일(pztub.inf)이 들어있는 .cab압축파일 다운로드 ▶ 경·유포지 URL, 다운로드압축파일, 압축파일 내 악성코드명은 계속 변경됨 3) 인터넷 익스플로러를 이용해 악성파일(pztub.inf) 접근기록 ▶ 인터넷 익스플로러에서 링크(.lnk)파일을 통해 inf파일 접근시도 후 링크삭제 4) rundll32.exe를 이용해 DLL파일(pztub.inf) 실행 후 정보수집 ▶ inf파일은 .. 2022. 9. 7. 미 송유관 공격한 다크사이드 랜섬웨어 분석 뉴스를 보셔서 아시겠지만 최근 랜섬웨어 공격이 활발해지고 있다고 합니다. 미국 최대 송유관 마비…어떻게 해킹 가능했나 - BBC News 코리아 국가 핵심 기반시설에 대한 사이버 공격은 갈수록 더 심각한 문제로 부상하고 있다. www.bbc.com 미국 송유관업체인 "콜로니얼 파이프라인(Colonial Pipeline)"을 공격한 랜섬웨어 파일을 구할 방법이 없어 분석하지 못하지만 공격그룹인 다크사이드에서 만든 랜섬웨어 중 하나를 분석해보려고 합니다. 하나씩 천천히 분석해보도록 할게요!! ※ 참고: 아래쪽에 랜섬웨어에 감염된 모습과 암호화설명 등이 있습니다 1. PE정보 확인 1) IMAGE_FILE_HEADER IMAGE_FILE_HEADER 분석내용을 적어보면 - 해당 파일은 I386환경에서 돌아가는.. 2021. 6. 5. [악성코드분석] dropper 안녕하세요 하하! 지금부터 드롭퍼가 어떤 함수를 사용해서 파일을 드롭하고 실행시키는지 알아보려고 합니다. FindResource 함수 HRSRC FindResource(HMODULE hModule, LPCTSTR lpName, LPCTSTR lpType); FindResource함수는 리소스를 찾는 함수입니다 1) hModule : 리소스를 찾을 exe나 dll의 핸들을 넣어주면 됩니다 (NULL을 넣으면 현재 프로세스의 모듈을 사용합니다 2) lpName : 리소스의 이름을 넣어주면 됩니다 MAKEINTRESOURCE를 사용해서 정의한 ID를 넣어주어도 됩니다 3) lpType : 리소스 타입을 넣어주면 됩니다 MAKEINTRESOURCE를 사용해서 정의한 ID를 넣어주어도 됩니다 4) return :.. 2021. 4. 25. 백도어 제작 우선, 이 글에 적혀있는 내용은 악의적으로 이용시 처벌받을 수 있음을 알려드립니다!! 저는 책임이 없습니다! 안녕하세요..!! 오랜만에 그것도 엄청엄청 오랜만에 글쓰기를 눌렀네요.. "귀찮아하면 소중한걸 잃게된다"는 말이 있죠,, 지식도.. 마찬가지겠죠? 그래서 아무거나라도 해보기위해 글쓰기를 눌렀습니다. 이 글의 제목은 아직까지 정하지 못했습니다. 음.. 그냥 어려운걸 찾아봅시다!! 세상에서 두 번째로 어려운 일은 남의 지갑에서 돈을 뺏어오는 일이고, 세상에서 가장가장 어려운 일은 다른사람 머리속에 내 생각을 넣는 일이라고 하네요. 원하는 것을 뺏아오고 원하는 것을 넣기 위해.. 오늘은 백도어를 공부해봅시다! 백도어란? 뒷문이겠죠? 즉, 방화벽과 보안장비를 우회해서 서버의 자원을 통제하는 기술..?정도.. 2021. 3. 11. 토크나이징(Tokenizing)이란? 안녕하세요!! 나른나른한 탓인지 굉장히 오랜만에 들어왔어요. 최근에 노션을 하다보니 블로그에 접속을 덜하게 되었는데 오늘은 크리스마스 이브니까! 그런데 나는 할게 없으니까,, 키보드 타닥타닥하고 있는거겠죠? Q. 본론으로 돌아와서 토크나이징이 뭘까요? A. 우리가 일상에서 사용하는 언어(자연어)를 컴퓨터에게 이해시키기 위해 의미가 있는 가장 작은 단어(토큰)로 나누는 것! 입니다. 토크나이징한 토큰은 주로 텍스트 전처리과정에서 사용됩니다. 나무위키에 한국어의 9품사(명사, 대명사, 수사, 동사, 형용사, 관형사, 부사, 조사, 감탄사)에 대한 자세한 설명이 나와있습니다. (너무 어려워요ㅠㅜㅡ,./) 한국어의 5언 9품사 - 나무위키 문장에서 주어나 목적어가 되는 낱말. 그래서 체언(體言)이다. 명사, 대.. 2020. 12. 24. saturn 랜섬웨어 분석 안녕하세요! 매주 수요일이 코로나 감염수가 가장 많은 날인데 생각보다 그렇게 많이 늘지는 않았네요. 다행이에요! 왜 수요일에 코로나확진자가 늘어나냐구요? 주말에는 제대로 검사를 하기 힘들고 보통 하루에서 이틀정도 걸리기 때문입니다. 오랜만에 글을 쓰게 되었는데 요즘들어 이것저것 관심있는 것도 많고 하다보니.. 다른공부를 하다보니 한 달이 지나갔네요! 본론으로 돌아와서 saturn 랜섬웨어를 분석하려고합니다. 먼저 정적분석으로 한걸음 가까이 다가가볼까요? 시작주소가 0x4151bc이고, 5개의 섹션이 존재하며, C++로 제작되어 있는 32비트 실행파일이네요! 5개의 섹션 중 .reloc섹션이 존재하는 것을 확인할 수 있네요. 아마도 재배치 되겠죠? relocation에 대한 정보는 아래 링크를 참고하세요!.. 2020. 9. 3. Windows 부트로깅 1. 부트로깅이란? 시스템이 부팅 중 발생하는 이벤트를 모니터링하고 로그에 남기는 것! 2. 분석방법 Injection, Launcher의 기능을 하는 프로세스 식별 자동실행 된 프로세스 식별 특정 프로세스를 실행 중 접근된 자원 실별 프로세스 상관관계 분석(Parent-Child Relationship) TCP/UDP Traffic을 발생시킨 프로세스 식별 이후 재부팅 !! 두구두구두구 로그를 이용해서 라이프타임이 짧은 걸 확인하고 프로세스트리를 확인하여 상관관계를 분석한다. [ex)부모프로세스와 자식프로세스 등 다른프로세스에 의해 생성된 것] 2020. 6. 13. Windows 주요프로세스 분석 1. lass.exe(Local Security Authority Subsystem Services) (1) 프로세스 목적 및 기능 ▶ 보안정책적용을 담당하는 프로세스 ▶ 패스워드 변경, Access Tokens 생성, 사용자 인증 ▶ 악성코드가 자주 사용하는 이름 중 하나 (2) 이상할 때 ▶ 실행경로가 %systemroot%\system32가 아닐 때 ▶ 자식 process를 소유할 때 ▶ 프로세스 시작시간이 시스템 부팅시간과 많이 차이날 때 ▶ CPU점유율이 과도하게 높을 때 2. svchost.exe(Service host) (1) 프로세스 목적 및 기능 ▶ 동적라이브러리(DLL)에서 실행되는 윈도우의 서비스를 제어 ▶ 윈도우 부팅 시 레지스트리의 서비스를 검사 ▶ 로드해야 할 서비스의 대상, 위.. 2020. 6. 10. 우리집에서 메일 보고갈래? 안녕하세요!! 5월이가 가고 6월이가 오고 있는 지금은 편지를 주고받기 좋은 계절이네요! 맞다고 해주세요! 하하.. 우리집에서 메일을 보고가라고 여러분들을 꼬신 이유가 궁금하신가요? 바로바로바로 두구두구두구두구... 그저께 제가 휴가간 사이에 저의 사수?분께서 메일과 관련된 이것저것 쪽지를 보냈는데 덜떨어진 부사수(저에요;;)는 이해하지 못했기 때문에 관심을 가져볼까 합니다.. 메일이라는 너에게! 시작! 메일 헤더는 알고있다?! 여러분은 메일을 받으면 보낸사람정보를 알 수 있습니다. 이게 정말 믿을만한지는? 메일 헤더가 알고 있습니다. 그렇다면 메일 헤더에는 어떤 정보가 있을까요? 메일서비스를 제공하는 회사마다 조금씩은 다르지만 기본구조(눈 두 개, 코 한개, 입 한 개 와 같이..)는 동일하기 때문에 .. 2020. 5. 24. WEB 기초 안녕하세요. 또 처음으로 돌아왔네요.. 저는 웹지식에 대한 부실공사가 너무 잘돼있어서 이번에 웹 기반지식을 깔끔하게 다져볼까 합니다. 1. 각각의 기능과 종류 1) 브라우저 ▶ Internet Explorer, Firefox, Chrome 등이 있습니다. ▶ 사용자가 웹서비스 요청시 사용합니다. ▶ 서버로부터 온 응답을 해석하여 화면에 보여줍니다. ▶ 브라우저가 해석하는 클라이언트 언어는 html, css, java_script가 있습니다. 2) 웹서버 ▶ IIS, Apache, Tomcat, nginx 등의 웹서비스데몬이 있습니다. ▶ 사용자가 요청한 데이터를 읽습니다. ▶ 웹서버만으로 처리할 수 없는 것은 WAS(Web Application Server)와 DB(Database)서버와 함께 처리합니다.. 2020. 5. 4. [전지적해커시점] DLL Injection 안녕하세요. 여기 들어오신 분은 DLL injection이 궁금해서 들어오셨겠죠? 음... DLL Injection은 전지적 해커시점에서 보아야 합니다. 시작부터 무슨말이냐고요? 프로세스 하나를 보는 것이 아니고 어떤 프로세스가 어떤 프로세스에게 어떤 행위를 했다.. 그럼 무슨 일이 일어난다.. 그런데 이것을 왜? 할까.. 이런식으로 보자는 말이죠! 1. 상식알고가기 운전을 하려면 신호등 색이 의미하는 것을 알아야겠죠? DLL인젝션을 하기 전에도 알아야할 상식이 있답니다. [1] DLL(Dynamic Link Library)이란? ▶ 실행파일이 실행될 때 프로세스에 할당된 메모리에 함께 로드된다. [2] DLL의 특성 ▶ DLL은 메모리에 로드되면 DllMain을 실행한다. ▶ 이 말은 DLL을 프로세스.. 2020. 5. 3. 이전 1 2 3 4 ··· 8 다음
