Try Attack/Malware Analysis[basic]18

안티포렌식 기능이 적용된 랜섬웨어 분석보고 안티포렌식 기능이 적용된 랜섬웨어 분석을 시작하겠습니다!! 1. 악성행위 및 침해사고분석내용 요약 1) 실행 시 분석중인지 확인 후 분석되고 있다면 종료 ▶ 분석환경에서 동작하지 않도록 하는 기술을 적용해 분석이 어렵도록 제작 2) 레지스트리 변경(UAC 설정) ▶ 새 프로세스를 관리자권한으로 실행하기위해 UAC(사용자계정컨트롤)설정을 해제하도록 레지스트리 변경 3) 암호화할 파일정보 얻어 파일 읽기 ▶ C:\부터 순회하며 파일식별정보를 얻은 후 암호화할 파일의 내용을 읽기 4) 데이터 암호화 및 덮어쓰기 ▶ 스스로 암호키를 생성하여 읽은 파일 내용을 암호화 한 후 저장 5) 암호화 전/후 파일명 및 암호화 시간 ▶ 바탕화면에 랜섬노트 생성 후 감염된파일복구를 위한 복호화금액 요구 ▶ 디스크복구가 불가능.. 2022. 9. 12.
사이트 접속만으로 감염되는 랜섬웨어 분석보고 사이트 접속만으로도 감염되는 랜섬웨어가 있다고 합니다 함께 알아보시죠 1. 악성행위 및 침해사고분석내용 요약 1) 악성페이지 접속 시 ActiveX설치유도 ▶ 사용자가 sisainlive.com 접속 시 경유지 4곳을 거치면서 ActiveX 설치 유도 2) 악성파일 다운로드 ▶ ActiveX 설치 시 유포지에서 악성파일(pztub.inf)이 들어있는 .cab압축파일 다운로드 ▶ 경·유포지 URL, 다운로드압축파일, 압축파일 내 악성코드명은 계속 변경됨 3) 인터넷 익스플로러를 이용해 악성파일(pztub.inf) 접근기록 ▶ 인터넷 익스플로러에서 링크(.lnk)파일을 통해 inf파일 접근시도 후 링크삭제 4) rundll32.exe를 이용해 DLL파일(pztub.inf) 실행 후 정보수집 ▶ inf파일은 .. 2022. 9. 7.
미 송유관 공격한 다크사이드 랜섬웨어 분석 뉴스를 보셔서 아시겠지만 최근 랜섬웨어 공격이 활발해지고 있다고 합니다. 미국 최대 송유관 마비…어떻게 해킹 가능했나 - BBC News 코리아 국가 핵심 기반시설에 대한 사이버 공격은 갈수록 더 심각한 문제로 부상하고 있다. www.bbc.com 미국 송유관업체인 "콜로니얼 파이프라인(Colonial Pipeline)"을 공격한 랜섬웨어 파일을 구할 방법이 없어 분석하지 못하지만 공격그룹인 다크사이드에서 만든 랜섬웨어 중 하나를 분석해보려고 합니다. 하나씩 천천히 분석해보도록 할게요!! ※ 참고: 아래쪽에 랜섬웨어에 감염된 모습과 암호화설명 등이 있습니다 1. PE정보 확인 1) IMAGE_FILE_HEADER IMAGE_FILE_HEADER 분석내용을 적어보면 - 해당 파일은 I386환경에서 돌아가는.. 2021. 6. 5.
[악성코드분석] dropper 안녕하세요 하하! 지금부터 드롭퍼가 어떤 함수를 사용해서 파일을 드롭하고 실행시키는지 알아보려고 합니다. FindResource 함수 HRSRC FindResource(HMODULE hModule, LPCTSTR lpName, LPCTSTR lpType); FindResource함수는 리소스를 찾는 함수입니다 1) hModule : 리소스를 찾을 exe나 dll의 핸들을 넣어주면 됩니다 (NULL을 넣으면 현재 프로세스의 모듈을 사용합니다 2) lpName : 리소스의 이름을 넣어주면 됩니다 MAKEINTRESOURCE를 사용해서 정의한 ID를 넣어주어도 됩니다 3) lpType : 리소스 타입을 넣어주면 됩니다 MAKEINTRESOURCE를 사용해서 정의한 ID를 넣어주어도 됩니다 4) return :.. 2021. 4. 25.
saturn 랜섬웨어 분석 안녕하세요! 매주 수요일이 코로나 감염수가 가장 많은 날인데 생각보다 그렇게 많이 늘지는 않았네요. 다행이에요! 왜 수요일에 코로나확진자가 늘어나냐구요? 주말에는 제대로 검사를 하기 힘들고 보통 하루에서 이틀정도 걸리기 때문입니다. 오랜만에 글을 쓰게 되었는데 요즘들어 이것저것 관심있는 것도 많고 하다보니.. 다른공부를 하다보니 한 달이 지나갔네요! 본론으로 돌아와서 saturn 랜섬웨어를 분석하려고합니다. 먼저 정적분석으로 한걸음 가까이 다가가볼까요? 시작주소가 0x4151bc이고, 5개의 섹션이 존재하며, C++로 제작되어 있는 32비트 실행파일이네요! 5개의 섹션 중 .reloc섹션이 존재하는 것을 확인할 수 있네요. 아마도 재배치 되겠죠? relocation에 대한 정보는 아래 링크를 참고하세요!.. 2020. 9. 3.
Windows 부트로깅 1. 부트로깅이란? 시스템이 부팅 중 발생하는 이벤트를 모니터링하고 로그에 남기는 것! 2. 분석방법 Injection, Launcher의 기능을 하는 프로세스 식별 자동실행 된 프로세스 식별 특정 프로세스를 실행 중 접근된 자원 실별 프로세스 상관관계 분석(Parent-Child Relationship) TCP/UDP Traffic을 발생시킨 프로세스 식별 이후 재부팅 !! 두구두구두구 로그를 이용해서 라이프타임이 짧은 걸 확인하고 프로세스트리를 확인하여 상관관계를 분석한다. [ex)부모프로세스와 자식프로세스 등 다른프로세스에 의해 생성된 것] 2020. 6. 13.
Windows 주요프로세스 분석 1. lass.exe(Local Security Authority Subsystem Services) (1) 프로세스 목적 및 기능 ▶ 보안정책적용을 담당하는 프로세스 ▶ 패스워드 변경, Access Tokens 생성, 사용자 인증 ▶ 악성코드가 자주 사용하는 이름 중 하나 (2) 이상할 때 ▶ 실행경로가 %systemroot%\system32가 아닐 때 ▶ 자식 process를 소유할 때 ▶ 프로세스 시작시간이 시스템 부팅시간과 많이 차이날 때 ▶ CPU점유율이 과도하게 높을 때 2. svchost.exe(Service host) (1) 프로세스 목적 및 기능 ▶ 동적라이브러리(DLL)에서 실행되는 윈도우의 서비스를 제어 ▶ 윈도우 부팅 시 레지스트리의 서비스를 검사 ▶ 로드해야 할 서비스의 대상, 위.. 2020. 6. 10.
[악성코드분석] 코로나바이러스 안녕하세요. 4월 30일은 치킨을 먹으면서 행복하게 마무리했고, 자고 일어나니 5월 첫 날 새벽이 되었네요. 코로나 핑계로 탱자탱자 놀면서 4월을 흘려버렸는데 5월부터는 3가지정도 계획하고 지켜볼까합니다. 사람이라면여..? 하하 아무리 바빠도 한 달에 한 번정도는 놀러다니면서 말이죠!! 오늘은 4월이 끝나기 전 나타난 시스템파괴형 스크린락커 악성코드를 분석해보려고 합니다. 자기자신을 코로나바이러스라고 부르는데요? 상세분석이라고하면 조금 거창?하고 흐름만 살펴볼까 합니다. 악성코드 MD5 : 09387DAD1341F534AD51966168C0E4AF 매우 성가신 코로나 바이러스 스크린락커 발견돼 New Coronavirus screenlocker malware is extremely annoying 가짜 .. 2020. 5. 1.
사내 해킹메일 대응훈련 일반 회사의 경우 보안팀에서 직접 해킹메일 대응훈련을 하고 이를 인사고과에 반영합니다. 즉, 관련없는 이상한파일을 열람하지 말라는 의미겠죠? 그럼에도 불구하고 메일을 하나라도 안 열어보면 입 안에 가시가 돋는 사람들도 있습니다. 스팸으로 차단되었지만 복구해서 확인하려는 섬세함까지 갖춘 사람도 있습니다. 이런분들은 공격자를 설레게 만들어주는 분들이죠!! 제가 있는 곳만해도 보안뉴스나 데일리시큐 기사에 나온 악성메일이 날라옵니다. 실제로 악성코드 분석할 능력은 안되지만 관심이 있는만큼 분석을 하기위해 노력이라는 것을 해볼까 합니다! 아는 지인은 회사에서 해킹메일훈련을 한다고 해킹메일에 사용될 악성파일(착한)을 만들어야 한다고 연락이 왔습니다. 보통은 악성첨부파일을 실행시킨 IP정보와 사용자이름 등을 Comm.. 2020. 2. 15.
[악성코드 분석]드롭퍼/다운로더(2) [악성코드 분석] 드롭퍼/다운로더(1) 요즘 영화나 드라마 볼 시간은 없지만.. 가끔.. 아주 가아끔.. 영화나 드라마를 볼 때 자신은 뒤에 숨고 다른사람을 이용해서 지저분한 짓(비리, 불법행위 등) 하는 사람을 본 적이 있나요? 또한 ccurity.tistory.com 위 페이지에서 분석을 완료했지만 프로그램 시작부분에서 계속 삽입했던 shellcode부분에 대한 내용은 다루지 않아서 이 페이지에서 적어볼까 합니다. (사실 shellcode 부분을 이제서야 다루는 이유는 FS레지스터, TEB, PEB 등에 대한 이해도가 부족했기 때문입니다 하하) 원래 Entry Point부분부터 스택영역에 값을 삽입하고 있는 shellcode를 Entry Point에 그대로 복사를 해보도록 하겠습니다. EP부분에 복사.. 2019. 11. 14.
[악성코드 분석] 드롭퍼/다운로더(1) 요즘 영화나 드라마 볼 시간은 없지만.. 가끔.. 아주 가아끔.. 영화나 드라마를 볼 때 자신은 뒤에 숨고 다른사람을 이용해서 지저분한 짓(비리, 불법행위 등) 하는 사람을 본 적이 있나요? 또한 왜 자신이 직접 지저분한 짓을 하지 않고 돈주고 시킬까요? 아마도 지저분한 짓을 하는 과정에서 문제가 생기더라도 자신은 걸리지 않도록 하기 위해서가 아닐까요? 프로그램 내에서도 이러한 지저분한 짓을 하는 프로그램이 있답니다. 그 프로그램은 드롭퍼랑 다운로더 두 가지가 있습니다. 드롭퍼는 악성코드를 자신의 몸에서 꺼내서 생성하고 실행시키는 프로그램입니다. 다운로더는 악성코드를 외부에서 다운로드 후 실행시키는 프로그램입니다. 왜 드롭퍼와 다운로더가 악성코드를 따로 만드는지 궁금한가요? 똑같습니다. 악성코드를 자신이.. 2019. 11. 13.
메모리 상에 있는 code영역을 수정하는 프로그램 오늘이 내일이 되었네요. 바쁜하루를 보내고 바람을 쐬고 다시 컴퓨터 앞에 앉았습니다. 메모리 상에 올라와있는 프로세스의 code영역을 수정하는 프로그램을 만들기 위해서는 주의해야할 사항이 있습니다. 빠밤!! 먼저 타짜: 원 아이드 잭을 보셨나요? 저는 개인적으로 재밌게 보았습니다. 금수저나 흑수저나 카드 7장 들고 치는건 똑같답니다. 단, 잘 조작(변조)했다면 정상적인거고 애매하게 조작하려다 걸리면 죽는거구,, 프로그램도 마찬가지라는 생각이 드는건 기분탓이겠죠? 하하.. 어쨋든 포커에서 포카드이상 나올 확률로 수정할 영역을 사용하고 있는 스레드가 존재할 수 있으므로 명령어 바이트코드의 실제크기를 감안하고 스레드 동기화를 통해 해당 영역을 수정해야 합니다. 스레드 동기화라고요? 낯설지만 소개를 해볼게요. .. 2019. 9. 18.