봔하는 수달

사전준비 : Nox, ADB adb connect 127.0.0.1:62001 #NOX Port is 62001 adb devices List of devices attached 127.0.0.1:62001 device adb shell "dumpsys window windows | grep -E 'mCurrentFocus|mFocusedApp'" mCurrentFocus=Window{3975aa7 u0 com.xinhan.smsmanager/com.example.kbtest.BankPreActivity} mFocusedApp=AppWindowToken{f876ca8 token=Token{30bbccb ActivityRecord{f1a7b9a u0 com.xinhan.smsmanager/com.examp..

예전에 보이스피싱이나 스미싱을 하는 범죄자들이 쓰는 피싱사이트를 막기위해서 코드를 짜둔적이 있다. 방식은 그렇게 고도화되어있지는 않았지만 범죄자들이 주로 사용하는 IP 대역에서 국내 기관을 사칭하는 문자열등을 통해서 1차로 검증하고 2차적으로 html에 존재하는 .apk 문자열 등을 통해서 악성코드를 실시간으로 수집을 진행했었는데 어느날 탐지되는 숫자가 줄어들어 직접 원인을 분석하던 도중 신기한 녀석을 발견하여 공유 목적으로 글을 남긴다. 보통 이녀석들의 수법은 문자를 통해서 피해자들에게 사회공학적으로 단축 URL의 접근을 유도한 뒤 APP을 설치하도록 하는데 이때 설치 버튼을 누르게되면 해당 경로의 하위 경로에서 apk 확장자의 파일을 바로 다운로드가 된다. 그런데 오늘 확인된 녀석을 보면 하위 경로가..

1. 개요 요새 랜섬웨어만 분석을 하다보니 문서형 악성코드에 대한 분석 능력이 떨어지는거 같아서 오래된 샘플에 대해서 분석을 진행하면서 감을 다시 살리고자 해당 샘플을 분석을 진행하였다. 해당 악성코드는 북한의 Lazarus 그룹의 ‘스타 크루저’ 작전에 사용된 APT 공격으로 밝혀졌다. Lazarus는 한글문서에 악성코드를 삽입하여 이메일에 첨부하여 발송하여 공격을 진행한다. 2. 분석 도식도 문서 파일 정보 및 내용 문서 파일은 2018년 10월에 작성되었으며 내용으로는 국가핵심기술 보유인력등에 대한 내용을 다루고있다. SSView를 통해 EPS 파싱(PostScript) BinData영역에 존재하는 압축된 PostScript를 파싱 파싱한 데이터는 압축되어 존재하기 때문에 압축을 해제하기 위한 코드..

구분 Basta Ransomware MD5 998022b70d83c6de68e5bdf94e0f8d71 TimeStamp 2022/04/16 06:29:58 UTC 주요 동작 파일 암호화 레지스트리 생성 프로세스 종료 서비스 종료 VSS 종료 및 삭제 USER 그룹 권한 변경 □ 분석 결과 o Black basta 해당 악성코드는 서유럽권 및 미국을 대상으로 공격을 진행했던 APT 형식의 랜섬웨어로서, 지금까지 발견된 다른 랜섬웨어와 비슷한 동작을 진행하며 암호화 알고리즘으로는 ChaCha20알고리즘을 사용하는 것으로 파악됨. □ 악성코드 동작 과정 악성코드 실행 메타 정보 입수 (시간, 프로세스, 스레드, 실행시간) 디버깅 탐지 중복실행 방지를 위해 뮤텍스 생성 VSS 서비스 중지 및 삭제 레지스트리 생..

저번에 문서로 작성해두고 나중에 올려야지 올려야지 하던 보고서다.. 게을러서 상반기 초에 분석한걸 이렇게나마 늦게 올린다 .. 좀 더 블로그에 관심을 줘야할듯 싶다.. 해당 악성코드는 사용가능한 적절한 버전의 드라이버를 시스템의 환경에 따라 선택하여 동작한다. 감염 이후 분석을 방해하기 위해 CrashDump를 비활성화 하기도한다. CrashDump는 일반적으로 드라이버의 버그 및 불안정으로 인해 전체 시스템이 크래시되는 경우 만들어진다. 여기에는 시스템의 전체 상태에 대한 정보와 디버깅을 돕기 위해 정확히 어떤 일이 발생하는지에 대한 정보가 포함되어 있기 때문에 악성코드는 분석의 방해를 위해 이러한 기능을 비활성화 한다. 악성행위를 수행하기 앞서 실제 행위를 수행할 악성코드를 추가로 드롭한 뒤 이름을 ..

현재 러시아와 우크라이나의 전쟁이 나흘째 접어든 시점에서 전황은 물리적인 영역뿐만 아니라 사이버 영역으로 확대. 러시아는 우크라이나에게 MBR을 파괴시켜 디지털 장비를 속수무책으로 만드는 악성코드를 유포하는게 확인되어 해당 악성코드를 분석을 진행. Malware : HermeticWiper MD5 : 382fc1a3c5225fceb672eea13f572a38 SHA1 : d9a3596af0463797df4ff25b7999184946e3bfa2 SHA256 : 2c10b2ec0b995b88c27d141d6f7b14d6b8177c52818687e4ff8e6ecf53adf5bf TimeStamp : 2021-12-28 17:37:16 VirusTotal 수치 사용되는 함수 사용되는 문자열 사용되는 문자열과 함..

주요정보 MD5 9d418ecc0f3bf45029263b0944236884 C&C 서버 주소 "securebesta****.com" 타임 스탬프 2020/12/23 17:01:07 UTC 악성코드 동작 과정 1. 악성코드 실행 2. 관리자권한 확인 3. 악성코드 권한 상승 4. 사용자의 MachineGuid 획득 5. MachinGuid를 통한 확장자 생성 6. 감염 파일 아이콘 생성 7. 레지스트리 생성 8. 중복실행 방지를 위한 뮤텍스 생성 9. 디스플레이 꺼짐 방지 10. 시스템 사용언어 확인 11. 시스템 정보 획득 12. C&C 연결 및 데이터 전달 13. 휴지통 비우기 14. 볼륨쉐도우 복사본 삭제 15. 특정 서비스 중지 16. 특정 프로세스 중지 17. 암호화를 위한 쓰레드 생성 18. 암..