| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- VirtualAddress
- 우크라이나
- Fileless
- 사이버안보
- 사이버안보 협약
- x64dbg
- CAN Network
- 독서
- 오픈소스 관리체계
- 부다페스트 협약
- 러시아
- CISO 제도 분석
- L:azarus
- 보안사고 회고
- 랜섬웨어
- 릭 릭스비
- MALWARE
- 오픈체인
- 국제 사이버 범죄
- 악성코드 분석
- 디지털 증거의 증거능력
- 악성코드
- Black Basta
- 블랙바스타
- 랜섬웨어 분석
- 분석
- Malware Tool
- 악성코드분석
- 오래된 지혜
- 판례평석
- Today
- Total
목록정보보안 (20)
봔하는 수달
HWP 악성코드 - 북한 APT Lazarus ‘스타 크루저 작전’
1. 개요 요새 랜섬웨어만 분석을 하다보니 문서형 악성코드에 대한 분석 능력이 떨어지는거 같아서 오래된 샘플에 대해서 분석을 진행하면서 감을 다시 살리고자 해당 샘플을 분석을 진행하였다. 해당 악성코드는 북한의 Lazarus 그룹의 ‘스타 크루저’ 작전에 사용된 APT 공격으로 밝혀졌다. Lazarus는 한글문서에 악성코드를 삽입하여 이메일에 첨부하여 발송하여 공격을 진행한다. 2. 분석 도식도 문서 파일 정보 및 내용 문서 파일은 2018년 10월에 작성되었으며 내용으로는 국가핵심기술 보유인력등에 대한 내용을 다루고있다. SSView를 통해 EPS 파싱(PostScript) BinData영역에 존재하는 압축된 PostScript를 파싱 파싱한 데이터는 압축되어 존재하기 때문에 압축을 해제하기 위한 코드..
x64dbg CreateThread( ) 추적 분석
여러 악성코드를 분석하게되면 네트워크 또는 암호화 루틴에서 좀 더 빠른 기능을 위해 스레드를 생성하는 경우가 많다. 스레드란 프로세스 내에서 실제로 작업을 수행하는 주체이며 모든 프로세스는 한 개 이상의 스레드가 존재하며, 작업하는 스레드가 여러개인것을 멀티 스레드라고 칭한다. 디버깅을 하다보면 하나의 프로세스에 대해서 추적 분석을 진행하게 되지만 동작중에 여러갈래로 스레드가 나뉘게 되면 추적하기가 어렵게된다. 이러한 상황에서 x64dbg의 설정을 한개 만져주게 되면 해당 스레드의 동작과정을 추적 가능하게된다. x64 dbg에서는 여러 이벤트를 탐지가능하지만 이를 중단시키는 기능은 기본적으로 시스템의 Entry Point등을 제외하고는 옵션이 꺼져있다. 간단하게 스레드 진입점 버튼을 체크하여 활성화해주게..
Dump Code IAT Recovery
분석을 하다보면 코드인젝션이나 여러 인젝션 기법등에 의해 메모리상에서 덤프를 떠야하는 경우가 생긴다. 이러한 경우 IAT 테이블이 망가져있는 경우가 있는데 이 경우 PE-bear툴을 이용하여 Virtual Address를 맞춰주게되면 복구가 된다.
Hasherezade's projects Tiny Tracer (PIN tool) A PIN tool helpful in resolving obfuscated API calls, and finding OEP of packed applications hasherezade.github.io GitHub - apriegob/awesome-malware-analysis: Defund the Police. Defund the Police. Contribute to apriegob/awesome-malware-analysis development by creating an account on GitHub. github.com
MobSF docker
Docker 구축 이후 아래 명령어 수행 docker pull opensecurity/mobile-security-framework-mobsf docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest
Black Basta 랜섬웨어
구분 Basta Ransomware MD5 998022b70d83c6de68e5bdf94e0f8d71 TimeStamp 2022/04/16 06:29:58 UTC 주요 동작 파일 암호화 레지스트리 생성 프로세스 종료 서비스 종료 VSS 종료 및 삭제 USER 그룹 권한 변경 □ 분석 결과 o Black basta 해당 악성코드는 서유럽권 및 미국을 대상으로 공격을 진행했던 APT 형식의 랜섬웨어로서, 지금까지 발견된 다른 랜섬웨어와 비슷한 동작을 진행하며 암호화 알고리즘으로는 ChaCha20알고리즘을 사용하는 것으로 파악됨. □ 악성코드 동작 과정 악성코드 실행 메타 정보 입수 (시간, 프로세스, 스레드, 실행시간) 디버깅 탐지 중복실행 방지를 위해 뮤텍스 생성 VSS 서비스 중지 및 삭제 레지스트리 생..
Fileless Malware Forensic Analysis
출처 : https://www.slideshare.net/F-INSIGHT/160820-fitalk-fileless-malware-forensics?fbclid=IwAR2OnTjbz7bGUGmdHlwsVx1SpBKBlRKK1MOVhTKI3-_Rpf8He6MDgMPj5tU (160820) #fitalk fileless malware forensics FORENSIC INSIGHT; DIGITAL FORENSICS COMMUNITY IN KOREA Fileless Malware Forensics blueangel blueangel1275@gmail.com http://forensic-note.blogspot.kr/ Junghoon … www.slideshare.net 위 내용중 정리한 글입니다. Forens..
HermeticWiper 우크라이나 겨냥한 파괴형 악성코드 -2
저번에 문서로 작성해두고 나중에 올려야지 올려야지 하던 보고서다.. 게을러서 상반기 초에 분석한걸 이렇게나마 늦게 올린다 .. 좀 더 블로그에 관심을 줘야할듯 싶다.. 해당 악성코드는 사용가능한 적절한 버전의 드라이버를 시스템의 환경에 따라 선택하여 동작한다. 감염 이후 분석을 방해하기 위해 CrashDump를 비활성화 하기도한다. CrashDump는 일반적으로 드라이버의 버그 및 불안정으로 인해 전체 시스템이 크래시되는 경우 만들어진다. 여기에는 시스템의 전체 상태에 대한 정보와 디버깅을 돕기 위해 정확히 어떤 일이 발생하는지에 대한 정보가 포함되어 있기 때문에 악성코드는 분석의 방해를 위해 이러한 기능을 비활성화 한다. 악성행위를 수행하기 앞서 실제 행위를 수행할 악성코드를 추가로 드롭한 뒤 이름을 ..