| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- MALWARE
- 부다페스트 협약
- L:azarus
- CAN Network
- x64dbg
- 오픈소스 관리체계
- 릭 릭스비
- 사이버안보
- VirtualAddress
- 사이버안보 협약
- 악성코드
- 우크라이나
- 악성코드 분석
- 랜섬웨어 분석
- 독서
- 분석
- Malware Tool
- 오픈체인
- 보안사고 회고
- 블랙바스타
- 국제 사이버 범죄
- 오래된 지혜
- 러시아
- Fileless
- CISO 제도 분석
- 디지털 증거의 증거능력
- 악성코드분석
- 판례평석
- 랜섬웨어
- Black Basta
- Today
- Total
목록분류 전체보기 (28)
봔하는 수달
Dump Code IAT Recovery
분석을 하다보면 코드인젝션이나 여러 인젝션 기법등에 의해 메모리상에서 덤프를 떠야하는 경우가 생긴다. 이러한 경우 IAT 테이블이 망가져있는 경우가 있는데 이 경우 PE-bear툴을 이용하여 Virtual Address를 맞춰주게되면 복구가 된다.
Hasherezade's projects Tiny Tracer (PIN tool) A PIN tool helpful in resolving obfuscated API calls, and finding OEP of packed applications hasherezade.github.io GitHub - apriegob/awesome-malware-analysis: Defund the Police. Defund the Police. Contribute to apriegob/awesome-malware-analysis development by creating an account on GitHub. github.com
MobSF docker
Docker 구축 이후 아래 명령어 수행 docker pull opensecurity/mobile-security-framework-mobsf docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest
보호되어 있는 글입니다.
Black Basta 랜섬웨어
구분 Basta Ransomware MD5 998022b70d83c6de68e5bdf94e0f8d71 TimeStamp 2022/04/16 06:29:58 UTC 주요 동작 파일 암호화 레지스트리 생성 프로세스 종료 서비스 종료 VSS 종료 및 삭제 USER 그룹 권한 변경 □ 분석 결과 o Black basta 해당 악성코드는 서유럽권 및 미국을 대상으로 공격을 진행했던 APT 형식의 랜섬웨어로서, 지금까지 발견된 다른 랜섬웨어와 비슷한 동작을 진행하며 암호화 알고리즘으로는 ChaCha20알고리즘을 사용하는 것으로 파악됨. □ 악성코드 동작 과정 악성코드 실행 메타 정보 입수 (시간, 프로세스, 스레드, 실행시간) 디버깅 탐지 중복실행 방지를 위해 뮤텍스 생성 VSS 서비스 중지 및 삭제 레지스트리 생..
Fileless Malware Forensic Analysis
출처 : https://www.slideshare.net/F-INSIGHT/160820-fitalk-fileless-malware-forensics?fbclid=IwAR2OnTjbz7bGUGmdHlwsVx1SpBKBlRKK1MOVhTKI3-_Rpf8He6MDgMPj5tU (160820) #fitalk fileless malware forensics FORENSIC INSIGHT; DIGITAL FORENSICS COMMUNITY IN KOREA Fileless Malware Forensics blueangel blueangel1275@gmail.com http://forensic-note.blogspot.kr/ Junghoon … www.slideshare.net 위 내용중 정리한 글입니다. Forens..
BoB 프로젝트 시절 스미싱 탐지 어플 개발에서 탐지로직을 담당했던 기억을 토대로 해당 로직을 사용하면 악성코드의 크롤러도 개발할 수 있을거라 생각이들어 간단하게 대역에 대한 스캐닝을 진행하여 악성코드를 수집하고 해당 코드를 분석한 뒤 몽고디비에 넣고 이를 홈페이지 형식으로 제공하는 프로젝트를 진행할까 생각중이다. 사용하려는 프레임워크로는 기본적인 크롤링을 진행하기 위한 파이썬 그리고 이를 가공하여 몽고 DB에 연동 이후 플라스크를 통해서 사이트에 악성코드 동향과 유사도를 알려줄 계획이다. 사실 가장 중요한 탐지에 대해서는 이미 개발이 끝났지만 기록하는 습관을 갖기위해 지금이라도 적는다.. 항상 느끼는거지만 나는 일기쓰는 체질은 아닌거 같다 ㅋㅋ.. 좋은 습관이란건 알지만 실천하기 어려운건 어쩔수 없나보..
HermeticWiper 우크라이나 겨냥한 파괴형 악성코드 -2
저번에 문서로 작성해두고 나중에 올려야지 올려야지 하던 보고서다.. 게을러서 상반기 초에 분석한걸 이렇게나마 늦게 올린다 .. 좀 더 블로그에 관심을 줘야할듯 싶다.. 해당 악성코드는 사용가능한 적절한 버전의 드라이버를 시스템의 환경에 따라 선택하여 동작한다. 감염 이후 분석을 방해하기 위해 CrashDump를 비활성화 하기도한다. CrashDump는 일반적으로 드라이버의 버그 및 불안정으로 인해 전체 시스템이 크래시되는 경우 만들어진다. 여기에는 시스템의 전체 상태에 대한 정보와 디버깅을 돕기 위해 정확히 어떤 일이 발생하는지에 대한 정보가 포함되어 있기 때문에 악성코드는 분석의 방해를 위해 이러한 기능을 비활성화 한다. 악성행위를 수행하기 앞서 실제 행위를 수행할 악성코드를 추가로 드롭한 뒤 이름을 ..