Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
Tags
- 릭 릭스비
- 랜섬웨어
- 러시아
- Black Basta
- VirtualAddress
- L:azarus
- 우크라이나
- 사이버안보 협약
- Fileless
- 오픈체인
- 오픈소스 관리체계
- 악성코드
- 악성코드 분석
- 독서
- 블랙바스타
- x64dbg
- Malware Tool
- CAN Network
- CISO 제도 분석
- 디지털 증거의 증거능력
- 악성코드분석
- 보안사고 회고
- 분석
- 판례평석
- MALWARE
- 사이버안보
- 오래된 지혜
- 국제 사이버 범죄
- 부다페스트 협약
- 랜섬웨어 분석
Archives
- Today
- Total
목록분석 (2)
봔하는 수달
Dump Code IAT Recovery
분석을 하다보면 코드인젝션이나 여러 인젝션 기법등에 의해 메모리상에서 덤프를 떠야하는 경우가 생긴다. 이러한 경우 IAT 테이블이 망가져있는 경우가 있는데 이 경우 PE-bear툴을 이용하여 Virtual Address를 맞춰주게되면 복구가 된다.
정보보안/기술
2023. 1. 5. 11:18
DarkSide Ransomware (콜로니얼 파이프라인 사태)
주요정보 MD5 9d418ecc0f3bf45029263b0944236884 C&C 서버 주소 "securebesta****.com" 타임 스탬프 2020/12/23 17:01:07 UTC 악성코드 동작 과정 1. 악성코드 실행 2. 관리자권한 확인 3. 악성코드 권한 상승 4. 사용자의 MachineGuid 획득 5. MachinGuid를 통한 확장자 생성 6. 감염 파일 아이콘 생성 7. 레지스트리 생성 8. 중복실행 방지를 위한 뮤텍스 생성 9. 디스플레이 꺼짐 방지 10. 시스템 사용언어 확인 11. 시스템 정보 획득 12. C&C 연결 및 데이터 전달 13. 휴지통 비우기 14. 볼륨쉐도우 복사본 삭제 15. 특정 서비스 중지 16. 특정 프로세스 중지 17. 암호화를 위한 쓰레드 생성 18. 암..
정보보안/악성코드분석
2022. 1. 4. 16:09