봔하는 수달

1. 개요 요새 랜섬웨어만 분석을 하다보니 문서형 악성코드에 대한 분석 능력이 떨어지는거 같아서 오래된 샘플에 대해서 분석을 진행하면서 감을 다시 살리고자 해당 샘플을 분석을 진행하였다. 해당 악성코드는 북한의 Lazarus 그룹의 ‘스타 크루저’ 작전에 사용된 APT 공격으로 밝혀졌다. Lazarus는 한글문서에 악성코드를 삽입하여 이메일에 첨부하여 발송하여 공격을 진행한다. 2. 분석 도식도 문서 파일 정보 및 내용 문서 파일은 2018년 10월에 작성되었으며 내용으로는 국가핵심기술 보유인력등에 대한 내용을 다루고있다. SSView를 통해 EPS 파싱(PostScript) BinData영역에 존재하는 압축된 PostScript를 파싱 파싱한 데이터는 압축되어 존재하기 때문에 압축을 해제하기 위한 코드..

여러 악성코드를 분석하게되면 네트워크 또는 암호화 루틴에서 좀 더 빠른 기능을 위해 스레드를 생성하는 경우가 많다. 스레드란 프로세스 내에서 실제로 작업을 수행하는 주체이며 모든 프로세스는 한 개 이상의 스레드가 존재하며, 작업하는 스레드가 여러개인것을 멀티 스레드라고 칭한다. 디버깅을 하다보면 하나의 프로세스에 대해서 추적 분석을 진행하게 되지만 동작중에 여러갈래로 스레드가 나뉘게 되면 추적하기가 어렵게된다. 이러한 상황에서 x64dbg의 설정을 한개 만져주게 되면 해당 스레드의 동작과정을 추적 가능하게된다. x64 dbg에서는 여러 이벤트를 탐지가능하지만 이를 중단시키는 기능은 기본적으로 시스템의 Entry Point등을 제외하고는 옵션이 꺼져있다. 간단하게 스레드 진입점 버튼을 체크하여 활성화해주게..

저번에 문서로 작성해두고 나중에 올려야지 올려야지 하던 보고서다.. 게을러서 상반기 초에 분석한걸 이렇게나마 늦게 올린다 .. 좀 더 블로그에 관심을 줘야할듯 싶다.. 해당 악성코드는 사용가능한 적절한 버전의 드라이버를 시스템의 환경에 따라 선택하여 동작한다. 감염 이후 분석을 방해하기 위해 CrashDump를 비활성화 하기도한다. CrashDump는 일반적으로 드라이버의 버그 및 불안정으로 인해 전체 시스템이 크래시되는 경우 만들어진다. 여기에는 시스템의 전체 상태에 대한 정보와 디버깅을 돕기 위해 정확히 어떤 일이 발생하는지에 대한 정보가 포함되어 있기 때문에 악성코드는 분석의 방해를 위해 이러한 기능을 비활성화 한다. 악성행위를 수행하기 앞서 실제 행위를 수행할 악성코드를 추가로 드롭한 뒤 이름을 ..