봔하는 수달

예전에 보이스피싱이나 스미싱을 하는 범죄자들이 쓰는 피싱사이트를 막기위해서 코드를 짜둔적이 있다. 방식은 그렇게 고도화되어있지는 않았지만 범죄자들이 주로 사용하는 IP 대역에서 국내 기관을 사칭하는 문자열등을 통해서 1차로 검증하고 2차적으로 html에 존재하는 .apk 문자열 등을 통해서 악성코드를 실시간으로 수집을 진행했었는데 어느날 탐지되는 숫자가 줄어들어 직접 원인을 분석하던 도중 신기한 녀석을 발견하여 공유 목적으로 글을 남긴다. 보통 이녀석들의 수법은 문자를 통해서 피해자들에게 사회공학적으로 단축 URL의 접근을 유도한 뒤 APP을 설치하도록 하는데 이때 설치 버튼을 누르게되면 해당 경로의 하위 경로에서 apk 확장자의 파일을 바로 다운로드가 된다. 그런데 오늘 확인된 녀석을 보면 하위 경로가..

1. 개요 요새 랜섬웨어만 분석을 하다보니 문서형 악성코드에 대한 분석 능력이 떨어지는거 같아서 오래된 샘플에 대해서 분석을 진행하면서 감을 다시 살리고자 해당 샘플을 분석을 진행하였다. 해당 악성코드는 북한의 Lazarus 그룹의 ‘스타 크루저’ 작전에 사용된 APT 공격으로 밝혀졌다. Lazarus는 한글문서에 악성코드를 삽입하여 이메일에 첨부하여 발송하여 공격을 진행한다. 2. 분석 도식도 문서 파일 정보 및 내용 문서 파일은 2018년 10월에 작성되었으며 내용으로는 국가핵심기술 보유인력등에 대한 내용을 다루고있다. SSView를 통해 EPS 파싱(PostScript) BinData영역에 존재하는 압축된 PostScript를 파싱 파싱한 데이터는 압축되어 존재하기 때문에 압축을 해제하기 위한 코드..

구분 Basta Ransomware MD5 998022b70d83c6de68e5bdf94e0f8d71 TimeStamp 2022/04/16 06:29:58 UTC 주요 동작 파일 암호화 레지스트리 생성 프로세스 종료 서비스 종료 VSS 종료 및 삭제 USER 그룹 권한 변경 □ 분석 결과 o Black basta 해당 악성코드는 서유럽권 및 미국을 대상으로 공격을 진행했던 APT 형식의 랜섬웨어로서, 지금까지 발견된 다른 랜섬웨어와 비슷한 동작을 진행하며 암호화 알고리즘으로는 ChaCha20알고리즘을 사용하는 것으로 파악됨. □ 악성코드 동작 과정 악성코드 실행 메타 정보 입수 (시간, 프로세스, 스레드, 실행시간) 디버깅 탐지 중복실행 방지를 위해 뮤텍스 생성 VSS 서비스 중지 및 삭제 레지스트리 생..

출처 : https://www.slideshare.net/F-INSIGHT/160820-fitalk-fileless-malware-forensics?fbclid=IwAR2OnTjbz7bGUGmdHlwsVx1SpBKBlRKK1MOVhTKI3-_Rpf8He6MDgMPj5tU (160820) #fitalk fileless malware forensics FORENSIC INSIGHT; DIGITAL FORENSICS COMMUNITY IN KOREA Fileless Malware Forensics blueangel blueangel1275@gmail.com http://forensic-note.blogspot.kr/ Junghoon … www.slideshare.net 위 내용중 정리한 글입니다. Forens..

BoB 프로젝트 시절 스미싱 탐지 어플 개발에서 탐지로직을 담당했던 기억을 토대로 해당 로직을 사용하면 악성코드의 크롤러도 개발할 수 있을거라 생각이들어 간단하게 대역에 대한 스캐닝을 진행하여 악성코드를 수집하고 해당 코드를 분석한 뒤 몽고디비에 넣고 이를 홈페이지 형식으로 제공하는 프로젝트를 진행할까 생각중이다. 사용하려는 프레임워크로는 기본적인 크롤링을 진행하기 위한 파이썬 그리고 이를 가공하여 몽고 DB에 연동 이후 플라스크를 통해서 사이트에 악성코드 동향과 유사도를 알려줄 계획이다. 사실 가장 중요한 탐지에 대해서는 이미 개발이 끝났지만 기록하는 습관을 갖기위해 지금이라도 적는다.. 항상 느끼는거지만 나는 일기쓰는 체질은 아닌거 같다 ㅋㅋ.. 좋은 습관이란건 알지만 실천하기 어려운건 어쩔수 없나보..

저번에 문서로 작성해두고 나중에 올려야지 올려야지 하던 보고서다.. 게을러서 상반기 초에 분석한걸 이렇게나마 늦게 올린다 .. 좀 더 블로그에 관심을 줘야할듯 싶다.. 해당 악성코드는 사용가능한 적절한 버전의 드라이버를 시스템의 환경에 따라 선택하여 동작한다. 감염 이후 분석을 방해하기 위해 CrashDump를 비활성화 하기도한다. CrashDump는 일반적으로 드라이버의 버그 및 불안정으로 인해 전체 시스템이 크래시되는 경우 만들어진다. 여기에는 시스템의 전체 상태에 대한 정보와 디버깅을 돕기 위해 정확히 어떤 일이 발생하는지에 대한 정보가 포함되어 있기 때문에 악성코드는 분석의 방해를 위해 이러한 기능을 비활성화 한다. 악성행위를 수행하기 앞서 실제 행위를 수행할 악성코드를 추가로 드롭한 뒤 이름을 ..

현재 러시아와 우크라이나의 전쟁이 나흘째 접어든 시점에서 전황은 물리적인 영역뿐만 아니라 사이버 영역으로 확대. 러시아는 우크라이나에게 MBR을 파괴시켜 디지털 장비를 속수무책으로 만드는 악성코드를 유포하는게 확인되어 해당 악성코드를 분석을 진행. Malware : HermeticWiper MD5 : 382fc1a3c5225fceb672eea13f572a38 SHA1 : d9a3596af0463797df4ff25b7999184946e3bfa2 SHA256 : 2c10b2ec0b995b88c27d141d6f7b14d6b8177c52818687e4ff8e6ecf53adf5bf TimeStamp : 2021-12-28 17:37:16 VirusTotal 수치 사용되는 함수 사용되는 문자열 사용되는 문자열과 함..

주요정보 MD5 9d418ecc0f3bf45029263b0944236884 C&C 서버 주소 "securebesta****.com" 타임 스탬프 2020/12/23 17:01:07 UTC 악성코드 동작 과정 1. 악성코드 실행 2. 관리자권한 확인 3. 악성코드 권한 상승 4. 사용자의 MachineGuid 획득 5. MachinGuid를 통한 확장자 생성 6. 감염 파일 아이콘 생성 7. 레지스트리 생성 8. 중복실행 방지를 위한 뮤텍스 생성 9. 디스플레이 꺼짐 방지 10. 시스템 사용언어 확인 11. 시스템 정보 획득 12. C&C 연결 및 데이터 전달 13. 휴지통 비우기 14. 볼륨쉐도우 복사본 삭제 15. 특정 서비스 중지 16. 특정 프로세스 중지 17. 암호화를 위한 쓰레드 생성 18. 암..