전체 글 (51) 썸네일형 리스트형 [Agent Tesla] 악성메일로 유포되는 .NET 기반 악성코드 분석 목차 1. 개요 1.1) 공격 흐름 1.2) 분석 파일 정보 2. 상세 분석 2.1) 초기 감염 과정 bat -> powershell 2.2) .NET 기반 로더 DLL 분석 2.2.2) Routine 1 - Defender Bypass 2.2.3) Routine 2 - Persistence 2.2.4) Final Routine - Run Native Loader 2.3) Native Loader 분석 2.4) 최종 페이로드 분석 2.4.1) 문자열 , 매개변수 암호화 2.4.2) switch-case 난독화 2.4.3) 난독화 코드 복원 2.4.4) 메인 루틴 2.4.5) 중복 프로세스 .. [Kimsuky] 정상 인증서를 악용하는 Go언어 기반 악성코드 분석 목차 1. 개요 1.1) 분석 파일 정보2. 상세 분석 2.1) pdf 파일 생성 2.2) dll 파일 생성 2.3) .rdata 섹션 임베딩 후 파싱 2.4) 동적 분석 2.4.1) 악성 dll 로드 과정 2.4.2) config.dat 분석 2.4.3) 지속 메커니즘 2.4.4) ADS 생성 2.4.5) config.dat 언패킹 2.5) config.dat 상세 분석 2.5.1) export 호출 2.5.2) ADS 체크 2.5.3) 지속 메커니즘 등록 2.5.4) C2 연결 2.5.5) C2 명령 수신3. 결론 1. 개요최근(5월) 북한 연계 해킹 그룹의 공격으.. [Lumma Stealer] Heaven's Gate 기법을 활용한 악성코드(2) 목차 1. 개요 1.1) 분석 파일 정보2. 상세 분석 2.1) 탐지 회피 2.1.1) 코드 난독화 2.1.2) GetModuleHandleW 구현 2.1.3) GetProcAddress 구현 2.1.4) LoadLibraryW 동적 호출 2.1.5) Winhttp 함수 주소 추출 2.1.6) syscall table 생성 2.1.7) Heaven’s Gate 기법 2.1.8) ntdll.dll 매핑 2.2) 패킹 여부 확인 2.3) C2 연결 2.3.1) 추가 C2 연결 2.3.2) c2conf 복호화 3. 결론 4. 참고 문헌 1. 개요Lumma Stealer는 C언어 기.. [Lumma Stealer] clickfix 기법을 활용한 악성코드 유포(1) 목차1. 개요 1.1) 침해 지표 1.2) 분석 파일 정보 2. 상세 분석 2.1) 감염 경로 2.2) 1차 페이로드 - 정보 수집 2.2.1) script.ps1 2.2.2) script.ps1 - 1번째 요청 2.2.3) script.ps1 - 2번째 요청 2.2.4) 정보 수집 2.3) 2차 페이로드 - data.bin 쉘코드 실행 3. 실행 흐름 4. 결론 1. 개요Lumma Stealer는 정보 탈취형 악성코드로, 악성코드 서비스를 유료로 배포·판매하는 Malware-as-a-Service 형태로 운영된다. 주로 브라우저 저장 비밀번호, 신용 카드 번호, 쿠키,암호화폐 지갑 시드/키, 자동완성 데이터 같은 사용자의 민감한.. [BPFDoor] 악성코드 분석 - 패킷 필터를 악용하는 악성코드 목차1. 개요 1.1) 침해 지표 1.2) 분석 파일 정보2. 상세 분석 2.1) 중복 실행 감지 2.2) to_open() - 복사본 생성/삭제/실행 2.3) set_proc_name() - 프로세스 이름 변경 2.4) 시그널 설정 후 독립 세션에서 동작 2.5) packet_loop() - 패킷 필터 2.6) packet_loop() - 독립 세션 생성 2.7) packet_loop() - 명령 분기 2.8) packet_loop() - 바인드 셸 방화벽 규칙 추가/삭제3. 실행 흐름 4. 결론 1. 개요BPF(Berkeley Packet Filter)는 원래 네트워크 패킷을 효율적으로 필터링하기 위해 설계된 기술로, 현재는 eBPF(exten.. [HANCITOR] 악성코드 분석(3) - C2 통신 페이로드 과정 분석 HANCITOR 악성 문서(1)에 대한 동작 과정은 https://reversingnewbie.tistory.com/35 에서 확인할 수 있습니다.HANCITOR 메인 로더(2)에 대한 동작 과정은 https://reversingnewbie.tistory.com/37 에서 확인할 수 있습니다. 목차1. 개요 1.1) Ioc2. 피해자 정보 추출 2.1) OS 버전 정보 수집 2.2) GUID 생성 2.3) 피해자 IP & 계정 & 도메인 정보 수집 2.5) 피해자 정보 문자열 구축 2.6) 피해자 정보 전송3. 내부 페이로드 분석 3.1) 응답 디코딩 과정 3.2) 명령 제어 3.2.1) 명령 'b' 3.2.2) 명령 'e' .. [메모] 악성코드 분석 도구 및 사이트 ● 정적 분석 도구이름설명strings문자열 추출 도구FLOSSascii , utf 문자열 추출, 스택 문자열 추출, 난독화 문자열 디코딩 후 출력정적 문자열을 제외하고 디코딩/스택 문자열만 보려면 --no-static-strings 스위치를 사용ssdeep샘플 간의 유사성 비율을 파악하는 데 사용됨 (동일한 악성코드군 또는 동일한 공격자 그룹에 속하는 샘플을 식별)imphash라이브러리/임포트 함수명과 특유의 순서를 바탕으로 해시값을 계산 (동일한 소스와 동일한 방식으로 컴파일할 경우 동일한 hash를 가진다.)sections섹션 해싱 (.text,.data,.rdata 등)을 바탕으로 해시값을 계산pestudiofootprints 기능을 이용하여 imphash와 sectionshash 정보를 파악 가.. [HANCITOR] 악성코드 분석(2) - 압축된 페이로드 분석 HANCITOR 악성 문서에 대한 동작 과정은 https://reversingnewbie.tistory.com/35 에서 확인할 수 있습니다.목차1. 개요 1.1) 분석 환경2. 정적 분석 2.1) Virustotal 확인 2.2) 엔트로피 확인 2.3) IAT 확인3. 동적 분석 3.1) 압축 메모리 해제 과정 3.2) DllMain4. 결론 1. 개요HANCITOR는 주로 코발트 스트라이크(Cobalt Strike) 비콘, 정보 탈취형 악성코드, 추가 악성 셸코드를 다운로드하고 실행하는 다운로더 계열 악성코드로 알려져 있다. 메인 로더는 감염 과정에서 가장 먼저 실행되는 컴포넌트로 시스템 환경을 점검하고 네트워크 연결을 구성하며 최종 페이로드를 다운로드하고 실행하는 핵심 역할.. 이전 1 2 3 4 5 ··· 7 다음
