Reversing/Malware Analysis (14) 썸네일형 리스트형 [Smart Loader] GitHub 오픈소스를 가장한 악성코드 분석 목차1. 개요 1.1) 분석 배경 1.2) 공격 개요 및 흐름 1.3) 분석 대상 파일 정보2. 상세 분석 2.1) 초기 실행 구조 및 로딩 방식 (LuaJIT 기반) 2.2) 초기화 작업 (Mutex 생성 및 경로 확보) 2.3) 정보 수집 행위 2.4) C2 연결 방식 (스마트 컨트랙트 기반) 2.5) C2 응답 데이터 분석 (loader / tasks) 2.6) 지속성 확보 (작업 스케줄러 등록) 2.7) 2차 로더 동작 분석 (ODM3.exe) 2.8) Smart Loader 연관 악성 샘플3. 결론 부록 1) MITRE ATT&CK 2) IOC (Indicator of Compromise) 1. 개요1.1) 분석 배경최근 GitHub 오픈소스 .. [Remcos] 바로가기(.lnk) 기능을 활용한 악성코드 분석 목차1. 개요 1.1) 분석 배경 1.2) 유사 공격 기법 비교 (Cobalt Strike) 1.3) 전체 공격 흐름2. 상세 분석 2.1) LNK 파일 분석 (초기 침투) 2.2) Stage 1 - 난독화된 BAT 파일 분석 2.3) Stage 2 - 정상 위장 JavaScript 분석 2.4) Stage 3 - 숨겨진 악성 JavaScript 분석 2.5) Stage 4 - AutoIt 로더 및 스크립트 분석 2.6) Stage 5 - 쉘코드 분석 (Donut Loader) 2.7) Stage 6 - 최종 페이로드 분석 (Remcos Agent)3. 결론 부록 1) MITRE ATT&CK 2) IOC (Indicator of Compromise) 1. .. [xWorm] 난독화 자바스크립트로 유포되는 악성코드 목차1. 개요 1.1) 배경 1.2) 공격 흐름 1.3) 분석 대상 파일 정보 2. 상세 분석 2.1) 초기 감염 과정 JavaScript -> PowerShell 2.2) stage 2 로더 분석 - PowerShell 2.3) 다중 리다이렉션 2.4) stage 2 PowerShell 로더 분석 - 초기화 과정 2.5) stage 3 JavaScript 로더 실행 2.6) stage 3 JavaScript 로더 분석 2.7) stage 3 JavaScript 로더 - 지속성 확보 2.8) stage 3 자가 삭제 루틴 2.9) stage 4 PowerShell 실행 2.10) stage 4 PowerShell 로더 - 초기화 과정 .. [LockBit 3.0] RaaS 랜섬웨어 분석 (LockBit Black) 목차 1. 개요 1.1) 배경 1.2) 랜섬웨어 빌더 유출 1.3) 감염 시 증상 2. 상세 분석 2.1) 분석 파일 정보 2.2) 페이로드 실행 환경 구성 2.3) 페이로드 복호화 과정 2.4) API Resolve 2.5) 암호화된 랜섬웨어 행위 코드 복호화 2.6) 자식 프로세스 생성 후 프로세스 할로잉 수행 2.7) 랜섬웨어 행위 코드 분석 2.7.1) Fake IAT 2.7.2) 랜섬웨어 행위 코드 API Resolve 2.7.3) API 호출 전 실행되는 트램폴린 2.7.4) 사용되는 문자열 복호화 2.7.5) 해시 기반으로 Image Name 비교 2.7.6) 난독화 코드 .. [xRed Backdoor] 파일 감염과 USB 확산을 수행하는 악성코드 목차 1. 개요 1.1) 공격 흐름 1.2) 분석 파일 정보 2. 상세 분석 2.1) FormCreate 루틴 2.2) 관리자 실행 권한 확인 2.3) 중복 프로세스 제거 2.4) Windows 버전 확인 2.5) ini 설정 파일 초기화 2.6) 악성코드 디렉토리 생성 및 은폐 2.7) 지속 메커니즘 등록 2.8) 관리자 권한으로 재실행 2.9) 감염 전 후 저장된 파일 변화 2.10) 실행 파일 감염 루틴 2.11) 감염된 실행 파일 분석 2.12) SSL 통신에 필요한 라이브러리 다운로드 및 로드 2.13) 백도어 기능 - 원격 명령 처리 2.14) USB 확산 기능 - autorun.inf 2.15) 키로깅.. [Shuyal Stealer] Telegram API를 악용하는 악성코드 목차1. 개요 1.1) Shuyal Stealer 주요 위협 요소 1.2) 분석 파일 정보 2. 상세 분석 2.1) 환경 변수 및 경로 정보 수집 2.2) WMI 기반 정찰 2.3) 작업 관리자 종료 2.4) 지속성 확보 2.5) 정보 탈취 기능 2.5.1) 브라우저 Credential 탈취 2.5.2) 브라우저 방문 기록(History) 탈취 2.5.3) 클립보드(Clipboard) 데이터 탈취 2.5.4) 화면 캡처(Screen Capture) 2.5.5) 브라우저/Discord Token 탈취 2.6) 데이터 압축 2.7) Telegram API를 활용하여 탈취한 데이터 전송 2.8) 흔적 삭.. [Agent Tesla] 악성메일로 유포되는 .NET 기반 악성코드 분석 목차 1. 개요 1.1) 공격 흐름 1.2) 분석 파일 정보 2. 상세 분석 2.1) 초기 감염 과정 bat -> powershell 2.2) .NET 기반 로더 DLL 분석 2.2.2) Routine 1 - Defender Bypass 2.2.3) Routine 2 - Persistence 2.2.4) Final Routine - Run Native Loader 2.3) Native Loader 분석 2.4) 최종 페이로드 분석 2.4.1) 문자열 , 매개변수 암호화 2.4.2) switch-case 난독화 2.4.3) 난독화 코드 복원 2.4.4) 메인 루틴 2.4.5) 중복 프로세스 .. [Kimsuky] 정상 인증서를 악용하는 Go언어 기반 악성코드 분석 목차 1. 개요 1.1) 분석 파일 정보2. 상세 분석 2.1) pdf 파일 생성 2.2) dll 파일 생성 2.3) .rdata 섹션 임베딩 후 파싱 2.4) 동적 분석 2.4.1) 악성 dll 로드 과정 2.4.2) config.dat 분석 2.4.3) 지속 메커니즘 2.4.4) ADS 생성 2.4.5) config.dat 언패킹 2.5) config.dat 상세 분석 2.5.1) export 호출 2.5.2) ADS 체크 2.5.3) 지속 메커니즘 등록 2.5.4) C2 연결 2.5.5) C2 명령 수신3. 결론 1. 개요최근(5월) 북한 연계 해킹 그룹의 공격으.. 이전 1 2 다음
