Reversing/Malware Analysis (12) 썸네일형 리스트형 [xWorm] 난독화 자바스크립트로 유포되는 악성코드 목차1. 개요 1.1) 배경 1.2) 공격 흐름 1.3) 분석 대상 파일 정보 2. 상세 분석 2.1) 초기 감염 과정 JavaScript -> PowerShell 2.2) stage 2 로더 분석 - PowerShell 2.3) 다중 리다이렉션 2.4) stage 2 PowerShell 로더 분석 - 초기화 과정 2.5) stage 3 JavaScript 로더 실행 2.6) stage 3 JavaScript 로더 분석 2.7) stage 3 JavaScript 로더 - 지속성 확보 2.8) stage 3 자가 삭제 루틴 2.9) stage 4 PowerShell 실행 2.10) stage 4 PowerShell 로더 - 초기화 과정 .. [LockBit 3.0] RaaS 랜섬웨어 분석 (LockBit Black) 목차 1. 개요 1.1) 배경 1.2) 랜섬웨어 빌더 유출 1.3) 감염 시 증상 2. 상세 분석 2.1) 분석 파일 정보 2.2) 페이로드 실행 환경 구성 2.3) 페이로드 복호화 과정 2.4) API Resolve 2.5) 암호화된 랜섬웨어 행위 코드 복호화 2.6) 자식 프로세스 생성 후 프로세스 할로잉 수행 2.7) 랜섬웨어 행위 코드 분석 2.7.1) Fake IAT 2.7.2) 랜섬웨어 행위 코드 API Resolve 2.7.3) API 호출 전 실행되는 트램폴린 2.7.4) 사용되는 문자열 복호화 2.7.5) 해시 기반으로 Image Name 비교 2.7.6) 난독화 코드 .. [xRed Backdoor] 파일 감염과 USB 확산을 수행하는 악성코드 목차 1. 개요 1.1) 공격 흐름 1.2) 분석 파일 정보 2. 상세 분석 2.1) FormCreate 루틴 2.2) 관리자 실행 권한 확인 2.3) 중복 프로세스 제거 2.4) Windows 버전 확인 2.5) ini 설정 파일 초기화 2.6) 악성코드 디렉토리 생성 및 은폐 2.7) 지속 메커니즘 등록 2.8) 관리자 권한으로 재실행 2.9) 감염 전 후 저장된 파일 변화 2.10) 실행 파일 감염 루틴 2.11) 감염된 실행 파일 분석 2.12) SSL 통신에 필요한 라이브러리 다운로드 및 로드 2.13) 백도어 기능 - 원격 명령 처리 2.14) USB 확산 기능 - autorun.inf 2.15) 키로깅.. [Shuyal Stealer] Telegram API를 악용하는 악성코드 목차1. 개요 1.1) Shuyal Stealer 주요 위협 요소 1.2) 분석 파일 정보 2. 상세 분석 2.1) 환경 변수 및 경로 정보 수집 2.2) WMI 기반 정찰 2.3) 작업 관리자 종료 2.4) 지속성 확보 2.5) 정보 탈취 기능 2.5.1) 브라우저 Credential 탈취 2.5.2) 브라우저 방문 기록(History) 탈취 2.5.3) 클립보드(Clipboard) 데이터 탈취 2.5.4) 화면 캡처(Screen Capture) 2.5.5) 브라우저/Discord Token 탈취 2.6) 데이터 압축 2.7) Telegram API를 활용하여 탈취한 데이터 전송 2.8) 흔적 삭.. [Agent Tesla] 악성메일로 유포되는 .NET 기반 악성코드 분석 목차 1. 개요 1.1) 공격 흐름 1.2) 분석 파일 정보 2. 상세 분석 2.1) 초기 감염 과정 bat -> powershell 2.2) .NET 기반 로더 DLL 분석 2.2.2) Routine 1 - Defender Bypass 2.2.3) Routine 2 - Persistence 2.2.4) Final Routine - Run Native Loader 2.3) Native Loader 분석 2.4) 최종 페이로드 분석 2.4.1) 문자열 , 매개변수 암호화 2.4.2) switch-case 난독화 2.4.3) 난독화 코드 복원 2.4.4) 메인 루틴 2.4.5) 중복 프로세스 .. [Kimsuky] 정상 인증서를 악용하는 Go언어 기반 악성코드 분석 목차 1. 개요 1.1) 분석 파일 정보2. 상세 분석 2.1) pdf 파일 생성 2.2) dll 파일 생성 2.3) .rdata 섹션 임베딩 후 파싱 2.4) 동적 분석 2.4.1) 악성 dll 로드 과정 2.4.2) config.dat 분석 2.4.3) 지속 메커니즘 2.4.4) ADS 생성 2.4.5) config.dat 언패킹 2.5) config.dat 상세 분석 2.5.1) export 호출 2.5.2) ADS 체크 2.5.3) 지속 메커니즘 등록 2.5.4) C2 연결 2.5.5) C2 명령 수신3. 결론 1. 개요최근(5월) 북한 연계 해킹 그룹의 공격으.. [Lumma Stealer] Heaven's Gate 기법을 활용한 악성코드(2) 목차 1. 개요 1.1) 분석 파일 정보2. 상세 분석 2.1) 탐지 회피 2.1.1) 코드 난독화 2.1.2) GetModuleHandleW 구현 2.1.3) GetProcAddress 구현 2.1.4) LoadLibraryW 동적 호출 2.1.5) Winhttp 함수 주소 추출 2.1.6) syscall table 생성 2.1.7) Heaven’s Gate 기법 2.1.8) ntdll.dll 매핑 2.2) 패킹 여부 확인 2.3) C2 연결 2.3.1) 추가 C2 연결 2.3.2) c2conf 복호화 3. 결론 4. 참고 문헌 1. 개요Lumma Stealer는 C언어 기.. [Lumma Stealer] clickfix 기법을 활용한 악성코드 유포(1) 목차1. 개요 1.1) 침해 지표 1.2) 분석 파일 정보 2. 상세 분석 2.1) 감염 경로 2.2) 1차 페이로드 - 정보 수집 2.2.1) script.ps1 2.2.2) script.ps1 - 1번째 요청 2.2.3) script.ps1 - 2번째 요청 2.2.4) 정보 수집 2.3) 2차 페이로드 - data.bin 쉘코드 실행 3. 실행 흐름 4. 결론 1. 개요Lumma Stealer는 정보 탈취형 악성코드로, 악성코드 서비스를 유료로 배포·판매하는 Malware-as-a-Service 형태로 운영된다. 주로 브라우저 저장 비밀번호, 신용 카드 번호, 쿠키,암호화폐 지갑 시드/키, 자동완성 데이터 같은 사용자의 민감한.. 이전 1 2 다음
