Reversing/Malware Analysis (14) 썸네일형 리스트형 [Lumma Stealer] Heaven's Gate 기법을 활용한 악성코드(2) 목차 1. 개요 1.1) 분석 파일 정보2. 상세 분석 2.1) 탐지 회피 2.1.1) 코드 난독화 2.1.2) GetModuleHandleW 구현 2.1.3) GetProcAddress 구현 2.1.4) LoadLibraryW 동적 호출 2.1.5) Winhttp 함수 주소 추출 2.1.6) syscall table 생성 2.1.7) Heaven’s Gate 기법 2.1.8) ntdll.dll 매핑 2.2) 패킹 여부 확인 2.3) C2 연결 2.3.1) 추가 C2 연결 2.3.2) c2conf 복호화 3. 결론 4. 참고 문헌 1. 개요Lumma Stealer는 C언어 기.. [Lumma Stealer] clickfix 기법을 활용한 악성코드 유포(1) 목차1. 개요 1.1) 침해 지표 1.2) 분석 파일 정보 2. 상세 분석 2.1) 감염 경로 2.2) 1차 페이로드 - 정보 수집 2.2.1) script.ps1 2.2.2) script.ps1 - 1번째 요청 2.2.3) script.ps1 - 2번째 요청 2.2.4) 정보 수집 2.3) 2차 페이로드 - data.bin 쉘코드 실행 3. 실행 흐름 4. 결론 1. 개요Lumma Stealer는 정보 탈취형 악성코드로, 악성코드 서비스를 유료로 배포·판매하는 Malware-as-a-Service 형태로 운영된다. 주로 브라우저 저장 비밀번호, 신용 카드 번호, 쿠키,암호화폐 지갑 시드/키, 자동완성 데이터 같은 사용자의 민감한.. [BPFDoor] 악성코드 분석 - 패킷 필터를 악용하는 악성코드 목차1. 개요 1.1) 침해 지표 1.2) 분석 파일 정보2. 상세 분석 2.1) 중복 실행 감지 2.2) to_open() - 복사본 생성/삭제/실행 2.3) set_proc_name() - 프로세스 이름 변경 2.4) 시그널 설정 후 독립 세션에서 동작 2.5) packet_loop() - 패킷 필터 2.6) packet_loop() - 독립 세션 생성 2.7) packet_loop() - 명령 분기 2.8) packet_loop() - 바인드 셸 방화벽 규칙 추가/삭제3. 실행 흐름 4. 결론 1. 개요BPF(Berkeley Packet Filter)는 원래 네트워크 패킷을 효율적으로 필터링하기 위해 설계된 기술로, 현재는 eBPF(exten.. [HANCITOR] 악성코드 분석(3) - C2 통신 페이로드 과정 분석 HANCITOR 악성 문서(1)에 대한 동작 과정은 https://reversingnewbie.tistory.com/35 에서 확인할 수 있습니다.HANCITOR 메인 로더(2)에 대한 동작 과정은 https://reversingnewbie.tistory.com/37 에서 확인할 수 있습니다. 목차1. 개요 1.1) Ioc2. 피해자 정보 추출 2.1) OS 버전 정보 수집 2.2) GUID 생성 2.3) 피해자 IP & 계정 & 도메인 정보 수집 2.5) 피해자 정보 문자열 구축 2.6) 피해자 정보 전송3. 내부 페이로드 분석 3.1) 응답 디코딩 과정 3.2) 명령 제어 3.2.1) 명령 'b' 3.2.2) 명령 'e' .. [HANCITOR] 악성코드 분석(2) - 압축된 페이로드 분석 HANCITOR 악성 문서에 대한 동작 과정은 https://reversingnewbie.tistory.com/35 에서 확인할 수 있습니다.목차1. 개요 1.1) 분석 환경2. 정적 분석 2.1) Virustotal 확인 2.2) 엔트로피 확인 2.3) IAT 확인3. 동적 분석 3.1) 압축 메모리 해제 과정 3.2) DllMain4. 결론 1. 개요HANCITOR는 주로 코발트 스트라이크(Cobalt Strike) 비콘, 정보 탈취형 악성코드, 추가 악성 셸코드를 다운로드하고 실행하는 다운로더 계열 악성코드로 알려져 있다. 메인 로더는 감염 과정에서 가장 먼저 실행되는 컴포넌트로 시스템 환경을 점검하고 네트워크 연결을 구성하며 최종 페이로드를 다운로드하고 실행하는 핵심 역할.. [HANCITOR] 악성코드 분석(1) - 악성 문서 형식으로 유포되는 악성코드 목차1. 악성코드 개요1.1) 개요 1.2) 분석 환경2. 상세 분석2.1) 행위 분석 2.2) VBA 매크로 분석 - 0929_9545200010193.doc 2.2.1) AutoExec – Document_Open 2.2.2) Module3 - bvxfcsd 2.2.3) Module123345 - Search, nam 2.2.4) Module1 - pppx 2.3) VBA 매크로 분석 - zoro.doc 2.3.1) AutoExec - Document_Open 2.3.2) Module3.bas - bvxfcsd 2.3.3) Module1.bas - nam, ousx 2.4) 주요 기능 (최종 페이로드)3. 결론4. 참고문헌 1. 악성.. 이전 1 2 다음
