Reversing/Malware Analysis (12) 썸네일형 리스트형 [BPFDoor] 악성코드 분석 - 패킷 필터를 악용하는 악성코드 목차1. 개요 1.1) 침해 지표 1.2) 분석 파일 정보2. 상세 분석 2.1) 중복 실행 감지 2.2) to_open() - 복사본 생성/삭제/실행 2.3) set_proc_name() - 프로세스 이름 변경 2.4) 시그널 설정 후 독립 세션에서 동작 2.5) packet_loop() - 패킷 필터 2.6) packet_loop() - 독립 세션 생성 2.7) packet_loop() - 명령 분기 2.8) packet_loop() - 바인드 셸 방화벽 규칙 추가/삭제3. 실행 흐름 4. 결론 1. 개요BPF(Berkeley Packet Filter)는 원래 네트워크 패킷을 효율적으로 필터링하기 위해 설계된 기술로, 현재는 eBPF(exten.. [HANCITOR] 악성코드 분석(3) - C2 통신 페이로드 과정 분석 HANCITOR 악성 문서(1)에 대한 동작 과정은 https://reversingnewbie.tistory.com/35 에서 확인할 수 있습니다.HANCITOR 메인 로더(2)에 대한 동작 과정은 https://reversingnewbie.tistory.com/37 에서 확인할 수 있습니다. 목차1. 개요 1.1) Ioc2. 피해자 정보 추출 2.1) OS 버전 정보 수집 2.2) GUID 생성 2.3) 피해자 IP & 계정 & 도메인 정보 수집 2.5) 피해자 정보 문자열 구축 2.6) 피해자 정보 전송3. 내부 페이로드 분석 3.1) 응답 디코딩 과정 3.2) 명령 제어 3.2.1) 명령 'b' 3.2.2) 명령 'e' .. [HANCITOR] 악성코드 분석(2) - 압축된 페이로드 분석 HANCITOR 악성 문서에 대한 동작 과정은 https://reversingnewbie.tistory.com/35 에서 확인할 수 있습니다.목차1. 개요 1.1) 분석 환경2. 정적 분석 2.1) Virustotal 확인 2.2) 엔트로피 확인 2.3) IAT 확인3. 동적 분석 3.1) 압축 메모리 해제 과정 3.2) DllMain4. 결론 1. 개요HANCITOR는 주로 코발트 스트라이크(Cobalt Strike) 비콘, 정보 탈취형 악성코드, 추가 악성 셸코드를 다운로드하고 실행하는 다운로더 계열 악성코드로 알려져 있다. 메인 로더는 감염 과정에서 가장 먼저 실행되는 컴포넌트로 시스템 환경을 점검하고 네트워크 연결을 구성하며 최종 페이로드를 다운로드하고 실행하는 핵심 역할.. [HANCITOR] 악성코드 분석(1) - 악성 문서 형식으로 유포되는 악성코드 목차1. 악성코드 개요1.1) 개요 1.2) 분석 환경2. 상세 분석2.1) 행위 분석 2.2) VBA 매크로 분석 - 0929_9545200010193.doc 2.2.1) AutoExec – Document_Open 2.2.2) Module3 - bvxfcsd 2.2.3) Module123345 - Search, nam 2.2.4) Module1 - pppx 2.3) VBA 매크로 분석 - zoro.doc 2.3.1) AutoExec - Document_Open 2.3.2) Module3.bas - bvxfcsd 2.3.3) Module1.bas - nam, ousx 2.4) 주요 기능 (최종 페이로드)3. 결론4. 참고문헌 1. 악성.. 이전 1 2 다음
