전체 (49) 썸네일형 리스트형 [xWorm] 난독화 자바스크립트로 유포되는 악성코드 목차1. 개요 1.1) 배경 1.2) 공격 흐름 1.3) 분석 대상 파일 정보 2. 상세 분석 2.1) 초기 감염 과정 JavaScript -> PowerShell 2.2) stage 2 로더 분석 - PowerShell 2.3) 다중 리다이렉션 2.4) stage 2 PowerShell 로더 분석 - 초기화 과정 2.5) stage 3 JavaScript 로더 실행 2.6) stage 3 JavaScript 로더 분석 2.7) stage 3 JavaScript 로더 - 지속성 확보 2.8) stage 3 자가 삭제 루틴 2.9) stage 4 PowerShell 실행 2.10) stage 4 PowerShell 로더 - 초기화 과정 .. [LockBit 3.0] RaaS 랜섬웨어 분석 (LockBit Black) 목차 1. 개요 1.1) 배경 1.2) 랜섬웨어 빌더 유출 1.3) 감염 시 증상 2. 상세 분석 2.1) 분석 파일 정보 2.2) 페이로드 실행 환경 구성 2.3) 페이로드 복호화 과정 2.4) API Resolve 2.5) 암호화된 랜섬웨어 행위 코드 복호화 2.6) 자식 프로세스 생성 후 프로세스 할로잉 수행 2.7) 랜섬웨어 행위 코드 분석 2.7.1) Fake IAT 2.7.2) 랜섬웨어 행위 코드 API Resolve 2.7.3) API 호출 전 실행되는 트램폴린 2.7.4) 사용되는 문자열 복호화 2.7.5) 해시 기반으로 Image Name 비교 2.7.6) 난독화 코드 .. [xRed Backdoor] 파일 감염과 USB 확산을 수행하는 악성코드 목차 1. 개요 1.1) 공격 흐름 1.2) 분석 파일 정보 2. 상세 분석 2.1) FormCreate 루틴 2.2) 관리자 실행 권한 확인 2.3) 중복 프로세스 제거 2.4) Windows 버전 확인 2.5) ini 설정 파일 초기화 2.6) 악성코드 디렉토리 생성 및 은폐 2.7) 지속 메커니즘 등록 2.8) 관리자 권한으로 재실행 2.9) 감염 전 후 저장된 파일 변화 2.10) 실행 파일 감염 루틴 2.11) 감염된 실행 파일 분석 2.12) SSL 통신에 필요한 라이브러리 다운로드 및 로드 2.13) 백도어 기능 - 원격 명령 처리 2.14) USB 확산 기능 - autorun.inf 2.15) 키로깅.. [Shuyal Stealer] Telegram API를 악용하는 악성코드 목차1. 개요 1.1) Shuyal Stealer 주요 위협 요소 1.2) 분석 파일 정보 2. 상세 분석 2.1) 환경 변수 및 경로 정보 수집 2.2) WMI 기반 정찰 2.3) 작업 관리자 종료 2.4) 지속성 확보 2.5) 정보 탈취 기능 2.5.1) 브라우저 Credential 탈취 2.5.2) 브라우저 방문 기록(History) 탈취 2.5.3) 클립보드(Clipboard) 데이터 탈취 2.5.4) 화면 캡처(Screen Capture) 2.5.5) 브라우저/Discord Token 탈취 2.6) 데이터 압축 2.7) Telegram API를 활용하여 탈취한 데이터 전송 2.8) 흔적 삭.. 리눅스 + Python 도구 활용 (정적 분석) 1) 파일 유형 식별 사용법 : file PE32 : 32비트 실행 파일PE32+ : 64비트 실행 파일 import magicm = magic.open(magic.MAGIC_NONE)m.load()ftype = m.file(r'sample32.exe')print(ftype) 파이썬으로 magic 모듈을 이용한 파일 유형 식별 2) 파일 해시 계산 사용법 : md5sum , sha256sum , sha1sum * 와일드카드로 전체 스캔 가능 import hashlibcontent = open(r"sample32.exe","rb").read()print(hashlib.md5(content).hexdigest())print(hashlib.sha256(content).hexdigest())pr.. 악성코드 분석 환경 구성하기 목차1. 개요 1.1) 랩 구축을 위한 요구 사항 1.2) 랩 아키텍처 개요 2. 랩 환경 구성 2.1) 리눅스 VM 설치 및 환경 구성 2.2) 윈도우 VM 환경 구성 2.3) INetSim 동작 3. 결론 1. 개요 악성코드를 분석하기 앞 서, 분석하는 대상 PC가 감염되지 않도록 안전한 lab 환경 구성이 필요하다. 격리 환경 없이 악성코드를 실행하면, 분석 과정에서 오히려 본인이 사용하는 시스템이 감염되어 예기치 않은 피해가 발생할 수 있기 때문이다. 해당 글에서는 개인 PC 환경에서 구축할 수 있는 악성코드 분석 랩(Lab) 환경의 구성 방법과 절차에 대해 다룰 예정이다. 1.1) 랩 구축을 위한 요구 사항 Linux, Windows, macOS 중 하나가 설치된 물.. [Agent Tesla] 악성메일로 유포되는 .NET 기반 악성코드 분석 목차 1. 개요 1.1) 공격 흐름 1.2) 분석 파일 정보 2. 상세 분석 2.1) 초기 감염 과정 bat -> powershell 2.2) .NET 기반 로더 DLL 분석 2.2.2) Routine 1 - Defender Bypass 2.2.3) Routine 2 - Persistence 2.2.4) Final Routine - Run Native Loader 2.3) Native Loader 분석 2.4) 최종 페이로드 분석 2.4.1) 문자열 , 매개변수 암호화 2.4.2) switch-case 난독화 2.4.3) 난독화 코드 복원 2.4.4) 메인 루틴 2.4.5) 중복 프로세스 .. [Kimsuky] 정상 인증서를 악용하는 Go언어 기반 악성코드 분석 목차 1. 개요 1.1) 분석 파일 정보2. 상세 분석 2.1) pdf 파일 생성 2.2) dll 파일 생성 2.3) .rdata 섹션 임베딩 후 파싱 2.4) 동적 분석 2.4.1) 악성 dll 로드 과정 2.4.2) config.dat 분석 2.4.3) 지속 메커니즘 2.4.4) ADS 생성 2.4.5) config.dat 언패킹 2.5) config.dat 상세 분석 2.5.1) export 호출 2.5.2) ADS 체크 2.5.3) 지속 메커니즘 등록 2.5.4) C2 연결 2.5.5) C2 명령 수신3. 결론 1. 개요최근(5월) 북한 연계 해킹 그룹의 공격으.. 이전 1 2 3 4 ··· 7 다음
