전체 (49) 썸네일형 리스트형 [Lumma Stealer] Heaven's Gate 기법을 활용한 악성코드(2) 목차 1. 개요 1.1) 분석 파일 정보2. 상세 분석 2.1) 탐지 회피 2.1.1) 코드 난독화 2.1.2) GetModuleHandleW 구현 2.1.3) GetProcAddress 구현 2.1.4) LoadLibraryW 동적 호출 2.1.5) Winhttp 함수 주소 추출 2.1.6) syscall table 생성 2.1.7) Heaven’s Gate 기법 2.1.8) ntdll.dll 매핑 2.2) 패킹 여부 확인 2.3) C2 연결 2.3.1) 추가 C2 연결 2.3.2) c2conf 복호화 3. 결론 4. 참고 문헌 1. 개요Lumma Stealer는 C언어 기.. [Lumma Stealer] clickfix 기법을 활용한 악성코드 유포(1) 목차1. 개요 1.1) 침해 지표 1.2) 분석 파일 정보 2. 상세 분석 2.1) 감염 경로 2.2) 1차 페이로드 - 정보 수집 2.2.1) script.ps1 2.2.2) script.ps1 - 1번째 요청 2.2.3) script.ps1 - 2번째 요청 2.2.4) 정보 수집 2.3) 2차 페이로드 - data.bin 쉘코드 실행 3. 실행 흐름 4. 결론 1. 개요Lumma Stealer는 정보 탈취형 악성코드로, 악성코드 서비스를 유료로 배포·판매하는 Malware-as-a-Service 형태로 운영된다. 주로 브라우저 저장 비밀번호, 신용 카드 번호, 쿠키,암호화폐 지갑 시드/키, 자동완성 데이터 같은 사용자의 민감한.. [BPFDoor] 악성코드 분석 - 패킷 필터를 악용하는 악성코드 목차1. 개요 1.1) 침해 지표 1.2) 분석 파일 정보2. 상세 분석 2.1) 중복 실행 감지 2.2) to_open() - 복사본 생성/삭제/실행 2.3) set_proc_name() - 프로세스 이름 변경 2.4) 시그널 설정 후 독립 세션에서 동작 2.5) packet_loop() - 패킷 필터 2.6) packet_loop() - 독립 세션 생성 2.7) packet_loop() - 명령 분기 2.8) packet_loop() - 바인드 셸 방화벽 규칙 추가/삭제3. 실행 흐름 4. 결론 1. 개요BPF(Berkeley Packet Filter)는 원래 네트워크 패킷을 효율적으로 필터링하기 위해 설계된 기술로, 현재는 eBPF(exten.. [HANCITOR] 악성코드 분석(3) - C2 통신 페이로드 과정 분석 HANCITOR 악성 문서(1)에 대한 동작 과정은 https://reversingnewbie.tistory.com/35 에서 확인할 수 있습니다.HANCITOR 메인 로더(2)에 대한 동작 과정은 https://reversingnewbie.tistory.com/37 에서 확인할 수 있습니다. 목차1. 개요 1.1) Ioc2. 피해자 정보 추출 2.1) OS 버전 정보 수집 2.2) GUID 생성 2.3) 피해자 IP & 계정 & 도메인 정보 수집 2.5) 피해자 정보 문자열 구축 2.6) 피해자 정보 전송3. 내부 페이로드 분석 3.1) 응답 디코딩 과정 3.2) 명령 제어 3.2.1) 명령 'b' 3.2.2) 명령 'e' .. [메모] 악성코드 분석 도구 및 사이트 ● 정적 분석 도구이름설명strings문자열 추출 도구FLOSSascii , utf 문자열 추출, 스택 문자열 추출, 난독화 문자열 디코딩 후 출력정적 문자열을 제외하고 디코딩/스택 문자열만 보려면 --no-static-strings 스위치를 사용ssdeep샘플 간의 유사성 비율을 파악하는 데 사용됨 (동일한 악성코드군 또는 동일한 공격자 그룹에 속하는 샘플을 식별)imphash라이브러리/임포트 함수명과 특유의 순서를 바탕으로 해시값을 계산 (동일한 소스와 동일한 방식으로 컴파일할 경우 동일한 hash를 가진다.)sections섹션 해싱 (.text,.data,.rdata 등)을 바탕으로 해시값을 계산pestudiofootprints 기능을 이용하여 imphash와 sectionshash 정보를 파악 가.. [HANCITOR] 악성코드 분석(2) - 압축된 페이로드 분석 HANCITOR 악성 문서에 대한 동작 과정은 https://reversingnewbie.tistory.com/35 에서 확인할 수 있습니다.목차1. 개요 1.1) 분석 환경2. 정적 분석 2.1) Virustotal 확인 2.2) 엔트로피 확인 2.3) IAT 확인3. 동적 분석 3.1) 압축 메모리 해제 과정 3.2) DllMain4. 결론 1. 개요HANCITOR는 주로 코발트 스트라이크(Cobalt Strike) 비콘, 정보 탈취형 악성코드, 추가 악성 셸코드를 다운로드하고 실행하는 다운로더 계열 악성코드로 알려져 있다. 메인 로더는 감염 과정에서 가장 먼저 실행되는 컴포넌트로 시스템 환경을 점검하고 네트워크 연결을 구성하며 최종 페이로드를 다운로드하고 실행하는 핵심 역할.. Wireshark - pcap 분석 Tip 0. 들어가며 침해 사고 대응을 하면 PCAP 파일을 다루는 경우가 많다. PCAP은 네트워크에서 오간 패킷을 기록한 파일로 공격 흔적이나 비정상적인 통신을 추적하기 위해 반드시 분석해야 하는 파일이다. PCAP 분석을 위해 가장 널리 사용되는 도구가 대표적으로 Wireshark이다. Wireshark는 무료이면서 강력한 패킷 캡처 및 분석 도구로 다양한 프로토콜을 지원하며 실시간 트래픽 확인과 디스플레이 필터, 통계 분석 기능을 제공한다. 이를 통해 복잡한 네트워크 환경에서도 필요한 패킷만 선별하고, 전체 트래픽 흐름을 파악하며 세션별 통신 내역과 payload를 재구성할 수 있다. 본 글에서는 Wireshark를 중심으로 한 주요 분석 기법과 적용할 수 있는 Tip들을 정리하고자 한다. 1. 디스플레.. [HANCITOR] 악성코드 분석(1) - 악성 문서 형식으로 유포되는 악성코드 목차1. 악성코드 개요1.1) 개요 1.2) 분석 환경2. 상세 분석2.1) 행위 분석 2.2) VBA 매크로 분석 - 0929_9545200010193.doc 2.2.1) AutoExec – Document_Open 2.2.2) Module3 - bvxfcsd 2.2.3) Module123345 - Search, nam 2.2.4) Module1 - pppx 2.3) VBA 매크로 분석 - zoro.doc 2.3.1) AutoExec - Document_Open 2.3.2) Module3.bas - bvxfcsd 2.3.3) Module1.bas - nam, ousx 2.4) 주요 기능 (최종 페이로드)3. 결론4. 참고문헌 1. 악성.. 이전 1 2 3 4 5 ··· 7 다음
