악성코드 분석 (9) 썸네일형 리스트형 [Remcos] 바로가기(.lnk) 기능을 활용한 악성코드 분석 목차1. 개요 1.1) 분석 배경 1.2) 유사 공격 기법 비교 (Cobalt Strike) 1.3) 전체 공격 흐름2. 상세 분석 2.1) LNK 파일 분석 (초기 침투) 2.2) Stage 1 - 난독화된 BAT 파일 분석 2.3) Stage 2 - 정상 위장 JavaScript 분석 2.4) Stage 3 - 숨겨진 악성 JavaScript 분석 2.5) Stage 4 - AutoIt 로더 및 스크립트 분석 2.6) Stage 5 - 쉘코드 분석 (Donut Loader) 2.7) Stage 6 - 최종 페이로드 분석 (Remcos Agent)3. 결론 부록 1) MITRE ATT&CK 2) IOC (Indicator of Compromise) 1. .. [xWorm] 난독화 자바스크립트로 유포되는 악성코드 목차1. 개요 1.1) 배경 1.2) 공격 흐름 1.3) 분석 대상 파일 정보 2. 상세 분석 2.1) 초기 감염 과정 JavaScript -> PowerShell 2.2) stage 2 로더 분석 - PowerShell 2.3) 다중 리다이렉션 2.4) stage 2 PowerShell 로더 분석 - 초기화 과정 2.5) stage 3 JavaScript 로더 실행 2.6) stage 3 JavaScript 로더 분석 2.7) stage 3 JavaScript 로더 - 지속성 확보 2.8) stage 3 자가 삭제 루틴 2.9) stage 4 PowerShell 실행 2.10) stage 4 PowerShell 로더 - 초기화 과정 .. [LockBit 3.0] RaaS 랜섬웨어 분석 (LockBit Black) 목차 1. 개요 1.1) 배경 1.2) 랜섬웨어 빌더 유출 1.3) 감염 시 증상 2. 상세 분석 2.1) 분석 파일 정보 2.2) 페이로드 실행 환경 구성 2.3) 페이로드 복호화 과정 2.4) API Resolve 2.5) 암호화된 랜섬웨어 행위 코드 복호화 2.6) 자식 프로세스 생성 후 프로세스 할로잉 수행 2.7) 랜섬웨어 행위 코드 분석 2.7.1) Fake IAT 2.7.2) 랜섬웨어 행위 코드 API Resolve 2.7.3) API 호출 전 실행되는 트램폴린 2.7.4) 사용되는 문자열 복호화 2.7.5) 해시 기반으로 Image Name 비교 2.7.6) 난독화 코드 .. [xRed Backdoor] 파일 감염과 USB 확산을 수행하는 악성코드 목차 1. 개요 1.1) 공격 흐름 1.2) 분석 파일 정보 2. 상세 분석 2.1) FormCreate 루틴 2.2) 관리자 실행 권한 확인 2.3) 중복 프로세스 제거 2.4) Windows 버전 확인 2.5) ini 설정 파일 초기화 2.6) 악성코드 디렉토리 생성 및 은폐 2.7) 지속 메커니즘 등록 2.8) 관리자 권한으로 재실행 2.9) 감염 전 후 저장된 파일 변화 2.10) 실행 파일 감염 루틴 2.11) 감염된 실행 파일 분석 2.12) SSL 통신에 필요한 라이브러리 다운로드 및 로드 2.13) 백도어 기능 - 원격 명령 처리 2.14) USB 확산 기능 - autorun.inf 2.15) 키로깅.. 악성코드 분석 환경 구성하기 목차1. 개요 1.1) 랩 구축을 위한 요구 사항 1.2) 랩 아키텍처 개요 2. 랩 환경 구성 2.1) 리눅스 VM 설치 및 환경 구성 2.2) 윈도우 VM 환경 구성 2.3) INetSim 동작 3. 결론 1. 개요 악성코드를 분석하기 앞 서, 분석하는 대상 PC가 감염되지 않도록 안전한 lab 환경 구성이 필요하다. 격리 환경 없이 악성코드를 실행하면, 분석 과정에서 오히려 본인이 사용하는 시스템이 감염되어 예기치 않은 피해가 발생할 수 있기 때문이다. 해당 글에서는 개인 PC 환경에서 구축할 수 있는 악성코드 분석 랩(Lab) 환경의 구성 방법과 절차에 대해 다룰 예정이다. 1.1) 랩 구축을 위한 요구 사항 Linux, Windows, macOS 중 하나가 설치된 물.. [Agent Tesla] 악성메일로 유포되는 .NET 기반 악성코드 분석 목차 1. 개요 1.1) 공격 흐름 1.2) 분석 파일 정보 2. 상세 분석 2.1) 초기 감염 과정 bat -> powershell 2.2) .NET 기반 로더 DLL 분석 2.2.2) Routine 1 - Defender Bypass 2.2.3) Routine 2 - Persistence 2.2.4) Final Routine - Run Native Loader 2.3) Native Loader 분석 2.4) 최종 페이로드 분석 2.4.1) 문자열 , 매개변수 암호화 2.4.2) switch-case 난독화 2.4.3) 난독화 코드 복원 2.4.4) 메인 루틴 2.4.5) 중복 프로세스 .. [Lumma Stealer] Heaven's Gate 기법을 활용한 악성코드(2) 목차 1. 개요 1.1) 분석 파일 정보2. 상세 분석 2.1) 탐지 회피 2.1.1) 코드 난독화 2.1.2) GetModuleHandleW 구현 2.1.3) GetProcAddress 구현 2.1.4) LoadLibraryW 동적 호출 2.1.5) Winhttp 함수 주소 추출 2.1.6) syscall table 생성 2.1.7) Heaven’s Gate 기법 2.1.8) ntdll.dll 매핑 2.2) 패킹 여부 확인 2.3) C2 연결 2.3.1) 추가 C2 연결 2.3.2) c2conf 복호화 3. 결론 4. 참고 문헌 1. 개요Lumma Stealer는 C언어 기.. [Lumma Stealer] clickfix 기법을 활용한 악성코드 유포(1) 목차1. 개요 1.1) 침해 지표 1.2) 분석 파일 정보 2. 상세 분석 2.1) 감염 경로 2.2) 1차 페이로드 - 정보 수집 2.2.1) script.ps1 2.2.2) script.ps1 - 1번째 요청 2.2.3) script.ps1 - 2번째 요청 2.2.4) 정보 수집 2.3) 2차 페이로드 - data.bin 쉘코드 실행 3. 실행 흐름 4. 결론 1. 개요Lumma Stealer는 정보 탈취형 악성코드로, 악성코드 서비스를 유료로 배포·판매하는 Malware-as-a-Service 형태로 운영된다. 주로 브라우저 저장 비밀번호, 신용 카드 번호, 쿠키,암호화폐 지갑 시드/키, 자동완성 데이터 같은 사용자의 민감한.. 이전 1 2 다음
