악성코드 (8) 썸네일형 리스트형 [Remcos] 바로가기(.lnk) 기능을 활용한 악성코드 분석 목차1. 개요 1.1) 분석 배경 1.2) 유사 공격 기법 비교 (Cobalt Strike) 1.3) 전체 공격 흐름2. 상세 분석 2.1) LNK 파일 분석 (초기 침투) 2.2) Stage 1 - 난독화된 BAT 파일 분석 2.3) Stage 2 - 정상 위장 JavaScript 분석 2.4) Stage 3 - 숨겨진 악성 JavaScript 분석 2.5) Stage 4 - AutoIt 로더 및 스크립트 분석 2.6) Stage 5 - 쉘코드 분석 (Donut Loader) 2.7) Stage 6 - 최종 페이로드 분석 (Remcos Agent)3. 결론 부록 1) MITRE ATT&CK 2) IOC (Indicator of Compromise) 1. .. [xWorm] 난독화 자바스크립트로 유포되는 악성코드 목차1. 개요 1.1) 배경 1.2) 공격 흐름 1.3) 분석 대상 파일 정보 2. 상세 분석 2.1) 초기 감염 과정 JavaScript -> PowerShell 2.2) stage 2 로더 분석 - PowerShell 2.3) 다중 리다이렉션 2.4) stage 2 PowerShell 로더 분석 - 초기화 과정 2.5) stage 3 JavaScript 로더 실행 2.6) stage 3 JavaScript 로더 분석 2.7) stage 3 JavaScript 로더 - 지속성 확보 2.8) stage 3 자가 삭제 루틴 2.9) stage 4 PowerShell 실행 2.10) stage 4 PowerShell 로더 - 초기화 과정 .. [Shuyal Stealer] Telegram API를 악용하는 악성코드 목차1. 개요 1.1) Shuyal Stealer 주요 위협 요소 1.2) 분석 파일 정보 2. 상세 분석 2.1) 환경 변수 및 경로 정보 수집 2.2) WMI 기반 정찰 2.3) 작업 관리자 종료 2.4) 지속성 확보 2.5) 정보 탈취 기능 2.5.1) 브라우저 Credential 탈취 2.5.2) 브라우저 방문 기록(History) 탈취 2.5.3) 클립보드(Clipboard) 데이터 탈취 2.5.4) 화면 캡처(Screen Capture) 2.5.5) 브라우저/Discord Token 탈취 2.6) 데이터 압축 2.7) Telegram API를 활용하여 탈취한 데이터 전송 2.8) 흔적 삭.. [Agent Tesla] 악성메일로 유포되는 .NET 기반 악성코드 분석 목차 1. 개요 1.1) 공격 흐름 1.2) 분석 파일 정보 2. 상세 분석 2.1) 초기 감염 과정 bat -> powershell 2.2) .NET 기반 로더 DLL 분석 2.2.2) Routine 1 - Defender Bypass 2.2.3) Routine 2 - Persistence 2.2.4) Final Routine - Run Native Loader 2.3) Native Loader 분석 2.4) 최종 페이로드 분석 2.4.1) 문자열 , 매개변수 암호화 2.4.2) switch-case 난독화 2.4.3) 난독화 코드 복원 2.4.4) 메인 루틴 2.4.5) 중복 프로세스 .. [Lumma Stealer] Heaven's Gate 기법을 활용한 악성코드(2) 목차 1. 개요 1.1) 분석 파일 정보2. 상세 분석 2.1) 탐지 회피 2.1.1) 코드 난독화 2.1.2) GetModuleHandleW 구현 2.1.3) GetProcAddress 구현 2.1.4) LoadLibraryW 동적 호출 2.1.5) Winhttp 함수 주소 추출 2.1.6) syscall table 생성 2.1.7) Heaven’s Gate 기법 2.1.8) ntdll.dll 매핑 2.2) 패킹 여부 확인 2.3) C2 연결 2.3.1) 추가 C2 연결 2.3.2) c2conf 복호화 3. 결론 4. 참고 문헌 1. 개요Lumma Stealer는 C언어 기.. [Lumma Stealer] clickfix 기법을 활용한 악성코드 유포(1) 목차1. 개요 1.1) 침해 지표 1.2) 분석 파일 정보 2. 상세 분석 2.1) 감염 경로 2.2) 1차 페이로드 - 정보 수집 2.2.1) script.ps1 2.2.2) script.ps1 - 1번째 요청 2.2.3) script.ps1 - 2번째 요청 2.2.4) 정보 수집 2.3) 2차 페이로드 - data.bin 쉘코드 실행 3. 실행 흐름 4. 결론 1. 개요Lumma Stealer는 정보 탈취형 악성코드로, 악성코드 서비스를 유료로 배포·판매하는 Malware-as-a-Service 형태로 운영된다. 주로 브라우저 저장 비밀번호, 신용 카드 번호, 쿠키,암호화폐 지갑 시드/키, 자동완성 데이터 같은 사용자의 민감한.. [BPFDoor] 악성코드 분석 - 패킷 필터를 악용하는 악성코드 목차1. 개요 1.1) 침해 지표 1.2) 분석 파일 정보2. 상세 분석 2.1) 중복 실행 감지 2.2) to_open() - 복사본 생성/삭제/실행 2.3) set_proc_name() - 프로세스 이름 변경 2.4) 시그널 설정 후 독립 세션에서 동작 2.5) packet_loop() - 패킷 필터 2.6) packet_loop() - 독립 세션 생성 2.7) packet_loop() - 명령 분기 2.8) packet_loop() - 바인드 셸 방화벽 규칙 추가/삭제3. 실행 흐름 4. 결론 1. 개요BPF(Berkeley Packet Filter)는 원래 네트워크 패킷을 효율적으로 필터링하기 위해 설계된 기술로, 현재는 eBPF(exten.. 악성코드 분석 악성 코드란? 악성코드는 컴퓨터 시스템을 손상시키고 데이터에 해를 끼치거나 사용자의 정보를 훔치거나 파괴하는악의적인 목적을 가진 소프트웨어를 말한다. 악성코드는 주로 이메일 첨부 파일, 웹 사이트로 경로로부터 다운로드, 네트워크,USB 드라이브와 같은 이동식 미디어를 통해 시스템으로 확산된다.이는 바이러스, 웜, 트로이 목마, 스파이웨어, 랜섬웨어, 애드웨어 등 다양한 형태의 악성 소프트웨어를 포함한다. 악성 코드의 역사악성코드는 컴퓨터 보안 분야의 중요한 부분이며 컴퓨터와 인터넷이 발전함에 따라 다양하고 고급화된형태로 발전해오고 있다. 컴퓨팅 초창기에는 주로 플로피 디스크나 기타 저장 매체를 통하여 바이러스가 유포되었다.이후 1990년대 윈도우 운영체제의 보급으로 악성코드가 더욱 증가하였다.일명 .. 이전 1 다음
