본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 주세요. 악성코드 분석일지 - corona ddos bot(2) 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요! ICMP입니다! 저번 시간에 이어서 공격 코드를 계속 분석해 보도록 하겠습니다! 1) std_attack __int64 __fastcall std_attack(__int64 a1, unsigned __int16 a2, int a3) { int v3; // ST20_4 _BYTE *v4; // rbx __int64 v5; // rbx __int16 v7; // [rsp+30h] [rbp-40h] ..

4. What is the timezone setting? 수집된 단말기 이미지의 설정된 시간대는 무엇인지 확인하라고 합니다. 설정된 시간대에 따라 사건 타임라인이 달라질 수 있기 때문에 매우 중요한 요소 중 하나죠? 바로 확인해 보도록 하겠습니다. 레지스트리 정보를 통해 시간대 정보를 확인하는 정보는 아래 이글루 시큐리티를 참고하였습니다. One Step Ahead 이글루시큐리티 보안정보 차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다. 전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는 차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다. www.igloosec.co.kr HKLM\SYSTEM\ControlSet00x\Control\TimeZoneInformation 경로에 들어가서 보면 ..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. 악성코드 분석일지 - corona ddos bot(1) 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요, ICMP입니다! 오늘 분석할 멀웨어는 ELF 파일로 디도스 공격을 감행하는 녀석입니다. 다행히도 함수 심볼도 남아있고 난독화나 패킹도 없어 분석 난이도도 높지 않으니 한번 파일을 부검해 보도록 하겠습니다. 1. 파일 정보 이번에 분석하면서 특이했던 점이 gdb로 중단점을 걸어도 먹히질 않고 재밌게도 해커가 분석가들을 욕하는 듯한 문구도 있었습니다!!! 역시, 코드가 멀쩡히 나와서 쉬울 거라 했는..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. 악성코드 분석일지 - AgentTesla(진행 중) 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 이번에 분석해 볼 악성코드는 AgentTesla라는 가짜 메일 위장 악성코드입니다. 악성코드 자체 분석 난도는 높지 않으나 dll 파일을 열고 분석하는 과정에서 많은 난관에 부딪혔습니다. .net 파일 계열을 패킹해 주는 intellilock이라는 방식의 패커가 있는데 이걸 언 패킹하는 기존의 방식을 모두 시도했지만 실패했습니다. 일단 오늘은 제가 분석한 것까지만 포스팅을 진행하도록 하겠습니다. 1. file ..

Questions 1. What are the hash values (MD5 & SHA-1) of all images? Does the acquisition and verification hash value match? 나머지 파일들도 동일한 방식으로 해시값을 확인하였으며, 최초 수집된 시점의 해시값과 지금 다운로드하여 분석하는 시점의 해시값이 같은지 확인하여 파일 변조를 확인하는 문제인 듯합니다. 2. Identify the partition information of PC image. PC 이미지 파일에서 파티션 정보를 분별해라고 합니다. FTK imager로 파티션 정보를 확인해 본 결과 아래와 같습니다. partition 1 size : 100MB, filesystem : NTFS, start s..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. Basic Window Live data collection script 1 (작성 중) 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 현장에 도착하면 대면 조사하기에 앞서 현장 보존이 우선적으로 진행돼야 하고, 마찬가지로 포렌식 작업 진행시 원본 대상의 수정을 최소화하여 증거를 수집해야 합니다. 현장 장비에서 얻을 수 있는 디지털 증거의 타입은 크게 활성 데이터와 비활성 데이터로 나뉩니다. 이번에 제가 작성 중인 쉘 스크립트도 바로 이 활성 데이터들을 추출해 주는 녀석입니다. (물론 수집 항목의 출력 포맷..