본 티스토리 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 주세요. 악성코드 분석일지 - Kimsuky(남북의 창_질의서.doc) 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요, ICMP입니다. 이번에 분석할 악성코드는 국가기관을 겨냥한 북한 위장 메일이며, 문서 악성코드의 경우 대부분 내부 취약점을 이용함과 동시에 공격자의 추가적인 payload 및 정보 탈취를 위해 C2 접속 코드도 내장하고 있는 경우가 많습니다. (공격자 입장에서는 추적이 들어오면 C2 서버만 내리면 간단한 일입니다.) 그럼 한번 정밀 분석을 진행해 보도록 하겠습니다. 1. 수집 파일 정보..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 티스토리 블로그를 이용해 주세요. 악성코드 분석일지 - Info_Stealer 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요, ICMP입니다. 이번에 분석할 악성코드는 정보 탈취에 특화된 RedLine Stealer이며, 단순히 정보 탈취를 넘어서 유출된 정보를 딥웹에 판매하는 정황도 포착되어 상당히 무서운 녀석입니다. 정보 수집되는 항목도 상당히 많고 원격 명령 실행을 위한 기능도 탑재하고 있기 때문에 상당히 위력적이라고 할 수 있습니다. 그럼 부검을 진행해 보도록 하겠습니다. 1. 파일 정보 일단 겉보기에는 아무런 문제가 없..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를이용해 주세요. 악성코드 분석일지 - vbs 스크립트 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요? ICMP입니다! 오늘도 손 좀 풀고자 간단한 악성코드를 들고 왔습니다.개인적으로 분석을 진행하다 보면 윈도우 운영체제 기반과 인젝션, 후킹 구현이 익숙하지 않아 막히는 부분이 상당히 많은 것 같습니다. 특히 cve나 0-day를 이용한다면 더더욱 컴퓨터 공학 지식이 중요한데 아직 공부를 더 해야 하나 봅니다. 자! 그럼 오늘도 한번 분석을 진행해 보도록 하겠습니다. 1. File Information Change ..

본 티스토리 블로그는 PC 환경에최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를이용해 주세요. SPAM - basic analysis 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 예전에 핸드폰 기종을 바꾸면서 전화번호를 바꾼 적이 있었는데 여기저기 팔려 다녔던 것인지 알 수 없는 스팸 메시지가 와서 골머리를 썩고 있습니다... 그나마 국내 전화면 다행이지만 국제 전화로 오면 차단을 해도 계속해서 오고, 계속 링크도 같이 보내고 있어서 한번 간단하게 분석해볼 까 합니다. 1. 메시지 내역 대부분 어떤 url을 보내는데, 특이하게도 한글로 작성되었음을 알 수 있습니다. 일단 해당 url을 그냥 접속하면 위..

본 티스토리 블로그는 PC환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를이용해 주세요. YARA rule - AgentTesla 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요, ICMP입니다! 저번 시간에 위장 문서 에이전트 테슬라를 간략하게나마 분석했는데, 이 녀석이 파일을 드롭하고 또 다른 공격을 감행하는 것으로 확인되었습니다. 엑셀 실행파일의 매개변수가 오염됐다는 크래시가 뜨기도 하고 특정 파일이 실행되기도 했는데 제작자는 MS 오피스 내부적인 취약점도 활용한 것으로 보입니다. 아마 발견 시점으로 봤을 때는 1day 일 가능성이 높지만 제가 생각했던 것보다 상당히 무서운 녀석이었습..

본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 주세요. 악성코드 분석일지 - corona ddos bot(2) 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요! ICMP입니다! 저번 시간에 이어서 공격 코드를 계속 분석해 보도록 하겠습니다! 1) std_attack __int64 __fastcall std_attack(__int64 a1, unsigned __int16 a2, int a3) { int v3; // ST20_4 _BYTE *v4; // rbx __int64 v5; // rbx __int16 v7; // [rsp+30h] [rbp-40h] ..