본 티스토리 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 주세요. 악성코드 분석일지 - Kimsuky(남북의 창_질의서.doc) 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요, ICMP입니다. 이번에 분석할 악성코드는 국가기관을 겨냥한 북한 위장 메일이며, 문서 악성코드의 경우 대부분 내부 취약점을 이용함과 동시에 공격자의 추가적인 payload 및 정보 탈취를 위해 C2 접속 코드도 내장하고 있는 경우가 많습니다. (공격자 입장에서는 추적이 들어오면 C2 서버만 내리면 간단한 일입니다.) 그럼 한번 정밀 분석을 진행해 보도록 하겠습니다. 1. 수집 파일 정보..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 티스토리 블로그를 이용해 주세요. 악성코드 분석일지 - Info_Stealer 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요, ICMP입니다. 이번에 분석할 악성코드는 정보 탈취에 특화된 RedLine Stealer이며, 단순히 정보 탈취를 넘어서 유출된 정보를 딥웹에 판매하는 정황도 포착되어 상당히 무서운 녀석입니다. 정보 수집되는 항목도 상당히 많고 원격 명령 실행을 위한 기능도 탑재하고 있기 때문에 상당히 위력적이라고 할 수 있습니다. 그럼 부검을 진행해 보도록 하겠습니다. 1. 파일 정보 일단 겉보기에는 아무런 문제가 없..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를이용해 주세요. 악성코드 분석일지 - vbs 스크립트 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요? ICMP입니다! 오늘도 손 좀 풀고자 간단한 악성코드를 들고 왔습니다.개인적으로 분석을 진행하다 보면 윈도우 운영체제 기반과 인젝션, 후킹 구현이 익숙하지 않아 막히는 부분이 상당히 많은 것 같습니다. 특히 cve나 0-day를 이용한다면 더더욱 컴퓨터 공학 지식이 중요한데 아직 공부를 더 해야 하나 봅니다. 자! 그럼 오늘도 한번 분석을 진행해 보도록 하겠습니다. 1. File Information Change ..

본 티스토리 블로그는 PC환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를이용해 주세요. YARA rule - AgentTesla 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요, ICMP입니다! 저번 시간에 위장 문서 에이전트 테슬라를 간략하게나마 분석했는데, 이 녀석이 파일을 드롭하고 또 다른 공격을 감행하는 것으로 확인되었습니다. 엑셀 실행파일의 매개변수가 오염됐다는 크래시가 뜨기도 하고 특정 파일이 실행되기도 했는데 제작자는 MS 오피스 내부적인 취약점도 활용한 것으로 보입니다. 아마 발견 시점으로 봤을 때는 1day 일 가능성이 높지만 제가 생각했던 것보다 상당히 무서운 녀석이었습..

본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 주세요. 악성코드 분석일지 - corona ddos bot(2) 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요! ICMP입니다! 저번 시간에 이어서 공격 코드를 계속 분석해 보도록 하겠습니다! 1) std_attack __int64 __fastcall std_attack(__int64 a1, unsigned __int16 a2, int a3) { int v3; // ST20_4 _BYTE *v4; // rbx __int64 v5; // rbx __int16 v7; // [rsp+30h] [rbp-40h] ..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. 악성코드 분석일지 - corona ddos bot(1) 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요, ICMP입니다! 오늘 분석할 멀웨어는 ELF 파일로 디도스 공격을 감행하는 녀석입니다. 다행히도 함수 심볼도 남아있고 난독화나 패킹도 없어 분석 난이도도 높지 않으니 한번 파일을 부검해 보도록 하겠습니다. 1. 파일 정보 이번에 분석하면서 특이했던 점이 gdb로 중단점을 걸어도 먹히질 않고 재밌게도 해커가 분석가들을 욕하는 듯한 문구도 있었습니다!!! 역시, 코드가 멀쩡히 나와서 쉬울 거라 했는..