본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. ostep-reverse : reverse 명령어 구현 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 운영체제 기능 중 하나인 reverse 명령어를 구현해 보도록 하겠습니다. 명령어의 기능은 입력된 파일을 열어서 역순으로 출력해 주는 것입니다. 단, 개행문자 기준으로 역순 출력해야 하며, 모든 내응을 반전시켜서는 안됩니다. input file output file asdf0 asdf1 asdf2 asdf3 asdf3 asdf2 asdf1 asdf0 이 기능을 구현하는 방식은 제가 생각하기론 스택, 파일 포..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 티스토리 블로그를 이용해 주세요. 악성코드 분석일지 - Info_Stealer 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요, ICMP입니다. 이번에 분석할 악성코드는 정보 탈취에 특화된 RedLine Stealer이며, 단순히 정보 탈취를 넘어서 유출된 정보를 딥웹에 판매하는 정황도 포착되어 상당히 무서운 녀석입니다. 정보 수집되는 항목도 상당히 많고 원격 명령 실행을 위한 기능도 탑재하고 있기 때문에 상당히 위력적이라고 할 수 있습니다. 그럼 부검을 진행해 보도록 하겠습니다. 1. 파일 정보 일단 겉보기에는 아무런 문제가 없..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를 이용해 주세요. ICMP의 블로그 : 네이버 블로그 사이버 보안에 관심이 많은 ICMP입니다. 우리 서로 보안에 관한 다양한 주제로 이야기를 나누어 봅시다. blog.naver.com 운영체제 명령어 cat을 구현해 보도록 하겠습니다. (본 사이트에서는 wcat이라고 이름을 지었으므로 이 이름으로 따라가겠습니다.) 해당 명령어가 처리해야 할 기능과 예외 처리 부분은 아래 링크에 모두 설명되어 있으며, unix에서 구현된 명령어와는 다른 부분이 존재합니다. GitHub - remzi-arpacidusseau/ostep-projects: Projects for an undergraduate OS course Pro..

본 티스토리 블로그는 PC 환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를이용해 주세요. 악성코드 분석일지 - vbs 스크립트 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요? ICMP입니다! 오늘도 손 좀 풀고자 간단한 악성코드를 들고 왔습니다.개인적으로 분석을 진행하다 보면 윈도우 운영체제 기반과 인젝션, 후킹 구현이 익숙하지 않아 막히는 부분이 상당히 많은 것 같습니다. 특히 cve나 0-day를 이용한다면 더더욱 컴퓨터 공학 지식이 중요한데 아직 공부를 더 해야 하나 봅니다. 자! 그럼 오늘도 한번 분석을 진행해 보도록 하겠습니다. 1. File Information Change ..

본 티스토리 블로그는 PC 환경에최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를이용해 주세요. SPAM - basic analysis 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 예전에 핸드폰 기종을 바꾸면서 전화번호를 바꾼 적이 있었는데 여기저기 팔려 다녔던 것인지 알 수 없는 스팸 메시지가 와서 골머리를 썩고 있습니다... 그나마 국내 전화면 다행이지만 국제 전화로 오면 차단을 해도 계속해서 오고, 계속 링크도 같이 보내고 있어서 한번 간단하게 분석해볼 까 합니다. 1. 메시지 내역 대부분 어떤 url을 보내는데, 특이하게도 한글로 작성되었음을 알 수 있습니다. 일단 해당 url을 그냥 접속하면 위..

본 티스토리 블로그는 PC환경에 최적화되어 있습니다. 모바일 유저분들은 아래 네이버 블로그를이용해 주세요. YARA rule - AgentTesla 본 네이버 블로그는 모바일 환경에 최적화되어 있습니다. PC 유저분들은 아래 티스토리 블로그를 이용해 ... blog.naver.com 안녕하세요, ICMP입니다! 저번 시간에 위장 문서 에이전트 테슬라를 간략하게나마 분석했는데, 이 녀석이 파일을 드롭하고 또 다른 공격을 감행하는 것으로 확인되었습니다. 엑셀 실행파일의 매개변수가 오염됐다는 크래시가 뜨기도 하고 특정 파일이 실행되기도 했는데 제작자는 MS 오피스 내부적인 취약점도 활용한 것으로 보입니다. 아마 발견 시점으로 봤을 때는 1day 일 가능성이 높지만 제가 생각했던 것보다 상당히 무서운 녀석이었습..