악분의 블로그

※ 악성코드 링크: https://app.any.run/tasks/26f5199f-196c-4531-a6d6-adb2177ff690/ ※ 프로세스모니터 로그 링크: https://drive.google.com/file/d/1FAkY-53Wo2GrjRuXC0vwGQcIeddtlU6b/view?usp=sharing ※ 영상: https://youtu.be/UkkhbjYd4fk 1. 요약 ​ 1.1 악성코드를 실행하기 위한 다양한 포맷사용 코발트 스트라이크를 실행하기 위해 총 3번의 과정을 거칩니다. 공격자 서버의 악성코드 jar파일을 실행하기 위해 jnlp파일을 이용했습니다. jar파일은 악성코드 exe파일을 실행하고 마지막으로 코발트 스트라이크를 실행하기 위해 파워쉘을 실행합니다. ​ 1.2 알수없는 회피..

5번만에 합격했습니다. 매 시험 1주일 전부터 벼락치기 했었는데 드디어 합격했었네요. ​ 1회차 때 알기사 인강을 들었지만 저에게 안맞아서 약 20%정도 듣고 이 후로는 안들었습니다. 대신 알기사 책과 기출문제만 계속해서 봤습니다. ※ 인강이 저에게 안맞은 이유는 설명이 매우 자세하지만 시험에 안나오는 배경지식 설명이 너무 많다고 생각했습니다. ​ ​ ​

악성코드 링크: https://app.any.run/tasks/ec017a04-8621-493c-87e4-76604afe2fc0/ 프로세스 모니터 다운로드 링크: https://drive.google.com/file/d/1zGIHbepYWW3JJ_QfT75srDi9K-kHB5Z6/view?usp=sharing 동영상 1편: https://youtu.be/NTpUh15SJ8A, 2편: https://youtu.be/2Nn3Ki_Fmak ​ 1. 요약 ​ 이번 시간에는 호크아이 악성코드가 특정 도구를 사용해서 정보를 탈취하는 과정에 대해 살펴봅니다. * .NET 악성코드 분석 경험이 적어 완벽히 분석을 하지 못했습니다. ​ 1.1 Nirsoft도구를 사용하여 인증정보 탈취 호크아이(HawkEye) 악성코드는..

anyrun샌드박스는 악성코드를 직접 실행하고 행위들을 보고서로 생성합니다. 많은 행위를 관찰하고 싶으면 월정액을 결제해야 하지만 무료 기능으로도 많은 정보를 볼 수 있습니다. 1. 다른 사람이 실행한 악성코드 분석보고서 목록 보기 ​ 메인 페이지 왼쪽 상단에 있는 Public tasks를 클릭하면 다른 사람이 anyrun샌드박스에서 실행한 결과를 볼 수 있습니다. ​ 다른 사람의 실행결과는 보고서 생성 날짜를 기준으로 표로 정렬되어 있습니다. 표의 제일 왼쪽에는 보고서 생성 날짜와 실행한 운영체제의 버전이 표시됩니다. 무료계정은 윈도우 7 32bit만 사용가능합니다. 다음 열에는 anyrun샌드박스가 의심스러운 행위를 발견하면 빨간색 박스로 표시합니다. 무조건 빨간색 박스가 있다고 해서 악성코드라고 의..

1. 샌드박스란? ​샌드박스(SandBox)란 가상PC에 악성코드를 실행하고 행위를 기록하는 시뮬레이션 도구입니다. ​ 실제로 사용하고 있는 PC에 악성코드를 사용하면 감염이 됩니다. 이 문제를 해결하기 위해 감염이 되어도 상관없는 가상PC가 나오게 되었습니다. 샌드박스는 가상PC를 기반으로 만들어진 프로그램으로 악성코드가 가상PC에 실행하면서 변화되는 행위를 자동으로 기록을 남기고 분석합니다. 각 백신기업은 샌드박스 프로그램을 구현한 제품이 있습니다. ​ 2. 백신기업이 샌드박스를 공개하지 않은 이유 ​ 백신기업 샌드박스는 공개가 되어 있지 않으므로 일반인은 사용할 수 없습니다. 공개하지 않은 이유는 회사의 밥벌이인 이유도 있지만 공개되면 악성코드 개발자가 샌드박스를 분석하고 탐지를 회피하는 악성코드를..

악성코드 링크: https://app.any.run/tasks/b4381901-3a3b-4055-8304-f0870a8d3c7c/ 프로세스모니터 로그 다운로드 링크: https://drive.google.com/file/d/1CzQG1FTBlQGd7wJU_jwskp2S5lo5Qqsl/view?usp=sharing hybrid-analysis 샌드박스 링크: https://www.hybrid-analysis.com/sample/c5153d6f6c103862f9163814d996f428c4bfe45bed5224d4b21ca239a1ccfcdc?environmentId=110 영상: https://youtu.be/qA5GNwSuqb0 1. 요약 ​ 1.1 한글문서 악성코드 샌드박스 분석 hybrid-analy..

악성코드 링크: https://app.any.run/tasks/b4381901-3a3b-4055-8304-f0870a8d3c7c/ 프로세스모니터 로그 다운로드 링크: https://drive.google.com/file/d/1lWUZROg7r0-zKW8U-0IF-UIokqFgrWrW/view?usp=sharing 사용도구: hwpscan2, ghostscript, ghostscript: https://www.ghostscript.com/download/gsdnld.html 영상링크: https://youtu.be/8JWlf5zk4DI 1. 행위분석 한글문서를 열자마자 바로 악성코드가 실행됩니다. 악성코드의 목적은 인터넷 익스플로러를 실행하고 코드 인젝션을 합니다. gbb.exe와 gswin32c.exe는..

칼리리눅스에 한글설치하는 2가지 방법을 소개합니다. 원하는 방법을 선택해서 설치하시면 됩니다(fcitx 권장) 첫 번째, fcitx 두 번째, ibus 동영상: youtu.be/njsd56jdIkU 설치 공통 칼리 리눅스를 제일 처음 설치하면 저장소* 주소가 등록이 안되어 있습니다. 그러므로 주소를 등록해줘야 원하는 프로그램을 설치할 수 있습니다. *저장소는 설치에 필요한 소스코드 등이 있는 서버라고 생각하시면 됩니다. 저장소 업데이트는 apt update명령어 한줄이면 끝납니다. 다행이도 칼리 리눅스는 주소 설정이 기본적으로 되어 있어서 등록만 시켜주면 됩니다. $ sudo apt update ; 비밀번호: kali 저장소 주소는 /etc/apt/soruces.list에 설정되어 있습니다. 1. 입력기..

악성코드 링크: https://app.any.run/tasks/f4ccef4f-fd41-44f8-898b-0d6874baf8a6 동영상 1편: https://youtu.be/X45Z_jx0nHs 동영상 2편: https://youtu.be/sdPjqHZWwUE 1. 분석 배경 2020.7.7에 토렌트 악성코드가 뉴스에 보도되었고 해당 샘플을 찾을 수 있어 분석을 시작했습니다. 봇넷 백도어 악성코드이지만 공격자에게 명령을 전달받는 부분이 분석이 너무 복잡해 해당 부분은 분석을 포기했습니다. 아쉬운대로 나머지 분석과정을 소개합니다. ​ 2. 요약 2.1 실행 유도 공격자는 영화를 보기 위해서 압축해제 프로그램 실행을 유도합니다. 일종의 피싱 공격이라고 분류 할 수 있겠네요. LOCK.exe를 실행하면 악성코..

악성코드 다운로드 링크: https://app.any.run/tasks/744bb393-ec07-468f-95da-4a4ac5d93dd7/ 뉴스 링크: https://www.bleepingcomputer.com/news/security/malware-adds-anyrun-sandbox-detection-to-evade-analysis/ 유투브 영상: https://youtu.be/qFV_fIwaEzQ 실행중인 환경이 anyrun샌드박스라면 실행되지 않은 악성코드가 뉴스에 보도되었습니다. 악성코드 예제 사이트에 방문하면 "Any.run Detected!"메세지가 출력되면서 악성코드가 실행되지 않습니다. 안타깝게도 공격자 서버가 사라져서 샌드박스 재실행을 해도 에러 메세지를 볼 수 없습니다. 악성코드는 공격..