악분의 블로그

※ anyrun 샌드박스 링크: https://app.any.run/tasks/4a0c5896-8686-47e7-9ee9-515cbc051e45/ ※ cape샌드박스 링크: https://capesandbox.com/submit/status/37168/ ※ 영상: https://youtu.be/ZDpvck1RKkg 1. 요약 비트코인 주소를 복사-붙여넣기로 전송하면 공격자에게 비트코인을 전송하는 악성코드입니다. 비트코인 주소는 34글자이므로 대부분 사람들은 복사-붙여넣기를 사용합니다. 악성코드 이것을 이용해서 복사한 순간 공격자 비트코인 주소로 변경하는 원리입니다. ​ 1.1 구현 방식: 클립보드 모니터링 악성코드는 AddClipboardFormatListenerAPI를 사용해서 클립보드를 관리하고 비트..

안랩에서 여러 개의 웨비나를 올렸는데요. 악성코드와 침해사고 분석에 관련된 영상이 많습니다. 그 중 Fileless공격을 설명하는 좋은 영상이 있어 소개합니다. ​ https://youtu.be/Y_e1oZUWaZI ​ 영상에서는 백신탐지를 우회하기 위해 Fileless공격이 2016년 부터 증가한다고 설명합니다. 분석할 파일 대상이 없어 백신탐지를 회피하기 쉽다고 부연설명을 합니다. 또 다른 Fileless가 증가할 수 있었던 이유인 파워쉘(powershell)에 대한 설명과 시연도 있었습니다. ​ Fileless 탐지를 위해 포렌식을 응용하고 있다고 하는데요. 악성코드가 실행한 흔적을 남기는 로그를 분석한다고 언급합니다. 대표적인 도구가 윈도우 이벤트와 sysmon이 있습니다.

※ 악성코드 링크: https://app.any.run/tasks/26f5199f-196c-4531-a6d6-adb2177ff690/ ※ 프로세스모니터 로그 링크: https://drive.google.com/file/d/1FAkY-53Wo2GrjRuXC0vwGQcIeddtlU6b/view?usp=sharing ※ 영상: https://youtu.be/UkkhbjYd4fk 1. 요약 ​ 1.1 악성코드를 실행하기 위한 다양한 포맷사용 코발트 스트라이크를 실행하기 위해 총 3번의 과정을 거칩니다. 공격자 서버의 악성코드 jar파일을 실행하기 위해 jnlp파일을 이용했습니다. jar파일은 악성코드 exe파일을 실행하고 마지막으로 코발트 스트라이크를 실행하기 위해 파워쉘을 실행합니다. ​ 1.2 알수없는 회피..

악성코드 링크: https://app.any.run/tasks/ec017a04-8621-493c-87e4-76604afe2fc0/ 프로세스 모니터 다운로드 링크: https://drive.google.com/file/d/1zGIHbepYWW3JJ_QfT75srDi9K-kHB5Z6/view?usp=sharing 동영상 1편: https://youtu.be/NTpUh15SJ8A, 2편: https://youtu.be/2Nn3Ki_Fmak ​ 1. 요약 ​ 이번 시간에는 호크아이 악성코드가 특정 도구를 사용해서 정보를 탈취하는 과정에 대해 살펴봅니다. * .NET 악성코드 분석 경험이 적어 완벽히 분석을 하지 못했습니다. ​ 1.1 Nirsoft도구를 사용하여 인증정보 탈취 호크아이(HawkEye) 악성코드는..

anyrun샌드박스는 악성코드를 직접 실행하고 행위들을 보고서로 생성합니다. 많은 행위를 관찰하고 싶으면 월정액을 결제해야 하지만 무료 기능으로도 많은 정보를 볼 수 있습니다. 1. 다른 사람이 실행한 악성코드 분석보고서 목록 보기 ​ 메인 페이지 왼쪽 상단에 있는 Public tasks를 클릭하면 다른 사람이 anyrun샌드박스에서 실행한 결과를 볼 수 있습니다. ​ 다른 사람의 실행결과는 보고서 생성 날짜를 기준으로 표로 정렬되어 있습니다. 표의 제일 왼쪽에는 보고서 생성 날짜와 실행한 운영체제의 버전이 표시됩니다. 무료계정은 윈도우 7 32bit만 사용가능합니다. 다음 열에는 anyrun샌드박스가 의심스러운 행위를 발견하면 빨간색 박스로 표시합니다. 무조건 빨간색 박스가 있다고 해서 악성코드라고 의..

1. 샌드박스란? ​샌드박스(SandBox)란 가상PC에 악성코드를 실행하고 행위를 기록하는 시뮬레이션 도구입니다. ​ 실제로 사용하고 있는 PC에 악성코드를 사용하면 감염이 됩니다. 이 문제를 해결하기 위해 감염이 되어도 상관없는 가상PC가 나오게 되었습니다. 샌드박스는 가상PC를 기반으로 만들어진 프로그램으로 악성코드가 가상PC에 실행하면서 변화되는 행위를 자동으로 기록을 남기고 분석합니다. 각 백신기업은 샌드박스 프로그램을 구현한 제품이 있습니다. ​ 2. 백신기업이 샌드박스를 공개하지 않은 이유 ​ 백신기업 샌드박스는 공개가 되어 있지 않으므로 일반인은 사용할 수 없습니다. 공개하지 않은 이유는 회사의 밥벌이인 이유도 있지만 공개되면 악성코드 개발자가 샌드박스를 분석하고 탐지를 회피하는 악성코드를..