악분의 블로그

악성코드 링크: https://app.any.run/tasks/b4381901-3a3b-4055-8304-f0870a8d3c7c/ 프로세스모니터 로그 다운로드 링크: https://drive.google.com/file/d/1CzQG1FTBlQGd7wJU_jwskp2S5lo5Qqsl/view?usp=sharing hybrid-analysis 샌드박스 링크: https://www.hybrid-analysis.com/sample/c5153d6f6c103862f9163814d996f428c4bfe45bed5224d4b21ca239a1ccfcdc?environmentId=110 영상: https://youtu.be/qA5GNwSuqb0 1. 요약 ​ 1.1 한글문서 악성코드 샌드박스 분석 hybrid-analy..

악성코드 링크: https://app.any.run/tasks/b4381901-3a3b-4055-8304-f0870a8d3c7c/ 프로세스모니터 로그 다운로드 링크: https://drive.google.com/file/d/1lWUZROg7r0-zKW8U-0IF-UIokqFgrWrW/view?usp=sharing 사용도구: hwpscan2, ghostscript, ghostscript: https://www.ghostscript.com/download/gsdnld.html 영상링크: https://youtu.be/8JWlf5zk4DI 1. 행위분석 한글문서를 열자마자 바로 악성코드가 실행됩니다. 악성코드의 목적은 인터넷 익스플로러를 실행하고 코드 인젝션을 합니다. gbb.exe와 gswin32c.exe는..

칼리리눅스에 한글설치하는 2가지 방법을 소개합니다. 원하는 방법을 선택해서 설치하시면 됩니다(fcitx 권장) 첫 번째, fcitx 두 번째, ibus 동영상: youtu.be/njsd56jdIkU 설치 공통 칼리 리눅스를 제일 처음 설치하면 저장소* 주소가 등록이 안되어 있습니다. 그러므로 주소를 등록해줘야 원하는 프로그램을 설치할 수 있습니다. *저장소는 설치에 필요한 소스코드 등이 있는 서버라고 생각하시면 됩니다. 저장소 업데이트는 apt update명령어 한줄이면 끝납니다. 다행이도 칼리 리눅스는 주소 설정이 기본적으로 되어 있어서 등록만 시켜주면 됩니다. $ sudo apt update ; 비밀번호: kali 저장소 주소는 /etc/apt/soruces.list에 설정되어 있습니다. 1. 입력기..

악성코드 링크: https://app.any.run/tasks/f4ccef4f-fd41-44f8-898b-0d6874baf8a6 동영상 1편: https://youtu.be/X45Z_jx0nHs 동영상 2편: https://youtu.be/sdPjqHZWwUE 1. 분석 배경 2020.7.7에 토렌트 악성코드가 뉴스에 보도되었고 해당 샘플을 찾을 수 있어 분석을 시작했습니다. 봇넷 백도어 악성코드이지만 공격자에게 명령을 전달받는 부분이 분석이 너무 복잡해 해당 부분은 분석을 포기했습니다. 아쉬운대로 나머지 분석과정을 소개합니다. ​ 2. 요약 2.1 실행 유도 공격자는 영화를 보기 위해서 압축해제 프로그램 실행을 유도합니다. 일종의 피싱 공격이라고 분류 할 수 있겠네요. LOCK.exe를 실행하면 악성코..

악성코드 다운로드 링크: https://app.any.run/tasks/744bb393-ec07-468f-95da-4a4ac5d93dd7/ 뉴스 링크: https://www.bleepingcomputer.com/news/security/malware-adds-anyrun-sandbox-detection-to-evade-analysis/ 유투브 영상: https://youtu.be/qFV_fIwaEzQ 실행중인 환경이 anyrun샌드박스라면 실행되지 않은 악성코드가 뉴스에 보도되었습니다. 악성코드 예제 사이트에 방문하면 "Any.run Detected!"메세지가 출력되면서 악성코드가 실행되지 않습니다. 안타깝게도 공격자 서버가 사라져서 샌드박스 재실행을 해도 에러 메세지를 볼 수 없습니다. 악성코드는 공격..

이번 시간에는 파일을 검색하는 인포스틸러 행위를 살펴봅니다. 최근 정보를 훔치는 인포스틸러 악성코드가 유행함에 따라 파일을 탐색하는 악성행위도 같이 증가했습니다. 인포스틸러는 정보를 훔치는 행위로 중요한 파일을 찾거나 메모리에 있는 정보를 찾습니다. 관련뉴스 1: 브라우저와 암호화폐 지갑에서 정보 탈취하는 새 멀웨어 등장 https://www.boannews.com/media/view.asp?idx=85751&kind=14 관련뉴스 2: 미수신 택배 관련 가짜 메시지를 통해 확산되는 안드로이드 데이터 스틸링 악성코드 https://blog.alyac.co.kr/3098 관련뉴스 3: 인포스틸러(정보탈취) 악성코드가 55.9%로 1위 차지 https://www.boannews.com/media/view.a..