악분의 블로그

악성코드 링크: https://app.any.run/tasks/ec017a04-8621-493c-87e4-76604afe2fc0/ 프로세스 모니터 다운로드 링크: https://drive.google.com/file/d/1zGIHbepYWW3JJ_QfT75srDi9K-kHB5Z6/view?usp=sharing 동영상 1편: https://youtu.be/NTpUh15SJ8A, 2편: https://youtu.be/2Nn3Ki_Fmak ​ 1. 요약 ​ 이번 시간에는 호크아이 악성코드가 특정 도구를 사용해서 정보를 탈취하는 과정에 대해 살펴봅니다. * .NET 악성코드 분석 경험이 적어 완벽히 분석을 하지 못했습니다. ​ 1.1 Nirsoft도구를 사용하여 인증정보 탈취 호크아이(HawkEye) 악성코드는..

anyrun샌드박스는 악성코드를 직접 실행하고 행위들을 보고서로 생성합니다. 많은 행위를 관찰하고 싶으면 월정액을 결제해야 하지만 무료 기능으로도 많은 정보를 볼 수 있습니다. 1. 다른 사람이 실행한 악성코드 분석보고서 목록 보기 ​ 메인 페이지 왼쪽 상단에 있는 Public tasks를 클릭하면 다른 사람이 anyrun샌드박스에서 실행한 결과를 볼 수 있습니다. ​ 다른 사람의 실행결과는 보고서 생성 날짜를 기준으로 표로 정렬되어 있습니다. 표의 제일 왼쪽에는 보고서 생성 날짜와 실행한 운영체제의 버전이 표시됩니다. 무료계정은 윈도우 7 32bit만 사용가능합니다. 다음 열에는 anyrun샌드박스가 의심스러운 행위를 발견하면 빨간색 박스로 표시합니다. 무조건 빨간색 박스가 있다고 해서 악성코드라고 의..

1. 샌드박스란? ​샌드박스(SandBox)란 가상PC에 악성코드를 실행하고 행위를 기록하는 시뮬레이션 도구입니다. ​ 실제로 사용하고 있는 PC에 악성코드를 사용하면 감염이 됩니다. 이 문제를 해결하기 위해 감염이 되어도 상관없는 가상PC가 나오게 되었습니다. 샌드박스는 가상PC를 기반으로 만들어진 프로그램으로 악성코드가 가상PC에 실행하면서 변화되는 행위를 자동으로 기록을 남기고 분석합니다. 각 백신기업은 샌드박스 프로그램을 구현한 제품이 있습니다. ​ 2. 백신기업이 샌드박스를 공개하지 않은 이유 ​ 백신기업 샌드박스는 공개가 되어 있지 않으므로 일반인은 사용할 수 없습니다. 공개하지 않은 이유는 회사의 밥벌이인 이유도 있지만 공개되면 악성코드 개발자가 샌드박스를 분석하고 탐지를 회피하는 악성코드를..

악성코드 링크: https://app.any.run/tasks/b4381901-3a3b-4055-8304-f0870a8d3c7c/ 프로세스모니터 로그 다운로드 링크: https://drive.google.com/file/d/1CzQG1FTBlQGd7wJU_jwskp2S5lo5Qqsl/view?usp=sharing hybrid-analysis 샌드박스 링크: https://www.hybrid-analysis.com/sample/c5153d6f6c103862f9163814d996f428c4bfe45bed5224d4b21ca239a1ccfcdc?environmentId=110 영상: https://youtu.be/qA5GNwSuqb0 1. 요약 ​ 1.1 한글문서 악성코드 샌드박스 분석 hybrid-analy..

악성코드 링크: https://app.any.run/tasks/b4381901-3a3b-4055-8304-f0870a8d3c7c/ 프로세스모니터 로그 다운로드 링크: https://drive.google.com/file/d/1lWUZROg7r0-zKW8U-0IF-UIokqFgrWrW/view?usp=sharing 사용도구: hwpscan2, ghostscript, ghostscript: https://www.ghostscript.com/download/gsdnld.html 영상링크: https://youtu.be/8JWlf5zk4DI 1. 행위분석 한글문서를 열자마자 바로 악성코드가 실행됩니다. 악성코드의 목적은 인터넷 익스플로러를 실행하고 코드 인젝션을 합니다. gbb.exe와 gswin32c.exe는..

칼리리눅스에 한글설치하는 2가지 방법을 소개합니다. 원하는 방법을 선택해서 설치하시면 됩니다(fcitx 권장) 첫 번째, fcitx 두 번째, ibus 동영상: youtu.be/njsd56jdIkU 설치 공통 칼리 리눅스를 제일 처음 설치하면 저장소* 주소가 등록이 안되어 있습니다. 그러므로 주소를 등록해줘야 원하는 프로그램을 설치할 수 있습니다. *저장소는 설치에 필요한 소스코드 등이 있는 서버라고 생각하시면 됩니다. 저장소 업데이트는 apt update명령어 한줄이면 끝납니다. 다행이도 칼리 리눅스는 주소 설정이 기본적으로 되어 있어서 등록만 시켜주면 됩니다. $ sudo apt update ; 비밀번호: kali 저장소 주소는 /etc/apt/soruces.list에 설정되어 있습니다. 1. 입력기..