악분의 블로그

악성코드 링크: https://app.any.run/tasks/f4ccef4f-fd41-44f8-898b-0d6874baf8a6 동영상 1편: https://youtu.be/X45Z_jx0nHs 동영상 2편: https://youtu.be/sdPjqHZWwUE 1. 분석 배경 2020.7.7에 토렌트 악성코드가 뉴스에 보도되었고 해당 샘플을 찾을 수 있어 분석을 시작했습니다. 봇넷 백도어 악성코드이지만 공격자에게 명령을 전달받는 부분이 분석이 너무 복잡해 해당 부분은 분석을 포기했습니다. 아쉬운대로 나머지 분석과정을 소개합니다. ​ 2. 요약 2.1 실행 유도 공격자는 영화를 보기 위해서 압축해제 프로그램 실행을 유도합니다. 일종의 피싱 공격이라고 분류 할 수 있겠네요. LOCK.exe를 실행하면 악성코..

악성코드 다운로드 링크: https://app.any.run/tasks/744bb393-ec07-468f-95da-4a4ac5d93dd7/ 뉴스 링크: https://www.bleepingcomputer.com/news/security/malware-adds-anyrun-sandbox-detection-to-evade-analysis/ 유투브 영상: https://youtu.be/qFV_fIwaEzQ 실행중인 환경이 anyrun샌드박스라면 실행되지 않은 악성코드가 뉴스에 보도되었습니다. 악성코드 예제 사이트에 방문하면 "Any.run Detected!"메세지가 출력되면서 악성코드가 실행되지 않습니다. 안타깝게도 공격자 서버가 사라져서 샌드박스 재실행을 해도 에러 메세지를 볼 수 없습니다. 악성코드는 공격..

신용어신용어 1~2문제가 꾸준히 나왔었다. 마지막 보안기사 신용어는 DDE였으며 다행히 맞았다. 이번 보안기사는1. 악성코드가 쪽이 나오면 인포스틸러, asmi, wasm, vba stomping가 나오지 않을까?2. 사회이슈라면 재택근무와 관련된 VDI 또는 RDS(원격 데스크톱 서비스), MFA(다중인증)이 나오지 않을까?3. 취약점이라면 블루킵이 나오지 않을까?4. 사업분야라면 마이데이터, 블록체인요소, 인공지능:딥페이크가 나오지 않을까? 이외ISMS, ISO, CC 중 1개전자서명, 암호 알고리즘 1개VPN, SSL/TLS 중 1개snort, iptables 중 1개리눅스 로그, 윈도우 로그 중 1개위험관리, 정보보호 대책 1개클라우드 1문제 iam, eam 보안 솔루션, 특히 해킹메일증가로 스팸..

이번 시간에는 파일을 검색하는 인포스틸러 행위를 살펴봅니다. 최근 정보를 훔치는 인포스틸러 악성코드가 유행함에 따라 파일을 탐색하는 악성행위도 같이 증가했습니다. 인포스틸러는 정보를 훔치는 행위로 중요한 파일을 찾거나 메모리에 있는 정보를 찾습니다. 관련뉴스 1: 브라우저와 암호화폐 지갑에서 정보 탈취하는 새 멀웨어 등장 https://www.boannews.com/media/view.asp?idx=85751&kind=14 관련뉴스 2: 미수신 택배 관련 가짜 메시지를 통해 확산되는 안드로이드 데이터 스틸링 악성코드 https://blog.alyac.co.kr/3098 관련뉴스 3: 인포스틸러(정보탈취) 악성코드가 55.9%로 1위 차지 https://www.boannews.com/media/view.a..

안녕하세요. 이번시간에는 악성코드가 파일을 삭제할 때 발생하는 이벤트를 분석합니다. ​ 파일삭제 행위는 크게 3가지 이유가 있습니다. 1) 악성코드를 발견하지 못하도록 악성코드 삭제 2) 악성행위 중에 임시로 생성한 파일 삭제 3) 어플리케이션 또는 시스템에 영향을 주기 위해 중요한 파일 삭제 ​ 안타깝게도 쉬운예제를 찾으려고 했으나 2번과 3번은 찾지 못했습니다. 아쉬운대로 1번 상황에 맞는 예제를 살펴보도록 하겠습니다. Notion에서 작성한 글이 더 보기 편합니다. Notion 링크: https://www.notion.so/6057fce82e984d098b5d7dc77060e3c0 1. anyrun 샌드박스에서 파일삭제 분석 악성코드는 한 번 실행되면 흔적을 지우려고 합니다. 대표적인 예가 악성코드..

안녕하세요. 이번 시간에 다룰 내용은 njrat악성코드에서 생성한 파일이 실행되는 이벤트를 분석합니다. 3번째 예제와 동일한 주제이지만 요즘 유행하고 있는 악성코드를 소개하고자 njrat를 선택했습니다. 실습은 애니런샌드박스로만 사용합니다. 2020.6.16~6.23일 기간동안 가장 활발히 활동한 악성코드 중 4번째가 njrat라고 합니다. 출처: https://www.boannews.com/media/view.asp?idx=89172 영상은 https://tv.naver.com/v/14448610 에서 보실 수 있습니다. [악성코드 분석 입문] 예제4 - njrat 파일 생성 이벤트 분석 악분 | 안녕하세요. 이번 시간에는 3번째 예제와 같은 주제인 "생성한 파일이 실행되었는지" 분석하는 시간입니다. ..