악분의 블로그

1. 샌드박스란? ​샌드박스(SandBox)란 가상PC에 악성코드를 실행하고 행위를 기록하는 시뮬레이션 도구입니다. ​ 실제로 사용하고 있는 PC에 악성코드를 사용하면 감염이 됩니다. 이 문제를 해결하기 위해 감염이 되어도 상관없는 가상PC가 나오게 되었습니다. 샌드박스는 가상PC를 기반으로 만들어진 프로그램으로 악성코드가 가상PC에 실행하면서 변화되는 행위를 자동으로 기록을 남기고 분석합니다. 각 백신기업은 샌드박스 프로그램을 구현한 제품이 있습니다. ​ 2. 백신기업이 샌드박스를 공개하지 않은 이유 ​ 백신기업 샌드박스는 공개가 되어 있지 않으므로 일반인은 사용할 수 없습니다. 공개하지 않은 이유는 회사의 밥벌이인 이유도 있지만 공개되면 악성코드 개발자가 샌드박스를 분석하고 탐지를 회피하는 악성코드를..

악성코드 링크: https://app.any.run/tasks/b4381901-3a3b-4055-8304-f0870a8d3c7c/ 프로세스모니터 로그 다운로드 링크: https://drive.google.com/file/d/1CzQG1FTBlQGd7wJU_jwskp2S5lo5Qqsl/view?usp=sharing hybrid-analysis 샌드박스 링크: https://www.hybrid-analysis.com/sample/c5153d6f6c103862f9163814d996f428c4bfe45bed5224d4b21ca239a1ccfcdc?environmentId=110 영상: https://youtu.be/qA5GNwSuqb0 1. 요약 ​ 1.1 한글문서 악성코드 샌드박스 분석 hybrid-analy..

악성코드 링크: https://app.any.run/tasks/b4381901-3a3b-4055-8304-f0870a8d3c7c/ 프로세스모니터 로그 다운로드 링크: https://drive.google.com/file/d/1lWUZROg7r0-zKW8U-0IF-UIokqFgrWrW/view?usp=sharing 사용도구: hwpscan2, ghostscript, ghostscript: https://www.ghostscript.com/download/gsdnld.html 영상링크: https://youtu.be/8JWlf5zk4DI 1. 행위분석 한글문서를 열자마자 바로 악성코드가 실행됩니다. 악성코드의 목적은 인터넷 익스플로러를 실행하고 코드 인젝션을 합니다. gbb.exe와 gswin32c.exe는..

칼리리눅스에 한글설치하는 2가지 방법을 소개합니다. 원하는 방법을 선택해서 설치하시면 됩니다(fcitx 권장) 첫 번째, fcitx 두 번째, ibus 동영상: youtu.be/njsd56jdIkU 설치 공통 칼리 리눅스를 제일 처음 설치하면 저장소* 주소가 등록이 안되어 있습니다. 그러므로 주소를 등록해줘야 원하는 프로그램을 설치할 수 있습니다. *저장소는 설치에 필요한 소스코드 등이 있는 서버라고 생각하시면 됩니다. 저장소 업데이트는 apt update명령어 한줄이면 끝납니다. 다행이도 칼리 리눅스는 주소 설정이 기본적으로 되어 있어서 등록만 시켜주면 됩니다. $ sudo apt update ; 비밀번호: kali 저장소 주소는 /etc/apt/soruces.list에 설정되어 있습니다. 1. 입력기..

악성코드 링크: https://app.any.run/tasks/f4ccef4f-fd41-44f8-898b-0d6874baf8a6 동영상 1편: https://youtu.be/X45Z_jx0nHs 동영상 2편: https://youtu.be/sdPjqHZWwUE 1. 분석 배경 2020.7.7에 토렌트 악성코드가 뉴스에 보도되었고 해당 샘플을 찾을 수 있어 분석을 시작했습니다. 봇넷 백도어 악성코드이지만 공격자에게 명령을 전달받는 부분이 분석이 너무 복잡해 해당 부분은 분석을 포기했습니다. 아쉬운대로 나머지 분석과정을 소개합니다. ​ 2. 요약 2.1 실행 유도 공격자는 영화를 보기 위해서 압축해제 프로그램 실행을 유도합니다. 일종의 피싱 공격이라고 분류 할 수 있겠네요. LOCK.exe를 실행하면 악성코..

악성코드 다운로드 링크: https://app.any.run/tasks/744bb393-ec07-468f-95da-4a4ac5d93dd7/ 뉴스 링크: https://www.bleepingcomputer.com/news/security/malware-adds-anyrun-sandbox-detection-to-evade-analysis/ 유투브 영상: https://youtu.be/qFV_fIwaEzQ 실행중인 환경이 anyrun샌드박스라면 실행되지 않은 악성코드가 뉴스에 보도되었습니다. 악성코드 예제 사이트에 방문하면 "Any.run Detected!"메세지가 출력되면서 악성코드가 실행되지 않습니다. 안타깝게도 공격자 서버가 사라져서 샌드박스 재실행을 해도 에러 메세지를 볼 수 없습니다. 악성코드는 공격..

신용어신용어 1~2문제가 꾸준히 나왔었다. 마지막 보안기사 신용어는 DDE였으며 다행히 맞았다. 이번 보안기사는1. 악성코드가 쪽이 나오면 인포스틸러, asmi, wasm, vba stomping가 나오지 않을까?2. 사회이슈라면 재택근무와 관련된 VDI 또는 RDS(원격 데스크톱 서비스), MFA(다중인증)이 나오지 않을까?3. 취약점이라면 블루킵이 나오지 않을까?4. 사업분야라면 마이데이터, 블록체인요소, 인공지능:딥페이크가 나오지 않을까? 이외ISMS, ISO, CC 중 1개전자서명, 암호 알고리즘 1개VPN, SSL/TLS 중 1개snort, iptables 중 1개리눅스 로그, 윈도우 로그 중 1개위험관리, 정보보호 대책 1개클라우드 1문제 iam, eam 보안 솔루션, 특히 해킹메일증가로 스팸..

이번 시간에는 파일을 검색하는 인포스틸러 행위를 살펴봅니다. 최근 정보를 훔치는 인포스틸러 악성코드가 유행함에 따라 파일을 탐색하는 악성행위도 같이 증가했습니다. 인포스틸러는 정보를 훔치는 행위로 중요한 파일을 찾거나 메모리에 있는 정보를 찾습니다. 관련뉴스 1: 브라우저와 암호화폐 지갑에서 정보 탈취하는 새 멀웨어 등장 https://www.boannews.com/media/view.asp?idx=85751&kind=14 관련뉴스 2: 미수신 택배 관련 가짜 메시지를 통해 확산되는 안드로이드 데이터 스틸링 악성코드 https://blog.alyac.co.kr/3098 관련뉴스 3: 인포스틸러(정보탈취) 악성코드가 55.9%로 1위 차지 https://www.boannews.com/media/view.a..

안녕하세요. 이번시간에는 악성코드가 파일을 삭제할 때 발생하는 이벤트를 분석합니다. ​ 파일삭제 행위는 크게 3가지 이유가 있습니다. 1) 악성코드를 발견하지 못하도록 악성코드 삭제 2) 악성행위 중에 임시로 생성한 파일 삭제 3) 어플리케이션 또는 시스템에 영향을 주기 위해 중요한 파일 삭제 ​ 안타깝게도 쉬운예제를 찾으려고 했으나 2번과 3번은 찾지 못했습니다. 아쉬운대로 1번 상황에 맞는 예제를 살펴보도록 하겠습니다. Notion에서 작성한 글이 더 보기 편합니다. Notion 링크: https://www.notion.so/6057fce82e984d098b5d7dc77060e3c0 1. anyrun 샌드박스에서 파일삭제 분석 악성코드는 한 번 실행되면 흔적을 지우려고 합니다. 대표적인 예가 악성코드..

안녕하세요. 이번 시간에 다룰 내용은 njrat악성코드에서 생성한 파일이 실행되는 이벤트를 분석합니다. 3번째 예제와 동일한 주제이지만 요즘 유행하고 있는 악성코드를 소개하고자 njrat를 선택했습니다. 실습은 애니런샌드박스로만 사용합니다. 2020.6.16~6.23일 기간동안 가장 활발히 활동한 악성코드 중 4번째가 njrat라고 합니다. 출처: https://www.boannews.com/media/view.asp?idx=89172 영상은 https://tv.naver.com/v/14448610 에서 보실 수 있습니다. [악성코드 분석 입문] 예제4 - njrat 파일 생성 이벤트 분석 악분 | 안녕하세요. 이번 시간에는 3번째 예제와 같은 주제인 "생성한 파일이 실행되었는지" 분석하는 시간입니다. ..