악분의 블로그

안녕하세요. 이번 시간에는 파일을 이동시키는 악성코드를 분석합니다. 다른 악성행위는 분석하지 않고 오직 파일 이동에 관련된 것만 다룹니다. [악성코드 분석 입문] 예제2 - 파일이동 악분 | 이번 예제는 파일 이동을 시키는 악성코드를 분석합니다. 예제 링크: https://app.any.run/tasks/98437d6e-759f-4b82-9f78-acb5e4ce74ce/ tv.naver.com

샌드박스와 행위분석으로 "파일 생성"이벤트만 분석합니다. [악성코드 분석 입문] 예제1 - 파일생성 악분 | 샌드박스와 행위분석으로만 악성코드를 분석하는 입문강좌입니다. 악성코드 예제 다운로드 링크: https://app.any.run/tasks/f22abe03-0f95-4892-9b8a-60d018718336/ tv.naver.com

악성코드 분석의 정석이라고 불리는 "실전 악성코드와 멀웨어 분석"책은 2010년 초반에 출판되었습니다. 아주 훌륭한 책임에는 틀림없지만 윈도우 xp를 기준으로 설명되어 있고 소스코드 분석을 기반한 분석에 치우쳐져 있습니다. ​ 또한 악성코드 분석 자동 분석기술이 매우 발전했습니다. 프로그래밍을 배우지 않아도 프로그램을 만들 수 있는 것처럼 분석기술을 몰라도 분석을 할 수 있는 시대가 되었습니다. 각 회사 제품이 분석 결과를 보고서 형태로 출력하는데 도움말을 보면서 보고서를 해석할 줄만 알면 됩니다. ​ 글을 쓰게 된 가장 중요한 이유는 신입기준 채용기준이 변했습니다. 기술발전으로 악성코드 분야 신입 채용에서는 학력/전공 무관으로 바뀌고 기술면접이 사라지고 있는 추세입니다. 그 대신 회사에 잘 적응할 수 ..

시작하며 2월 마지막 주에는 헤븐즈게이트 주제를 선택했습니다. 헤븐즈게이트는 Trickbot악성코드를 분석하다가 우연히 발견했습니다. call far이라는 처음 본 명령어를 발견하여 구글에 검색했습니다. 32비트 프로그램이 64비트 명령어를 호출하는 명령어라고 합니다. 악성코드는 헤븐즈게이트를 기술을 악용해서 백신우회 및 분석 방해를 합니다. 개인적인 생각으로는 2020년 이후부터 많이 보일 것으로 생각됩니다. 헤븐즈게이트 원리와 분석영상은 아래 유부트 링크에서 보실 수 있습니다. https://youtu.be/LDFAX-9oTw0 wow64 윈도우 모듈 64비트 윈도우 시스템에서 32비트 프로그램을 실행하면 놀랍게도 64비트 모듈이 자동으로 메모리에 올라갑니다. 이 모듈은 32비트 실행을 중간에 받아 ..

안녕하세요. 이번 시간에는 악성코드 전용 탐색기를 아마존 클라우드에 설치하는 과정을 소개합니다. 언제 어디서나 탐색기에 접근 할 수 하기 위해 아마존 클라우드에 설치했습니다. 탐색기는 악성코드 저장과 검색, 다운로드, 분석 기능이 있습니다. 설치 과정은 녹화하여 유튜브에 업로드 했습니다. https://youtu.be/aAE5xsdOg9w 악성코드 탐색기는 바이퍼 프레임워크 오픈소스입니다. 소스코드는 github(https://github.com/viper-framework/viper)에 공개되어 있습니다. 설치는 pip명령어로 단순하게 설치 할 수 있습니다. 악성코드는 윈도우 디펜더 등 백신이 삭제하기 때문에, 윈도우 시스템에서 보관하기 어렵습니다. 그래서 리눅스를 설치해서 보관해야 하는데, 악성코드 ..

시작하며 우연히, 구독자분의 요청으로 RTF악성코드 분석을 시작했습니다. 바이러스 토탈의 처음 분석결과 CVE취약점을 발견했지만, 제가 직접 분석한 결과 해당 취약점이 아니였습니다. 오탐이었죠... 우여곡절 끝에 분석을 거의 끝냈고 그 결과를 유투브 영상에 공개했습니다. 그리고, 이 글에서는 유투브 링크를 남깁니다. 영상을 보면 어떤 도움이 될까 생각봤습니다. 1. 스택오버플로우가 어떻게 실제공격에 사용되는지 궁금하시는 분 2. 데이터 분석관점에서 어떻게 악성코드 행위를 분석하는지 궁금하신 분 3. 분석한 악성코드를 탐지하기 위한 야라룰 생성이 궁금하신 분 4. ATT&CK Matrix에 악성코드를 어떻게 대입하는지 궁금하시는 분 악성행위 요약 분석결과, 크게 3가지 악성행위를 하는 것으로 생각합니다. ..

안녕하세요. 이글에서는 2019.4번째 칼리 리눅스를 대상으로 한글설치하는 과정을 설명합니다. 추가로 한영키 전환 설정도 있습니다. 설치 과정은 글(github)과 영상이 있습니다 글: https://github.com/choisungwook/malware/tree/master/03%20other/05%20kali_hangul 영상: https://youtu.be/YQBskCczTNs

프로세스모니터로 분석을 진행하다가 가상머신이 멈춰버리는 현상이 발생했었습니다. 방법을 찾다가 sysmon과 ELK를 연동을 찾았습니다. 이 글에서는 설치방법을 글(깃헙)과 영상(유투브)으로 소개합니다. 글: github 도커와 sysmon지식이 있으신 분은 제 github을 보고 실습하시면 됩니다. https://github.com/choisungwook/malware/tree/master/01%20blue%20team/sysmon/01%20elk%EC%84%A4%EC%B9%98%2B%EC%97%B0%EB%8F%99 영상 글을 보고 설치가 어렵다면 영상을 보면서 같이 진행해보세요!. https://youtu.be/4x054MeYS14

소개 vba매크로를 숨겨 동적분석을 막는 방법을 소개합니다. 영상에서는 간단한 vba매크로 작성, 난독화 적용, 안티 리버싱 방법을 소개합니다. https://youtu.be/K9f9mjqdp1E 마치며... 영상에 소개된 evilclippy도구는 한국에서는 많이 알려지지 않았지만, 해외에서 엄청나게 인기가 폭팔하고 있는? 오픈소스입니다. vba 스톰핑 뿐만 아니라 vba매크로 안티 리버싱을 자동화한 도구를 완벽히 구현했기 때문입니다. 뿐만 아니라, 유투브에서 세미나를 살펴볼 수 있어서 매우 좋습니다. 기업 입장에서는 VBA스톰핑을 막는 여러 방안이 자사 솔루션에 적용하고 있습니다.

os.popen: 명령어 실행 결과를 객체로 저장 상황: django, flask 등 파이썬으로 제작된 웹서버에서 시스템 명령어를 실행하는 페이지를 발견 import os _fs = os.popen('ls') print(_fs.read()) hack the box 예제 참고자료 점프투파이썬 https://wikidocs.net/33