본문 바로가기

GandCrab v4.3 Ransomware [1] Infomation 파일명 : [임의의 파일명].exe 크기 : 131,584 bytes MD5 : 9f1aeca41d2da7ef2a441961077474f1 [2] GandCrab v4.3 GandCrab v4.3 에서는 이전의 버전과 아래와 같은 차이를 보인다. GandCrab v4.1.2 에 대한 암호화 차단 방법(Kill-Switch)을 배포한데 따른 아래와 같이 보복성 메시지를 담고 있다. 추가적으로, Ahnlab V3 Lite 제품을 대상을 대상으로 0day exploit 을 이용해 DOS 공격이 가능하다는 메시지도 함께 담고 있다. hxxp://memesmix[.]net/media/created/dd0doq.jpg 코드 내부에서도 아래와 같이 V3 Lite 제품을 공격하는 코드가 추가.. 더보기
PAC(Proxy Auto-Config)를 이용한 파밍 기존의 파밍 악성코드는 DNS 서버 주소와 사용자 PC의 "C:\Windows\System32\drivers\etc" 경로에 있는 hosts 파일과 hosts.ics 파일을 변조하여 사용자를 금융 기관 사이트로 위장한 웹 페이지로 유도했다. 2015, 2016년 무렵에 발견된 파밍 악성코드는 백신 제품의 탐지를 우회하고자 PAC(Proxy Auto-Config)를 이용하고 있다. PAC 스크립트는 웹 캐시에 대한 정보를 브라우저에 설정하지 않고 별도의 파일에 저장하여 특정 서버에 업로드 한 후, PAC 스크립트 경로를 지정하여 사용할 수 있다. 파밍 악성코드는 사용자가 특정 URL 에 접속했을 경우, 금융 기관 사이트로 위장한 웹 페이지로 유도하는 PAC 스크립트를 이용한다. ※ hosts.ics ics.. 더보기
Process Hollowing 기법 Process Hollowing : 정상적인 프로세스를 생성하고, 생성한 프로세스에 악성PE 데이터를 삽입하여 실행하는 기법. 1. CreateProcess -> dwCreationFlags(CREATE_SUSPENDED(0x0000004)) 프로세스 생성 시, CREATE_SUSPENDED 값을 인자로하여 대기 상태의 프로세스를 생성한다. 2. GetThreadContext TheadContext -> Eip 레지스터를 얻어온다. 이후에 Entry Point 를 수정하기 위함. 3. ZwUnmapViewOfSection 대기 상태에 머물러 있는 프로세스에서, 정상 코드를 메모리 상에서 할당 해지한다. 4. VirtualAlloc, WriteProcessMemory 새로운 코드를 쓰기 위한 메모리 할당 .. 더보기