분류 전체보기 썸네일형 리스트형 GandCrab v4.3 Ransomware [1] Infomation 파일명 : [임의의 파일명].exe 크기 : 131,584 bytes MD5 : 9f1aeca41d2da7ef2a441961077474f1 [2] GandCrab v4.3 GandCrab v4.3 에서는 이전의 버전과 아래와 같은 차이를 보인다. GandCrab v4.1.2 에 대한 암호화 차단 방법(Kill-Switch)을 배포한데 따른 아래와 같이 보복성 메시지를 담고 있다. 추가적으로, Ahnlab V3 Lite 제품을 대상을 대상으로 0day exploit 을 이용해 DOS 공격이 가능하다는 메시지도 함께 담고 있다. hxxp://memesmix[.]net/media/created/dd0doq.jpg 코드 내부에서도 아래와 같이 V3 Lite 제품을 공격하는 코드가 추가.. 더보기 PAC(Proxy Auto-Config)를 이용한 파밍 기존의 파밍 악성코드는 DNS 서버 주소와 사용자 PC의 "C:\Windows\System32\drivers\etc" 경로에 있는 hosts 파일과 hosts.ics 파일을 변조하여 사용자를 금융 기관 사이트로 위장한 웹 페이지로 유도했다. 2015, 2016년 무렵에 발견된 파밍 악성코드는 백신 제품의 탐지를 우회하고자 PAC(Proxy Auto-Config)를 이용하고 있다. PAC 스크립트는 웹 캐시에 대한 정보를 브라우저에 설정하지 않고 별도의 파일에 저장하여 특정 서버에 업로드 한 후, PAC 스크립트 경로를 지정하여 사용할 수 있다. 파밍 악성코드는 사용자가 특정 URL 에 접속했을 경우, 금융 기관 사이트로 위장한 웹 페이지로 유도하는 PAC 스크립트를 이용한다. ※ hosts.ics ics.. 더보기 Process Hollowing 기법 Process Hollowing : 정상적인 프로세스를 생성하고, 생성한 프로세스에 악성PE 데이터를 삽입하여 실행하는 기법. 1. CreateProcess -> dwCreationFlags(CREATE_SUSPENDED(0x0000004)) 프로세스 생성 시, CREATE_SUSPENDED 값을 인자로하여 대기 상태의 프로세스를 생성한다. 2. GetThreadContext TheadContext -> Eip 레지스터를 얻어온다. 이후에 Entry Point 를 수정하기 위함. 3. ZwUnmapViewOfSection 대기 상태에 머물러 있는 프로세스에서, 정상 코드를 메모리 상에서 할당 해지한다. 4. VirtualAlloc, WriteProcessMemory 새로운 코드를 쓰기 위한 메모리 할당 .. 더보기 pintool 이번 포스팅에서는 pintool 사용법 및 예제코드에 대한 간단한 분석을 진행한다. pintool 이란, Intel PIN SDK 를 이용해 개발한 라이브러리이다. PIN 이란 프로그램의 플러그인(?) 이라 생각하면 될 것 같다. 혹여나 설치를 하지 못했다면, http://woosunbi.tistory.com/170 을 참고하기 바란다. 기본적인 사용 방법은, # ./pin -t [ .so 파일] -- [분석하고자 하는 파일] # Instrumentation Granularity : Pin 의 Instrumentation Granularity 에 따라 4가지 방식으로 Binary Instrumentation(Just in time) 이 가능하다. 1. Trace Instrumentation (TRACE_.. 더보기 Intel PIN PIN 이란, Intel 에서 제작한 DBI(Dynamic Binary Instrumentation Framework) 이다. DBI 를 이용하면 실행 중인 프로세스에 임의의 코드를 삽입하는 것이 가능하다. 영어로 작성되어있지만, 메뉴얼도 잘 작성이 되어있고 예제코드 또한 꽤나 있기에 쉽게 이해할 수 있다. # Install 다운로드 : https://software.intel.com/en-us/articles/pin-a-binary-instrumentation-tool-downloads 다양한 환경에서 지원하고 있으며, 쉽게 설치 및 사용 가능하다. 해당 포스팅에서는 Linux 에서의 사용방법을 간단히 소개한다. OS : Ubuntu 16.04 64bit # tar -xvzf pin~.tar.gz # .. 더보기 IDAPython Plugin IDA 는 편리한 분석을 위한 Python Plugin 을 제공해준다. 설치는 http://code.google.com/p/idapython/downloads/list 설치방법은, 파일을 받아 압축을 푼 후 plugins 폴더에 있는 파일을 IDA 설치 폴더에서 - [plugins] 폴더에 복사 python 폴더에 있는 파일을 IDA 설피 폴더에서 - [python] 폴더에 복사 위 작업을 거친 후 IDA 실행하면 정상적으로 로드되었다는 메시지를 확인할 수 있다. IDAPython 을 통해 어떤 것을 할 수 있을지는 examples 폴더 안의 예제 파일들을 참고. 더보기 [DEFCON 2018 CTF] ELF Crumble 처음에 정상적으로 동작하지 않는 바이너리와 파일명이 "fragment~" 인 8개의 파일이 제공된다. 파일명으로 미루어보아 fragment 파일들을 이용해 정상적으로 동작시켜야 하는 것임을 추측할 수 있다. 직접 fragment 파일을 디어셈블하여 순서를 각각 맞춰 동작시킬 수도 있지만, 파이썬의 itertools 모듈을 이용하면 이러한 작업을 훨씬 쉽게 수월하게 할 수 있다. itertools 에서 permutations() 를 이용해 순열을 만들 수 있다. 모든 순열의 바이너리를 생성하여 실행하는 코드를 짜고 결과 값을 출력하도록 하면 플래그가 나온다.. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 3.. 더보기 [Malware] BoSSaBot * 개인적은 스터디 목적으로 작성한 글이므로 분석이 잘못되었을 수 있습니다. 혹여나 잘못된 점이 있다면 가감없이 지적해주세요. MD5 : 0bbc8562e350c55eaffef335079c9ec9 SHA-1 : e97cf7ef0f9ec50d481f65180c006ad43fb1021f Filetype : ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.2.5, stripped windows 가 아닌 리눅스 실행파일이며, UPX packer 가 적용되어 있다. 간단한 검색을 통해 Linux UPX Unpacker 를 구할 수 있다. 함수를 쫓아가다보면 다음.. 더보기 VUPlayer 2.49 Exploit( + Windows ROP for Bypassing DEP) OS : Windows XP Service Pack 3 Target : VUPlayer 2.49 VUPlayer 2.49 는 특정 Byte 이상 크기를 가진 .m3u 파일을 로드할 때, BOF 취약점이 발생한다. DEP(Data Execution Prevention) 방어 기법으로 인해 단순히 RET 주소를 조작해서는 Exploit 에 성공할 수 없다. 이를 우회하기 위해 메모리에 실행 권한을 부여하여 Shellcode 를 실행하는 방법을 이용해 Exploit 하도록 한다. OS 에 따라 사용이 불가능한 함수들이 존재한다.. 참고바람. Exploit 의 편리성을 위한 Immunity Debugger 의 mona.py 기능들 [*] mona.py command # !mona mod # 방어 기법 사용 여부.. 더보기 arm in qemu Qemu 에서 ARM debian 실행 # apt-get install qemu # wget https://people.debian.org/~aurel32/qemu/armhf/debian_wheezy_armhf_standard.qcow2 # wget https://people.debian.org/~aurel32/qemu/armhf/initrd.img-3.2.0-4-vexpress # wget https://people.debian.org/~aurel32/qemu/armhf/vmlinuz-3.2.0-4-vexpress * CUI 환경 + 인터넷 사용 # qemu-system-arm -M vexpress-a9 \ -kernel vmlinuz-3.2.0-4-vexpress \ -initrd initrd.img.. 더보기 이전 1 2 3 4 ··· 14 다음
