malware analysis 썸네일형 리스트형 GandCrab v4.3 Ransomware [1] Infomation 파일명 : [임의의 파일명].exe 크기 : 131,584 bytes MD5 : 9f1aeca41d2da7ef2a441961077474f1 [2] GandCrab v4.3 GandCrab v4.3 에서는 이전의 버전과 아래와 같은 차이를 보인다. GandCrab v4.1.2 에 대한 암호화 차단 방법(Kill-Switch)을 배포한데 따른 아래와 같이 보복성 메시지를 담고 있다. 추가적으로, Ahnlab V3 Lite 제품을 대상을 대상으로 0day exploit 을 이용해 DOS 공격이 가능하다는 메시지도 함께 담고 있다. hxxp://memesmix[.]net/media/created/dd0doq.jpg 코드 내부에서도 아래와 같이 V3 Lite 제품을 공격하는 코드가 추가.. 더보기 PAC(Proxy Auto-Config)를 이용한 파밍 기존의 파밍 악성코드는 DNS 서버 주소와 사용자 PC의 "C:\Windows\System32\drivers\etc" 경로에 있는 hosts 파일과 hosts.ics 파일을 변조하여 사용자를 금융 기관 사이트로 위장한 웹 페이지로 유도했다. 2015, 2016년 무렵에 발견된 파밍 악성코드는 백신 제품의 탐지를 우회하고자 PAC(Proxy Auto-Config)를 이용하고 있다. PAC 스크립트는 웹 캐시에 대한 정보를 브라우저에 설정하지 않고 별도의 파일에 저장하여 특정 서버에 업로드 한 후, PAC 스크립트 경로를 지정하여 사용할 수 있다. 파밍 악성코드는 사용자가 특정 URL 에 접속했을 경우, 금융 기관 사이트로 위장한 웹 페이지로 유도하는 PAC 스크립트를 이용한다. ※ hosts.ics ics.. 더보기 Process Hollowing 기법 Process Hollowing : 정상적인 프로세스를 생성하고, 생성한 프로세스에 악성PE 데이터를 삽입하여 실행하는 기법. 1. CreateProcess -> dwCreationFlags(CREATE_SUSPENDED(0x0000004)) 프로세스 생성 시, CREATE_SUSPENDED 값을 인자로하여 대기 상태의 프로세스를 생성한다. 2. GetThreadContext TheadContext -> Eip 레지스터를 얻어온다. 이후에 Entry Point 를 수정하기 위함. 3. ZwUnmapViewOfSection 대기 상태에 머물러 있는 프로세스에서, 정상 코드를 메모리 상에서 할당 해지한다. 4. VirtualAlloc, WriteProcessMemory 새로운 코드를 쓰기 위한 메모리 할당 .. 더보기 [Malware] BoSSaBot * 개인적은 스터디 목적으로 작성한 글이므로 분석이 잘못되었을 수 있습니다. 혹여나 잘못된 점이 있다면 가감없이 지적해주세요. MD5 : 0bbc8562e350c55eaffef335079c9ec9 SHA-1 : e97cf7ef0f9ec50d481f65180c006ad43fb1021f Filetype : ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.2.5, stripped windows 가 아닌 리눅스 실행파일이며, UPX packer 가 적용되어 있다. 간단한 검색을 통해 Linux UPX Unpacker 를 구할 수 있다. 함수를 쫓아가다보면 다음.. 더보기 [Malware] TeslaCrypt Analysis TeslaCrypt TeslaCrypt 랜섬웨어(Ransomware)는 2015년 1월 처음 발견된 악성코드로 기존의 CryptoLocker 랜섬웨어의 변종으로 알려져 있다. 시스템이 감염이 되었을 경우 존재하는 문서, 이미지, 미디어, CAD 등 185종의 다양한 확장자를 가진 파일을 암호화한다. 특히, 기존 랜섬웨어와는 다르게 Call of Duty, Star Craft 2, Minecraft 등의 50여종 게임 관련 파일을 타겟으로 삼았다. TeslaCrypt 는 계속해서 변종 및 더 강력한 버전으로 나오고 있으며, 버전에 따라 복호화 가능한 파일이 있다. 각 버전 정보는 이 사이트에서 간략하게 요약되어 있다. http://sensorstechforum.com/remove-teslacrypt-rsa.. 더보기 이전 1 다음
