728x90
반응형

악성코드/악성코드 분석 14

세계 최초 컴퓨터바이러스 중 하나인 Elk Cloner 바이러스 분석

* 세계 최초 컴퓨터 바이러스 중 하나 세계최초 컴퓨터 바이러스 얘기 중에 빠지지 않는 바이러스가 Richard Screnta 의 Elk Cloner 바이러스입니다. 1981년 8비트 애플2 컴퓨터용으로 제작되어 1982년 퍼집니다. 1986년 제작된 브레인 바이러스보다 5년 정도 빠릅니다. 하지만, 애플2는 8 비트 컴퓨터로 현재 흔히 PC라 불리는 IBM PC와는 다릅니다. 따라서, 기준에 따라 최초의 컴퓨터 바이러스는 Elk Cloner 혹은 브레인 바이러스가 되기도 합니다. 1990년 제작자가 직접 글을 남기기도 했습니다.http://www.skrenta.com/cloner/clone-post.html * 감염 디스크와 소스코드 제작자는 자신의 홈페이지에 감염 디스크와 소스코드를 올려두었습니다. ..

내 tistory 블로그로 악성코드가 배포 ?! (2) 패킷 분석편

페북 모님으로 부터 패킷을 받았습니다.(다시 한번 감사합니다.) fiddler에서 사용하는 saz 이군요.(실제 파일은 zip 파일입니다.) 1. fiddler 설치 fiddler은 .Net 을 필요로 합니다.윈도우 7에서는 닷넷 4.x가 포함되어 있으니(저는 별도 설치한 기억이 없으니) fiddler v4 버전을 설치합니다. http://www.telerik.com/download/fiddler 에서 다운로드 합니다. 회사에서는 대체로 자동화된 시스템에서 샘플이 수집 되어서 패킷을 보는 경우는 많지 않은데 요즘은 fiddler 를 많이 사용하더군요. 몇 번 사용 안 해봐서 아직 익숙하지는 않습니다. 2. saz 열기 [File] -> [Load Archive]로 saz 파일을 엽니다. 그럼 주고 받은 ..

내 tistory 블로그로 악성코드가 배포 ?! (1)

* 2014년 3월 15일 tistory가 차단 당했는데요. 이에 대한 분석 내용입니다. 일반분은 이번 내용만 보면 되고 분석가 혹은 분석에 관심 있는 분들은 그 다음 글도 읽으시면 됩니다. 2014년 3월 15일 블로그에 글 올리려고 들어왔더니 파이어폭스(Firefox)가 차단해 버립니다. '오진인가.. 아니면 티스토리나 포함된 플러그인으로 악성코드가 배포되나'하는 생각이 들더군요. 아무래도 이렇게 라이브한건(?) 처음보다 보니 신기해서 [차단 이유 상세 정보]를 클릭해 봅니다.하지만, 이쪽 일을 하는 저도 헷갈리는 문구 뿐이네요. (...) 제 블로그가 악성코드를 배포한적은 없고 실제 악성코드는 다른 곳(happy*.co.kr, car*.net)에서 배포 -> 1개 도메인(allb*.net)이 그 악..

2 KB 초미니 백도어(?) 분석 과정

해킹 사건이 있었습니다. - The Plague" returns to deface EC Council websitehttp://blogs.csoonline.com/malwarecybercrime/3010/plague-returns-deface-ec-council-website 관련 악성코드가 알려졌습니다. - md5 : fb0cafbd79778b50ae884af1164b9c2b- filesize : 2,048 달랑 2 KB ! 그래서 처음에는 다운로더가 아닐까 생각했습니다. (하지만 이런 예상은 빗나가곤 합니다.) 난이도가 낮고 일반적으로 쉽게 접하기는 어려운 형태의 샘플입니다.그래서, 앞으로 신입 사원 교육 때 이 샘플을 사용할까 합니다. 분석 결과가 인터넷에 있네라고 할 수 있지만 분석가에게는 단순 ..

Amazon에서 보낸 걸로 가장한 Your invoice 메일 분석 (1)

2014년 1월 30일 네이버로 메일 한통 왔습니다 'Your Invoice xxxx@naver.com' 그리고 report.450205.zip 파일이 첨부되어 있습니다.바로 악성코드라는 느낌이 왔습니다. 메일 헤더는 다음과 같습니다. 1월 31일(금) 설날 오후 60일 지난 아기 때문에 고향에 못 내려가고 집에서 뒹구르르하다가 어제 받은 악성코드나 한번 봐야지 생각했죠.zip 파일을 풀면 report.exe 가 있습니다. md5는 3b292522fd8e51eda5bca943db90a4c6 https://www.virustotal.com/ko/file/c6bd553a6b3714de53dd7f889b6468bb3d371945506ec247489dfad13326a1b7/analysis/ 아차... 어제 출근..

SFX를 이용한 악성코드 드롭퍼

악성코드 중 다수는 스스로 압축을 해제 할 수 있는 SFX (Self-Extracting) 파일 형태로 존재합니다. 백신에서 진단 할 때 압축되기 전 내용은 동일할 수 있기 때문에 앞부분을 잡으면 오진 납니다.백신 업체 분석가가 처음 일하면 많은 사람들이 공통 부분을 진단값으로 잡아 오진을 발생시킵니다.- 저도 그랬습니다 ~ 1) WinRAR WinRAR SFX는 실제 압축 파일이 rar!로 시작합니다. 악성코드 제작자들이 가장 많이 사용하는 드롭퍼(Dropper)가 아닐까 합니다. 2) Zip WinZip(추정) SFX 파일은 PK로 시작하는 헤더를 볼 수 있습니다. 3) HaoZip 중국산 압축 프로그램입니다. - HaoZip http://www.haozip.com/Eng/index_en.htm 악성..

악성코드 분석을 위해 필요한 책 : Windows Internals

어느 순간부터 새해라고 계획을 세운다거나 하지는 않게되었습니다. 많은 사람들이 새해 첫 해를 보기 위해서 저에게는 맨날 뜨는 해인데 뭐하러 그 추운데 고생하나 싶은데 말이죠. - 해를 보는 사람들에게는 제가 이상하겠지만요. 그래도 인간이기에 올해는 무엇을 읽어볼까 고민했습니다. 매년 계획을 세우는 기초를 튼튼히하자 입니다. 그리고... 드라이버 샘플만 들어오면 많이 고전하는데... 그래서... 올해 읽어야 겠다는(단순히 읽어서는 안되겠죠.) 생각을 한건 바로... Windows Internals 제 5 판 ! 너무나 유명한 책이지만.. 사실 4판도 아직 다 못 읽었죠. 구매일을 보니 2010년 8월 6일이네요 ㅋ 올해는 이 책을 읽어야 겠습니다. 악성코드 분석을 위해서 이 책을 읽어두면 좋겠죠. 특히 1..

정상 파일 검색 서비스

sans에서 정상 파일 검색 서비스를 베타 테스트 중입니다 무려 39,944,023 개를 지원합니다. http://isc.sans.org/tools/hashsearch.html 정부기관 프로젝트인 http://www.nsrl.nist.gov/ 에서 DB를 가져 온다고 합니다 2009년 12월 자료라서 윈도우 7 등의 자료는 포함되어 있지 않다고 하네요. 국내 프로그램은 등록되어 있지 않겠지만 한글 윈도우 XP 파일을 검사해보니 MSDN으로 등록되어서 처리 결과가 잘 나오네요. 외국 프로그램이나 윈도우 시스템 파일로 의심되는 파일에 대한 분석 등에 유용할 걸로 보입니다

악성코드에서 사용하는 방화벽 해제

윈도우 XP 를 처음 설치하면 방화벽은 켜져있고 바이러스 백신은 없습니다. 윈도우에 방화벽이 기본적으로 추가되자 악성코드 제작자들이 이 성가신(?) 방화벽을 무력화하고 싶어 집니다. 윈도우 방화벽은 아주 쉽게 무력화됩니다. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile 에 관련 키가 있습니다. 기본적인 윈도우에서는 아무것도 없죠. 방화벽을 한번 꺼보겠습니다. EnableFirewall이 생성되고 값이 0입니다. 악성코드 제작자들은 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\Fire..

수상한 파일 찾기

악성코드를 분석하기 위해서는 수상한 파일부터 찾아야합니다. 일단 증상을 듣고 예상을 해야하죠. 후배에게 연락와서 웹브라우저가 안된다고 하더군요. 웹브라우저가 안되면 대부분 1. 액티브 X 컨트롤 충돌 2. BHO(Browser Helper Object) 문제 입니다. 안리포트를 통해 내용을 확인하니 프로세스 등에서는 수상한 파일이 없었고 결국 BHO 를 확인했습니다. 파일 중에 C:\Windows\system32\dllcache 에 존재하는 파일이 있더군요. 정상적인 파일이 dllcache 에 존재하는건 좀 드물죠. 해당 파일을 삭제하니 웹브라우저가 제대로 된다고 합니다. 해당 프로그램의 버그로 보이네요.

자동분석 시스템으로 분석하기 힘든 샘플

악성코드를 분석할 때 증상위주로 파악하기 위해서 자동분석을 많이 사용합니다. 이때 문제가 발생하는건 크게 다음과 같습니다. 1. 자동분석 탐지 (가상환경, 모니터링 도구 등의 유무) 2. 인자 값 필요 3. 특정 환경 필요 (설치된 다른 프로그램 등) 4. 기타 (더 있을텐데 생각이 안나서..) 2,3번의 경우도 많은데 자동분석 시스템에서는 지극히 평범하고 정상적인 프로그램처럼 나옵니다. 하지만, 코드를 분석하면 원인을 알 수 있습니다. Ollydbg로 열어보면 실제 코드가 0x00401000 에서 시작하는 전형적인 비주얼 C 로 작성된 코드임을 알 수 있습니다. 0x00401000에 브레이크포인트(F9)를 걸고 달립니다. 0x00401045 에서 레지스트리를 읽어서 특정 값인지 비교합니다. 악성코드가 ..

정상파일 위장 악성코드 분석

샘플을 분석하다보면 정상파일 처럼 위장한 악성코드도 종종 받게 됩니다. 1. 타사 진단 정보 타사 진단 정보를 보면 몇몇 업체에서 진단하고 있습니다. 물론, 이때도 오진 가능성을 항상 염두 해야합니다. 2. 파일 등록정보 확인 nVidia 에서 배포한 정상 파일로 착각할 수 있습니다. 3. 검색을 통한 정상 파일과 비교 다행히 이런 파일은 인터넷을 검색해보면 비교해 볼 수 있습니다. 4. 의심사항 파일을 퀵하게 봅니다. 수상한 스트링은 없습니다만 다음 내용이 이상하네요. - 디버깅 버전 : nVidia 에서 정식 배포한 파일이라면 release 버전이어야함. 개발자 버전이 접수되었을 수 있음. 이때는 접수된 고객 등을 확인해봄 - 인터넷 접속 기능 : nVidia Movie Accelerator가 왜 인..

네이버, 옥션, 청와대 공격 악성코드 분석

Msiexec1.exe (Win-Trojan/Downloader.374651) 실행 : 윈도우 시스템 폴더에 패킷 관련 WinPcap 파일(Packet.dll, WanPacket.dll, wpcap.dll) 및 악성코드 생성(wmcfg.exe 와 wmiconf.dll) 안철수연구소 분석 정보 : http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=28838 WinPcap 파일은 패킷 캡쳐에 사용되는 파일이지만 패킷 생성에도 악용되는 파일로 정상 파일임 한가지 재미있는건(?) Mutex 이름이 '_MUTEX_AHN_V3PRO_' 이다. 요즘 안랩 제품을 사칭하는 악성코드가 많이 등장하고 있다. (대부분 중국산이다. 이런 나쁜...) wmiconf.dll (Win..

중국산으로 추정되는 웜에서 사용되는 비밀번호들

중국산으로 추정되는 웜에서 사용되는 비밀번호 보안을 위해서는 이런 비밀번호는 사용하지 않아야함 !@#$ !@#$% !@#$%^ !@#$%^& !@#$%^&* 000000 00000000 0123456789 huaxia 1 101010 111 111111 1111111 11111111 1111111111 111222 112233 11223344 121212 12121212 123 123123 123321 1234 12344321 12345 123456 1234567 12345678 123456789 1234567890 1234qwer 123abc 123go 1313 131313 1314520 147258 168168 1p2o3i 1q2w3e 1qaz2wsx 2222 222222 2222222 2222222..

728x90
반응형