728x90
반응형

악성코드 분석 9

드디어 세상에 나오는 '보안에 미쳐라 (2016)'

저의 첫 책이 세상에 나옵니다. - 보안에 미쳐라 : 유쾌 상쾌 통쾌한 보안 이야기http://www.yes24.com/24/goods/29333992?scode=032&OzSrank=1 보안에 관심 가진 사람들 대상(취업 준비생...)이라 기술적인 내용은 별로 없습니다.그래서 재미있게 쓰려다보니 저자 소개에 덕밍아웃을 했는데...살짝 부끄럽네요 ㅋ 많이 팔렸으면 좋겠네요 ㅋㅋ

새로운 백도어 ?! 하지만 정체는...

매일 반복되는 샘플 분석 중에는 어디서 본 듯한 샘플을 분석하기 보다 새로운 샘플 분석이 아무래도 더 재미있죠. 뭔가 이상한 샘플이 눈에 띄었습니다. Pdb 정보에는 TroyaN, DayZHack와 같은 문자열이 존재해 의심하기 충분했습니다. 변형을 검색해보니 6개나 있더군요. 그리고, 군과 관련된 문자열, Bot, Zombie 등의 문자열이 나와서 더욱 확실해 졌습니다. 요걸로 페이퍼나 하나 쓸까하는 행복한(?) 상상도 끝... IDA로 실제 코드를 봤을 때 키로깅에서 많이 사용되는 API가 보였지만 웬지 평범한(?) 백도어와는 달랐습니다. 이 샘플이 이상하다고 느낀 결정적인 사항은 d3d9.dll을 이용하는 코드였습니다.문득 다이렉트X 3D 버전9 파일이 아닐까 하는 생각이 들더군요. 악성코드에서 웬..

내 tistory 블로그로 악성코드가 배포 ?! (2) 패킷 분석편

페북 모님으로 부터 패킷을 받았습니다.(다시 한번 감사합니다.) fiddler에서 사용하는 saz 이군요.(실제 파일은 zip 파일입니다.) 1. fiddler 설치 fiddler은 .Net 을 필요로 합니다.윈도우 7에서는 닷넷 4.x가 포함되어 있으니(저는 별도 설치한 기억이 없으니) fiddler v4 버전을 설치합니다. http://www.telerik.com/download/fiddler 에서 다운로드 합니다. 회사에서는 대체로 자동화된 시스템에서 샘플이 수집 되어서 패킷을 보는 경우는 많지 않은데 요즘은 fiddler 를 많이 사용하더군요. 몇 번 사용 안 해봐서 아직 익숙하지는 않습니다. 2. saz 열기 [File] -> [Load Archive]로 saz 파일을 엽니다. 그럼 주고 받은 ..

2 KB 초미니 백도어(?) 분석 과정

해킹 사건이 있었습니다. - The Plague" returns to deface EC Council websitehttp://blogs.csoonline.com/malwarecybercrime/3010/plague-returns-deface-ec-council-website 관련 악성코드가 알려졌습니다. - md5 : fb0cafbd79778b50ae884af1164b9c2b- filesize : 2,048 달랑 2 KB ! 그래서 처음에는 다운로더가 아닐까 생각했습니다. (하지만 이런 예상은 빗나가곤 합니다.) 난이도가 낮고 일반적으로 쉽게 접하기는 어려운 형태의 샘플입니다.그래서, 앞으로 신입 사원 교육 때 이 샘플을 사용할까 합니다. 분석 결과가 인터넷에 있네라고 할 수 있지만 분석가에게는 단순 ..

Amazon에서 보낸 걸로 가장한 Your invoice 메일 분석 (1)

2014년 1월 30일 네이버로 메일 한통 왔습니다 'Your Invoice xxxx@naver.com' 그리고 report.450205.zip 파일이 첨부되어 있습니다.바로 악성코드라는 느낌이 왔습니다. 메일 헤더는 다음과 같습니다. 1월 31일(금) 설날 오후 60일 지난 아기 때문에 고향에 못 내려가고 집에서 뒹구르르하다가 어제 받은 악성코드나 한번 봐야지 생각했죠.zip 파일을 풀면 report.exe 가 있습니다. md5는 3b292522fd8e51eda5bca943db90a4c6 https://www.virustotal.com/ko/file/c6bd553a6b3714de53dd7f889b6468bb3d371945506ec247489dfad13326a1b7/analysis/ 아차... 어제 출근..

여기는 고전 악성코드 분석 입니다.

2014년 1월 30일 설날 전날 회사 출근해서 정신 없이 100개 가까운 샘플을 처리했죠. 다 처리하고 엔진 빌드 시켜놓고 V3 엔진 소스코드 잠깐 보다가 눈에 띄는 옛날 악성코드가 보였습니다. '그때는 시간도 없고 실력도 부족해 제대로 분석 못했는데...' 라는 생각이 들었죠. 그러다가 문득 생각이 떠올랐습니다. 바로 ... 재미있었던(?) 1990년대-2000년대 초의 추억의 악성코드를 다시 분석해서 정리해보자 !!!! 다음과 같은 기준을 정해봤습니다. 1. 대상은 1990년 대 - 2000년 대 초 고전 악성코드 고전 악성코드 기준을 어떻게 정할까... 생각해 봤는데 바이러스 제작자들이 DOS에서 윈도우로 넘어가는 과도기 시절의 악성코드인 1990년대 말에서 2000년 대 초가 아닐까 생각됩니다...

자동분석 시스템으로 분석하기 힘든 샘플

악성코드를 분석할 때 증상위주로 파악하기 위해서 자동분석을 많이 사용합니다. 이때 문제가 발생하는건 크게 다음과 같습니다. 1. 자동분석 탐지 (가상환경, 모니터링 도구 등의 유무) 2. 인자 값 필요 3. 특정 환경 필요 (설치된 다른 프로그램 등) 4. 기타 (더 있을텐데 생각이 안나서..) 2,3번의 경우도 많은데 자동분석 시스템에서는 지극히 평범하고 정상적인 프로그램처럼 나옵니다. 하지만, 코드를 분석하면 원인을 알 수 있습니다. Ollydbg로 열어보면 실제 코드가 0x00401000 에서 시작하는 전형적인 비주얼 C 로 작성된 코드임을 알 수 있습니다. 0x00401000에 브레이크포인트(F9)를 걸고 달립니다. 0x00401045 에서 레지스트리를 읽어서 특정 값인지 비교합니다. 악성코드가 ..

네이버, 옥션, 청와대 공격 악성코드 분석

Msiexec1.exe (Win-Trojan/Downloader.374651) 실행 : 윈도우 시스템 폴더에 패킷 관련 WinPcap 파일(Packet.dll, WanPacket.dll, wpcap.dll) 및 악성코드 생성(wmcfg.exe 와 wmiconf.dll) 안철수연구소 분석 정보 : http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=28838 WinPcap 파일은 패킷 캡쳐에 사용되는 파일이지만 패킷 생성에도 악용되는 파일로 정상 파일임 한가지 재미있는건(?) Mutex 이름이 '_MUTEX_AHN_V3PRO_' 이다. 요즘 안랩 제품을 사칭하는 악성코드가 많이 등장하고 있다. (대부분 중국산이다. 이런 나쁜...) wmiconf.dll (Win..

정적분석과 동적분석

악성코드 분석 방법에는 크게 정적분석과 동적분석이 있다. * 정적분석(Static Analysis) 샘플 실행하지 않고 분석. 타백신 실행하기, 내부 스트링보기, 단순 디스어셈블(?) * 동적분석(Dynamic Analysis) 샘플 실행하면서 분석 모니터링 프로그램(윈도우 악성코드의 경우 파일, 프로세스, 레지스트리, 네트워크) * 코드분석 디스어셈블, 디버거, 리버스 컴파일러 초급, 중급, 고급은 바로 정적분석, 동적분석과 코드분석 실력의 차이

728x90
반응형