hanguk529의 등록된 링크

키자드에 등록된 총 116개의 포스트를 확인하실 수 있습니다.

Naver Blog

190702_한글 PS를 악용한 악성코드(클라우드 서비스)

요번샘플은 기존에 분석한적이 있던 악성코드의 또 다른 버전이다. 같은 공격자가 만든 악성코드로 추측된다. 해당 샘플은 아래와같다. https://blog.naver.com/hanguk529/221411684947 http://hanguk529.blog.me/221425520172 요번 샘플은 경유지URL에서 받아지는 추가 악성파일은 받지 못했다. 한글 HWP파일을 분석하였으며, 경유지URL에 연결되지 않아 추가 분석은 불가능 하였다. ============================================================================================== 1. [.HWP] 파일 한글 문서를 실행한 사용자에게 정상 한글 문서처럼 본문을 로드한다. 1. [.HWP] 파일 정상 한글문서 처럼 보이지만, 쉘코드가 삽입된 PS개체.......

원문보기 내부링크
Naver Blog

190715_TXT파일로 위장한 wsf파일(FTP로 정보전송)

190715_TXT파일로 위장한 wsf파일(FTP로 정보전송) 해당 파일은 TXT파일로 위장한 Windows 스크립트 파일이다. 해당 스크립트가 실행되면 경유지 URL에서 추가 악성파일(.dll)을 다운로드하여 실행한다. DLL파일은 사용자 정보들을 수집하여 FTP를 이용해 파일을 업로드한다. 해당 파일은 아래와 같이 확장자가 wsf인 Windows 스크립트 파일이다. PC 설정이 확장자가 안보이도록 되어있다면, .TXT로 보이므로 텍스트파일로 생각하고 실행하는걸 노리고 유포되었다. 해당 스크립트는 아래와 같이 특정 경유지 URL에서 추가 악성파일을 다운 받도록 되어있다. 경유지에서 받아지는 압축파일(.rar)은 암호가 걸려있으며, 압축파일의 암호 또한 스크.......

원문보기 내부링크
Naver Blog

190722_워크시트_엑셀 매크로(PC에저장된 각종 로그인정보 전송)

190722_워크시트_엑셀 매크로(PC에저장된 각종 로그인정보 전송) 해당 악성코드는 사용자 PC에 저장된 각종 로그인 데이터들을 수집하여 전송하는 기능을 가지고있다. 정보수집용 악성코드로 확인된다. 해당 메일은 메일본문에 클릭을 유도하는 링크를 넣어 유포되었다. 경유지URL에서 다운로드 되는 파일은 워드문서(.doc)이다. 경유지URL: hxxp:// ### /css/log/wp/plan/plans/enble_voice_note.doc 메일에 존재하는 링크를 통해 받아지는 파일은 워드문서(.doc)이다. 해당 워드 문서에는 악의적인 매크로가 포함된 워크시트가 존재하여, 문서 실행 시 엑셀이 동작하며 매크로가 동작한다. . 워드 문서(.doc)에 존재하는 워크시크가 실행된 모.......

원문보기 내부링크
Naver Blog

190823_EXE파괴 악성코드(EXE암호화, 레지스트리수정)

190823_EXE파괴 악성코드(EXE암호화, 레지스트리수정) --------------------------- 체크섬 정보 --------------------------- 이름: 패키지 정보_2019-08-23-DHL_메일-소포 부서.exe 크기: 432128 바이트 (0 MB) CRC32: AC863285 CRC64: 7371EEA4B9DE6A1A SHA256: D14BC0CFE5345E025DC625022B09F62DC9C6F07AB076E179A876868C1E82584C SHA1: 1EB538DE67993BB7FFED7EA8D260043B01981371 BLAKE2sp: 19585959461964EEACA106FD2C7E799B70952172DB150EE636740510E419FB51 --------------------------- 확인 --------------------------- 해당 악성코드는 특정경로의 응용프로그램(.exe)파일들을 암호화하고, 실행 관련 레지스트리 값을 수정하여 응용.......

원문보기 내부링크
Naver Blog

190823_EPS 한글 악성코드(Data 패킷에 수집정보 전송)_tjdrhd16

190823_EPS 한글 악성코드(Data 패킷에 수집정보 전송)_tjdrhd16 해당 악성코드는 기존 분석했던 같은 공격그룹의 소행으로 추측된다. 기존 악성코드 동작방식과 동일하며, 190619 포스팅했던 샘플에선 사용자식별용도로 만드는 문자열을 [컴퓨터이름]_tjdrhd88로 만들었지만, 요번에는 [컴퓨터이름]_tjdrhd16으로 변경했다. tjdrhd 문자열은 한글타자식으로 바꿔보면 성공이라는 문자열이 된다. 해당 문자열을 포함한 파라미터값을 경유지 URL로 전송한다. 또한 HTTP 데이터 매개변수는 WebKitFormBoundarywhpFxMBe19cSjFnG 으로 전과 동일한것이 확인되었다. 기존 포스팅했던 글과 EPS 분석했던 방식과 동일하기 때문에 분석할때는 최소한의 작.......

원문보기 내부링크
Naver Blog

190828_WarZone RAT 악성코드

해당 악성코드는 WarZone RAT 라는 원격관리도구기능의 악성코드이다. =========================================================================== =========================================================================== 압축파일(payment reciept.zip)에는 악성파일이 존재하며, 압축을 해제하여 파일을 실행할 경우 악성코드에 감염된다. 악성파일: Payment Reciept.exe CopyFile함수를 사용하여 자신을 특정 경로에 복사한다. 복사경로: C:\ProgramData\images.exe 파워쉘을 이용한 특정 명령어 사용으로 Windows Defender에 예외 폴더를 설정하여 탐지 우회를 시도한다. 파워쉘 명령어: powershell Add-MpPreference –Exclusio.......

원문보기 내부링크
Naver Blog

190906_word searches.exe

특정 시그니처를 가진 파일을 검색하는 프로그램(파일 바이너리 데이터값 검색), 하위경로 모두 =============================================================================================================이름: 190906_word searches.exe 크기: 6075724 바이트 (5933 KiB) CRC32: 92BF977E CRC64: 7B803FF6F16B9348 SHA256: CCE60DB1967295802D49C5AAD1B8D7A603442CE95C9D6A7FBCE18C6558E717DD SHA1: 6434C0C7061783397E82EF43C3B267898A41BE08 BLAKE2sp: 3499A72ECC4F8B8F9B3ACAB7077592401A99F4D7CAB587AA998B1F0DDB1517F6

원문보기 내부링크
Naver Blog

예정 - 필요프로그램

특정 경로에 특정 시그니처를 가진 파일을 검색하는 프로그램 필요 특정 경로 하위경로 모두 특정 시그니처를 가진 파일찾기 바이너리 검색

원문보기 내부링크
Naver Blog

190311_근황

요즘은 바쁜하루하루를 보내고있다 조만간 분석 포스팅을 진행할 예정

원문보기 내부링크
Naver Blog

190327_엑셀숨김시트(RAT) 악성코드

190327_엑셀숨김시트(RAT) 악성코드 해당 악성코드는 전에 포스팅했던 적이있는 인보이스 RAT 악성코드와 동일한 해커가 제작 배포중인 샘플이다. 동작방식이 똑같으며, 경유지 IP만 변경되어 배포되었다. 1. 악성 MS Office 엑셀 1.1 매크로를 기능을 이용한 악성행위 해당 악성파일(구매오더4500286249.xls)은 MS Office 엑셀의 매크로 기능을 이용했다. 그리고 악의적인 코드를 넣은 시트를 숨겨서 사용자가 인지하지 못하도록 했다. 1.2 추가 악성파일 다운로드 숨겨진 시트에는 정상 프로세스인 MS인스톨러(msiexec.exe)를 실행시킨 후 악의적인 코드를 이용하여 추가 악성파일를 다운로드 및 실행하는 코드가 존재한다. 경유지URL: hxxp://.......

원문보기 내부링크
Naver Blog

190401_한글EPS_파워쉘_키로거(PowerShell_Keylogger)

190401_한글EPS_파워쉘_키로거(PowerShell_Keylogger) 오늘 확인된 악성 코드는 한글 EPS 취약점을 이용하여 경유지 URL에 접속하여 파워쉘 스크립트를 내려받아 키로깅을 하는 악성코드이다. 해당 경유지는 서비스 중인 국내사이트로 확인되어 모자이크 후 포스팅 예정이다. 지금은 포스팅 할 시간이 안되서, 자세한 포스팅은 04/02 할 예정이다. 아래는 키로깅 동작을 하는 파워쉘 스크립트의 일부분이다. 해당 악성 코드는 한글 EPS 취약점을 이용하여 경유지 URL에 접속하여 파워쉘 스크립트를 내려받아 키로깅을 하는 악성코드이다. 아래와 같은 한글문서에 악의적인 쉘코드를 삽입한 EPS 개체를 삽입하였다. 한글문.......

원문보기 내부링크
Naver Blog

190411_클롭(CLOP)랜섬웨어_CLOP#666

190411_클롭(CLOP)랜섬웨어_CLOP#666 최근 기업을 대상으로 유포되었던 클롭(CLOP)랜섬웨어이다. 해당랜섬웨어는 기존에 포스팅했던 엑셀 숨김시트를 이용한 악성코드(RAT)와 연관이 있는것으로 추측된다고 한다. 자세한 내용은 아래의 안랩 보안 이슈에서 확인 가능하다. 클롭(CLOP)랜섬웨어는 실행중인 프로세스 목록을 불러온다. 프로세스 목록을 불러온 후, 찾는 프로세스가 있을 경우 종료시킨다. 클롭(CLOP)랜섬웨어의 뮤텍스는 CLOP#666 이다. 클롭(CLOP)랜섬웨어는 암호화를 예외할 디렉토리와 파일 목록을 가지고 있다.아래와 같이 특정 경로와 파일명 및 확장자를 예외로 한다. 예외되는 목록에 해당되지 않을 경우 아래와 같이 암호화.......

원문보기 내부링크
Naver Blog

190419_SysCertUpdate.dll 악성코드(daum mail이용)

190419_SysCertUpdate.dll 악성코드(daum mail이용) 금일 악성코드는 기존에 포스팅했던 APT악성코드와 daum mail을 통해 데이터를 업로드한다는 부분이 유사하다. 분석 시간이 넉넉하지 못해서 자세하게 분석하지는 못했다. 여유있을때 조금더 살펴볼 예정이다. [mail2.daum.net를 이용해 데이터를 업로드, 다운로드 했던 악성코드 포스팅] 해당 악성코드는 시작프로그램에 등록되어 사용자가 PC를 재부팅 할 때마다 작동하도록 되어있었다. syscert란 이름으로 시작프로그램에 등록된 악성코드 SysCertUpdate.dll은 rundll32.exe를 이용해 실행되었다. SysCertUpdate.dll 은 Process Hollowing 기법을 이용하여 정상프로세스에 악의적인 PE데이.......

원문보기 내부링크
Naver Blog

190423_PDF.EXE_tytyteyhyd

190423_PDF.EXE_tytyteyhyd 해당 악성코드는 사용자가 첨부파일을 실행하도록 유도하는 메일을 통해 유포되었다. 첨부되어있는 악성파일을 실행 할 경우, 추가 경유지 URL로 연결되지만, 분석당시 연결되지 않아 추가 분석은 불가능했다. 악성메일은 '연체된 보류 인보이스' 라는 제목으로 유포되었다. 해당 악성파일은 압축파일 형태(.ace)로 되어있으며, 압축파일에는 PDF로 위장한 응용프로그램인 악성파일(,pdf.exe)가 존재한다. 해당 악성파일(,pdf.exe)의 디지털 서명은 Loops quantum 으로 되어있다. 악성파일(,pdf.exe)을 실행할 경우 자신을 %Temp%경로에 파일을 복사한다. 그리고 VBS스크립트를 생성하며, 이후 자신을 삭제한다. VBS스.......

원문보기 내부링크
Naver Blog

190502_엑셀숨김시트(wsus.exe)

190502_엑셀숨김시트(wsus.exe) 최근 자주 확인되는 190502_엑셀숨김시트(wsus.exe) 악성코드이다. 간단하게 분석을 진행하였다. 해당 악성파일(요청자료2.xls)은 MS Office 엑셀의 매크로 기능을 이용했으며, 악의적인 코드를 넣은 시트를 숨겨서 사용자가 인지하지 못하도록 했다. 엑셀의 악의적인 매크로는 정상 프로세스인 MS인스톨러(msiexec.exe)를 실행시킨 후 경유지 URL로 접속을 시도하여 추가 악성파일(cykom1)을 다운로드 및 실행한다. 경유지URL: hxxp://slemend.com/cykom1 다운로드 된 악성파일(cykom1)은 추가 경유지로 연결되어 추가 악성파일(1.tmp)을 특정경로에 저장 및 실행한다. 추가 악성파일(1.tmp)은 “wsus.exe“로 다.......

원문보기 내부링크
Naver Blog

190509_이미지무단도용 랜섬웨어(파란감염화면)

190509_이미지무단도용 랜섬웨어(파란감염화면) 해당 악성코드는 랜섬웨어이다. 감염되어 암호화가 완료된 후, 변경된 바탕화면이 기존에 보던 랜섬웨어와 다르다. 경유지 URL이 1000개가 넘게 존재하며, 감염된 PC의 정보를 수집하여 각 URL에 전송한다. 전송이 완료된 후 자신을 종료한다. 기존 랜섬웨어들과 같이 이메일을 통해 유포되었다. 첨부파일은 rar로 압축되어있으며, 압축 해제시 hwp파일을 사칭한 응용프로그램(.exe)가 존재한다. 해당파일을 열어볼 경우 해당 랜섬웨어에 감염되어 파일들이 암호화된다. 암호화 루틴에 의해 디렉토리를 탐색하여 파일들을 랜덤한 확장자로 변경하며, 파일 암호화를 진행한다. 암호화가 완료된 후, .......

원문보기 내부링크
1 2