0xMH

악성코드 공부를 처음 시작했을 때 IcedID 로더를 분석한 적이 있었는데 되게 "간단한" 분석이었습니다. 아울러 그때의 IcedID의 TTP (Tactics, Techniques, and Procedures)가 달라졌기 때문에 오랜만에 IcedID를 다시 한번 보기로 했습니다! (파일은 링크에 들어가 다운로드 가능). 그리고 파이썬 코딩은 아직 좀 약한 편인데.... 간단한 config extractor를 만들어보고 싶어서 IcedID 고른 이유도 있습니다 :) https://bazaar.abuse.ch/sample/a60bbdf9d08eb136bb124595828f944fd292a08dd8c860beeeb6fe5e96187fef/ 압축 폴더를 풀고 확인해 보니 .iso 파일하고, "Invoi_PDF"..

악성코드 Malware/Dropper-Loader 2023. 1. 11. 21:08

저번 블로그는 도둑질하는 너구리 (ㅎㅎ)를 분석했고 오늘은 분석할 악성코드는 다람쥐 워플...? 악성코드 이름들이 참 재밌네요. 제가 제목에서 써놓았던 것처럼 오늘 분석할 악성코드는 Loader입니다. SquirrelWaffle는 이메일 스팸 캠페인으로 유포되며 qakbot하고 cobalt strike를 위한 로더 역할을 하는 것으로 알려져 있습니다. Qakbot 같은 경우에는 자주 랜섬웨어를 위한 Loader역할을 하고 Cobalt Strike는 유명한 C2 framework이며 Threat Actor들이 자주 사용하는 툴입니다. Qakbot와 Cobalt Strike 감염은 자주 랜섬웨어 악성코드 실행으로 초래되니 Loader 악성코드를 잘 이해하고 Loader가 다른 악성코드를 다운로드하기 전에 L..

악성코드 Malware/Dropper-Loader 2022. 8. 2. 15:09

안녕하세요~ 오늘은 DiceLoader라는 악성코드를 분석하면서 제가 주로 악성코드 분석을 공부하는 유튜브 채널에 대해 얘기하고 싶습니다. 정보보안 강의들은 (OSCP, OSEP, SanS 강의 등) 비싸지만 악성코드 분석이 더욱 좁은 분야라서 악성코드 분석에 대한 강의들이 더 비싸겠지? 라는 생각을 했으나 유튜브에서 OALabs라는 채널을 발견했습니다. 악성코드 분석에 대해 아시는 분들은 알고 계시겠지만 OALabs는 훌륭한 unpacme하고 hashdb라는 IDA pro plugin을 만드신 분이십니다. 그것뿐만 아니라 Twitch에서 일주일에 2번 정도 악성코드 분석을 스트리밍도 합니다. 스트림의 vod을 다시 보기 위해 patreon에 올리는데 patreon는 구독하여 한 달에 한 3만원 내야 하..

악성코드 Malware/Dropper-Loader 2022. 6. 22. 15:40

오늘은 Hancitor DLL를 분석할 것입니다. Hancitor도 다른 malware처럼 악성 office 파일로 유포되며 다른 악성코드를 위한 Loader 역할을 합니다. Hancitor가 실행되면 일단 컴퓨터와 Domain에 대한 정보를 얻어 그 정보를 C2 서버에게 보냅니다. 받은 정보에 따라 Injection 방법이 다르며 Hancitor가 유포시키는 malware도 다릅니다. Hancitor가 drop 하는 Malware는 Cobalt Strike Beacon, Ransomware, FickerStealer 등입니다. ​ 1) Enumeration Hancitor는 감염된 컴퓨터에 대한 정보를 탈취한 다음에 그 컴퓨터에 대한 유일한 아이디를 만들어 모든 정보를 통신서버에게 보냅니다. 어떤 정보..

악성코드 Malware/Dropper-Loader 2022. 5. 19. 19:26

안녕하세요! 오늘은 IcedID라는 악성코드의 Loader를 분석할 것입니다. 지난주는 간단하게 Malware의 "Lifecycle"에 대해서 이야기했는데, 다시 보자면: ​ 1단계 Loader: 악성 Office 파일. 악성 Macro를 활용해 해커가 제어하는 홈페이지에 들어가 2단계를 다운로드. 2단계: 악성 .exe 파일. 두 번째 Loader나 "final payload" 3단계: 1단계의 홈페이지 (C2 서버) 통신해 추가 .exe나 .dll 파일 다운로드 ​ 지난주 ursnif word 파일은 1단계 Loader이었고, 분석하다 보니 2단계의 Loader를 다운로드하는 C2 서버도 발견했으나 그 서버는 더 이상 존재하지 않으므로 ursnif의 2단계를 다운로드하지 못했고, 대신 IcedID L..

악성코드 Malware/Dropper-Loader 2022. 5. 19. 19:23