0xMH

오늘은 Hancitor DLL를 분석할 것입니다. Hancitor도 다른 malware처럼 악성 office 파일로 유포되며 다른 악성코드를 위한 Loader 역할을 합니다. Hancitor가 실행되면 일단 컴퓨터와 Domain에 대한 정보를 얻어 그 정보를 C2 서버에게 보냅니다. 받은 정보에 따라 Injection 방법이 다르며 Hancitor가 유포시키는 malware도 다릅니다. Hancitor가 drop 하는 Malware는 Cobalt Strike Beacon, Ransomware, FickerStealer 등입니다. ​ 1) Enumeration Hancitor는 감염된 컴퓨터에 대한 정보를 탈취한 다음에 그 컴퓨터에 대한 유일한 아이디를 만들어 모든 정보를 통신서버에게 보냅니다. 어떤 정보..

악성코드 Malware/Dropper-Loader 2022. 5. 19. 19:26

​ 얼마 전에 사이버 전쟁에 대한 블로그를 썼는데 거기서 WhisperGate라는 새로운 악성 프로그램을 언급했습니다. 오늘은 그 프로그램을 리버싱을 하면서 분석할 것입니다. ​ Whispergate는 4개의 stage가 있는데 각 stage마다 MalwareBaazar에서 다운로드를 하실 수 있습니다. ​ Stage 1 리버싱을 하기 전에 파일을 pestudio로 열어보면 프로그램이 실행되면 hard drive가 corrupt 된다는 것을 알 수 있습니다. 이 프로그램은 Master Boot Record (MBR)를 덮어쓰고 컴퓨터를 껐다 켜보면 위 사진의 텍스트가 나옵니다. 10.000$짜리 비트코인 공격자들에게 보내주면 그들이 풀어주겠다고 하지만 이 악성 프로그램은 ransomeware인 척하는 겁..

악성코드 Malware/Wiper 2022. 5. 19. 19:25

안녕하세요!오늘은 해킹 및 악성코드를 분석하지 않고 러시아와 우크라이나 간의 갈등이 빠른 속도로 심각해지고 있으니 잠깐 사이버 전쟁과 역사와 정치에 대해 이야기하고 싶습니다.​그 이유는 간단합니다. 일단은 정치외교학을 전공하는 사람으로서 저에게 중요한 일이기도 하고, 제 생각에는 정치외교학 학자들은 아직까지도 너무 핵미사일 이슈에만 집중하고 있다고 생각하기 때문입니다.21세기의 석유는 데이터인 것처럼 21세기의 전장은 어떤 나라의 영토가 아니라 인터넷입니다. ​사이버 전쟁에 대해 이야기하기 전에 러시아와 우크라이나 두 나라의 역사에 대해 알아볼 필요가 있습니다.​"우크라이나"라는 나라는 처음으로 12세기에 언급됐으며 가장 흔하게 쓰이는 번역은 '국경 지방' (borderland)입니다. 우크라이나의 위치..

악성코드 Malware 2022. 5. 19. 19:24

안녕하세요! 오늘은 IcedID라는 악성코드의 Loader를 분석할 것입니다. 지난주는 간단하게 Malware의 "Lifecycle"에 대해서 이야기했는데, 다시 보자면: ​ 1단계 Loader: 악성 Office 파일. 악성 Macro를 활용해 해커가 제어하는 홈페이지에 들어가 2단계를 다운로드. 2단계: 악성 .exe 파일. 두 번째 Loader나 "final payload" 3단계: 1단계의 홈페이지 (C2 서버) 통신해 추가 .exe나 .dll 파일 다운로드 ​ 지난주 ursnif word 파일은 1단계 Loader이었고, 분석하다 보니 2단계의 Loader를 다운로드하는 C2 서버도 발견했으나 그 서버는 더 이상 존재하지 않으므로 ursnif의 2단계를 다운로드하지 못했고, 대신 IcedID L..

악성코드 Malware/Dropper-Loader 2022. 5. 19. 19:23

주의사항: Malware 혹은 악성코드를 분석할 때 원래 쓰는 운영체제를 절대 쓰지 마세요. 항상 악성코드를 위한 랩 환경을 쓰세요!! Vmware, Vbox 등! 안녕하세요! 오늘도 악성코드 분석을 할 겁니다. 제가 오늘 선택한 악성코드는 ursnif이라는 Banking Trojan입니다. Banking Trojan 같은 악성코드는 말 그대로 피해자가 은행 홈페이지에서 자기의 유저 이름하고 비밀번호를 입력하면 그 정보를 탈취하는 악성 프로그램입니다. 자주 발견할 수 있는 Banking Trojan는: Zeus, ursnif, Emotet, Trickbot. Panda입니다. ​ 몇 주 전에 "Word 파일 속에 악성코드"라는 블로그를 썼는데, 그때 제가 알려드린 것은 오늘 큰 도움이 될 겁니다. Wor..

악성코드 Malware/Maldocs 2022. 5. 19. 19:20

주의사항: Malware 혹은 악성코드를 분석할 때 원래 쓰는 운영체제를 절대 쓰지 마세요. 항상 악성코드를 위한 랩 환경을 쓰세요!! Vmware, Vbox 등! 안녕하세요! 오늘은 wannacry ransomware 파트 2 할 겁니다! 지난주는 wannacry의 IOC를 분석하고 Ghidra를 잠깐 돌려봤는데, 오늘은 더 자세하게 Ghidra의 도움으로 Reverse Engineering 할 예정입니다! 여러분의 관심을 불러일으키기 위해서 일단 발견된 것들 중에 가장 재밌는 것을 보여 드릴게요. 분석하다가 c.wnry라는 파일을 발견했는데 보니까 TOR 브라우저 주소가 나오네요!!! 그리고 bitcoin 주소까지? 재밌네요. 그냥 재미로 blockchain.com에 주소를 입력하였는데 뭘 발견했냐면..

악성코드 Malware/랜섬웨어 2022. 5. 19. 19:19

주의사항: Malware 혹은 악성코드를 분석할 때 원래 쓰는 운영체제를 절대 쓰지 마세요. 항상 악성코드를 위한 랩 환경을 쓰세요!! Vmware, Vbox 등! 안녕하세요~ 오늘 블로그는 제가 malware를 분석할 때 저의 방법론에 대해 알려 드리면서 Wannacryt이라는 Ransomware 예시로 실습하겠습니다. ​ 1) 랩 환경 ​ 왼쪽 사진: Remnux이라는 VM을 사용합니다. Remnux는 특별히 Reverse-Engineering 하고 Malware 분석을 위한 VM입니다. 여기서는 inetsim이라는 tool을 쓰며 http, smb 같은 네트워크 서비스들을 모방하는 역할을 해줍니다. 오른쪽 사진: flareVM이라는 VM을 사용합니다. flareVM는 악성코드 분석의 Kali Lin..

악성코드 Malware/랜섬웨어 2022. 5. 19. 19:18

!!! 여러분이 저의 블로그 읽으시고 얻으신 지식으로 뭐 하실지 그 책임은 저에게 없음을 알려드립니다. 여러분이 책임을 지셔야 합니다!!!! (비디오도 같이 있는데 티스토리는 업로드 안 돼서 저의 네이버 블로그 확인해주시기 바랍니다!) https://blog.naver.com/maxhin/222587409533 안녕하세요~ 오늘은 모의 침투를 하지 않고, 악성 word 파일을 만들어서 윈도우 머신을 해킹해 보겠습니다! 그다음에 방어 방법과 Microsoft Office 파일을 어떻게 분석할 수 있는지에 대해서 알려 드리겠습니다! ​ 제가 요즘 해킹 공부를 안 할 때 악성코드 분석을 재밌게 공부하는데 얼마 전에 다시 부활한 emotet이라는 악성코드 유포되고 있어서 저의 블로그를 읽으시는 여러분들께 wor..

악성코드 Malware 2022. 5. 19. 19:12