로픽의 IT블로그

악성코드 유형 * 다운로더 (Downloader) - 인터넷에서 악성코드의 다른 일부를 다운로드한 후 로컬 시스템에서 실행 - WinExec, URLDownloadtoFileA 사용 * 실행기 (launcher) - 현재 실행이나 추후 실행을 은닉하기 위해 악성코드를 설치하는 특정 실행파일 * 백도어 (Backdoor) - 공격자가 희생자 머신에 원격 접속할 수 있게 도와주는 악성코드 * 리버스 셀 (reverseshell) - 감염된 머신에서 출발하는 연결이며, 공격자에게 해당 머신에 대한 접속을 허용 * 원격관리도구 (RAT) - 원격에 있는 컴퓨터들을 관리할때 사용 * 봇넷 (Botnet) - 좀비로 알려진 침해 호스트의 집합 ** RAT와 봇넷의 차이 - 봇넷은 다수의 호스트를 감염시키고 통제하는..

악성코드 (Malware) - 멀티스레드를 자주 사용 - DLL 파일도 디버그 가능 - 트레이스 : 자세한 실행정보를 기록하는 디버깅 기술 - Windbg : 마이크로소프트 윈도우 다용도 디버거 : 커널 디버깅의 초점 커널 (Kernel) 커널 드라이버 애플리케이션 - 악의적인 드라이버는 일반적으로 하드웨어를 제어하지 않는 대신 윈도우 커널 컴포넌트와 통신 윈도우 (Windows) - Symbol : 단순히 특정 메모리의 주소의 이름 - 악성코드는 쉽게 들키지 않기 위해 커널 공간에서 파일을 쓴다 - 커널 모드에서 NtCreateFile과 NtWriteFile API 사용 - Vista 이후 윈도우는 boot 설정 데이터에 BCDEdit 프로그램 이용 - PatchGuard : 커널 보호 패치 매커니즘 ..

뉴크스페드(NukeSped) - 원격 접근 트로이목마(RAT) - 피해자 시스템에 대한 원격 관리 가능 - 샘플 대부분(70%)이 한국어로 구성 - 북한 해커들이 사용해온 폴칠(멀웨어 행위)이나 홉라이트(암호화 기술)와 비슷 - 북한 해킹 그룹 라자루스와 관련 있는 것으로 추정. 뉴크스페드 특징 - 동적으로 기능들을 발휘 - API 이름들도 암호화. 정적 분석을 회피하기 위한 수단 - 공격 지속성을 확보하기 위해 Run 레지스트리 키에 자신을 삽입 뉴크스페드 기능 - 감염된 호스트에 대한 관리 및 접근 권한을 원격에 있는 공격자에게 부여 - 추가 페이로드를 확보해 실행 시키고, 자기 자신을 포함한 여러가지 흔적들을 삭제 뉴크스페드 행위 1) 다른 사용자의 프로세스를 생성 2) 폴더 내 파일들을 반복적으로..