로픽의 IT블로그

Malware_Analysis 실습 1-1 정적분석 기초 정적분석 실습 으로아래 출처를 기반으로 작성하였습니다. 출처 : https://book.naver.com/bookdb/book_detail.nhn?bid=7327943 실전 악성코드와 멀웨어 분석 악성코드 분석 지침서. 악성코드 분석의 초심자를 비롯해 중고급자에게 충분한 지식을 전달할 수 있게 구성되었으며, 악성코드 분석 기법과 사용 도구, 그리고 악성코드 분석의 고급 기법을 다 book.naver.com 출처 : https://inf.run/Nib5 윈도우 악성코드(malware) 분석 입문 과정 - 인프런 | 강의 입문자를 위한 악성코드 분석 과정의 단기 온라인 과정입니다., - 강의 소개 | 인프런... www.inflearn.com Malw..

뉴크스페드(NukeSped) - 원격 접근 트로이목마(RAT) - 피해자 시스템에 대한 원격 관리 가능 - 샘플 대부분(70%)이 한국어로 구성 - 북한 해커들이 사용해온 폴칠(멀웨어 행위)이나 홉라이트(암호화 기술)와 비슷 - 북한 해킹 그룹 라자루스와 관련 있는 것으로 추정. 뉴크스페드 특징 - 동적으로 기능들을 발휘 - API 이름들도 암호화. 정적 분석을 회피하기 위한 수단 - 공격 지속성을 확보하기 위해 Run 레지스트리 키에 자신을 삽입 뉴크스페드 기능 - 감염된 호스트에 대한 관리 및 접근 권한을 원격에 있는 공격자에게 부여 - 추가 페이로드를 확보해 실행 시키고, 자기 자신을 포함한 여러가지 흔적들을 삭제 뉴크스페드 행위 1) 다른 사용자의 프로세스를 생성 2) 폴더 내 파일들을 반복적으로..

19년 7월 30일 국내 정보보호 기업 M사의 유효한 코드서명 인증서를 포함한 악성코드가 발견되었습니다. 이번 악성코드 공격은 안다리엘이라는 북 해커조직이 주로 사용하는 특정 암호 알고리즘을 포함하고 있다고 합니다. * 보안뉴스 기사 https://www.boannews.com/media/view.asp?idx=81889&utm_source=dable [긴급] 北 추정 해킹그룹, 보안업체 코드서명 인증서 또 악용 국방 및 방위산업체와 ATM, 여행사 등을 공격한 것으로 잘 알려진 북한 추정 국가지원 해커조직의 새로운 공격이 30일 발견돼 관계기관이 비상에 걸렸다. www.boannews.com 해당 악성코드에 대한 이스트시큐리티의 분석리포트를 보면, 악성코드에 감염이 되면 스케줄러에 자기자신을 등록하고 ..

악성코드 자동화 분석도구 중 하나인 Cuckoo Sandbox를 통한 악성코드 샘플 분석 결과이다. (샘플분석은 "리버싱 이 정도는 알아야지" 서적을 참고하여 작성하였습니다.) 분석파일 : Challenge02.exexx 분석 소요시간 : 3~4분 분석 report : html Summary - 악성파일의 전체적인 행위를 요약. * Summary : 파일사이즈, 타입, MD5, SHA1 및 샘플파일 Score 확인가능. * Signatures : 악성코드를 실행한 PC정보, 악성 행위, 파일 속성 변경 등등 행위에 대한 간단 요약. * Static Analysis : 악성파일의 정적분석 결과 확인. * Behavioral Analysis : 악성파일 동적분석 결과 확인. * Dropped Files : ..

PE파일 포맷 PE(Portable Excutable)포맷 - 윈도우에서 사용되는 실행 가능한 파일 형식 - exe, dll, obj, sys등의 확장자를 가진 파일들이 여기에 해당된다. PE 구조 - 헤더, 섹션으로 구성 - 헤더 : 파일을 실행할 때 맨 처음 시작해야 할 코드의 시작 부분에 대한 정보를 포함한다 - 섹션 : 어셈블리 코드, 소스 코드내에서 변수들, 이미지와 문서 파일등의 리소스를 담고있다. *** 즉, 윈도우에서 실행 가능한 샐행 파일이 가지는 구조 *** PE 구조를 분석해주는 툴 PEView, PEiD, EXEINFOPE, StudPE, peframe.py 등 많은 종류의 PE 분석 툴들이 있다. peframe.py - 파이썬으로 작성되었고 소스 코드가 공개되어 있는 오픈소스 도구..