Monster

이번 분석 건은 CVE-2017-11882 분석입니다. MS Office 프로그램 중 EQNEDT32 프로그램에서 취약점이 발견되었으며, 해당 프로그램은 수식 편집기 프로그램 입니다. 해당 프로그램을 IDA Pro로 확인결과 strcpy 취약한 명령어를 사용함을 확인 하였습니다. 아래 그림은 EQNEDT32.EXE의 strcpy 함수영역 입니다. ' strcpy = NULL 문자를 만나기 전까지 문자열 복사 ' 이며 이 뜻은 길이 검사를 하지 않으며 BOF 에 취약함을 뜻합니다. 취약점 분석은 한 번도 안 해 봤으며, 참고자료를 보면서 분석을 하였습니다. 본 작성자는 초급 분석가이며, 많은 피드백 환영합니다. 특정 그림파일이 삽입이 되어있으며, 확인결과 수식연산자를 사용 한 것으로 확인된다. 워드 파일을..

이번 분석 건은 Javascript 난독화 분석 입니다. 난독화라기 보다는 변수명들만 보기가 어렵게 되어있습니다. 요즘 매우 이슈가 되고있는 GandCrab 4.3을 Javascript를 사용하여 유포하고 있습니다. 본 작성자는 초급 분석가이며, 많은 피드백 환영합니다. 아래 그림은 행위 순서이다. 각 주요 행위마다 변수를 설정한다. 랜섬노트가 생성 되었다는 것은 랜섬웨어 행위가 제대로 동작한다 라는 것을 의미하여 변수 값을 2 설정하여 특정 url에 송신한다. 실행 중인 프로세스들을 수집하여 특정 url에 전송한다. 무엇을 의미하는지는 자세히 모르겠다. 실행파일을 특정 경로에 생성 및 파일 명을 설정한다. 그리고 변수 값을 0으로 설정하며, 실행파일을 base64 디코딩 후에 GandCrab을 실행한다..

본 작성자는 초급 분석가이며, 많은 피드백 환영합니다. 이번 분석 건은 악성코드 분석은 아니며, Code Injection 기법 관련 분석입니다. 지금까지 분석한 악성코드 대부분은 자식프로세스를 생성하여 WriteProcessMemory 함수를 사용하여 Code Injection을 합니다. WriteProcessMemory의 Buffer 를 가져와 mem파일을 만들어서 분석을 하였습니다. 그런데 간혹 안되는 경우가 있습니다. 그래서 아래 본문에 그에 관련된 연구? 내용을 한 번 적어봤습니다. 샘플은 GandCrab 4.2.1 입니다. Code Injection 중 WriteProcessMemory의 Stack 부분이다. 4D5A(MZ)로 실행파일임을 확인하였으며, 특정 코드들이 들어있는 것을 확인할 수 ..

본 작성자는 초급 분석가이며, 피드백 환영합니다. 이번 분석 건은 GandCrab 4.1.2 입니다. 사용 툴 파일정보 위는 사용 툴과 GandCrab 4.1.2 파일 정보이다. GandCrab 4.1.2 분석시 패킹푸는 과정은 생략하겠다. 중복실행 방지 중복실행을 방지하기 위해 하드 볼륨 + 특정url을 salsa20 암호화 알고리즘을 통해 뮤텍스를 생성 특정 프로세스 탐지 및 종료 암호화 대상 파일의 쓰기 권한을 확보하기 위해 아래 프로세스들을 종료한다. 키보드 레이아웃 검사 Keyboard Layout(러시아), DefaultUILanguage(16개 국가)조회하여 일치할 경우 암호화 종료 Daniel J. Bernstein Salsa 암호화 알고리즘 Salsa 알고리즘을 발명한 컴퓨터 교수인 Da..

본 작성자는 초급 분석가이며 많은 피드백 환영합니다. 이번 자바스크립트 난독화 분석 건은 최근 언로보도 "https://www.boannews.com/media/view.asp?idx=71964&page=2&kind=1" 에 기재된 GandCrab 랜섬웨어 유포를 위한 자바스크립트 입니다. 스크립트 파일을 열어보면 아래와 같이 난독화가 되어있다. 해당 스크립트는 난독화가 어렵게 되어있어 x64dbg로 풀어볼 것이다. dll은 아래와 같이 load 하였다. ShellExecute, InternetCreateUrl, CreateFile 3개에 BP를 걸었다. 각 함수에 BP를 건 이유 ShellExecute = PowerShell 또는 cmd 사용하여 실행하는지 확인 InternetCreateUrl = C&..

본 작성자는 초급 분석가이며, 피드백 환영합니다. 이번 글은 악성코드 이며 한글 취약점을 이용한 한국을 겨냥한 악성코드 입니다.취약점 분석은 추후에 다룰 예정이며, 본문에서는 악성코드 분석만 기재를 하였습니다. 목차- 개요- 악성코드 동작방식- 상세분석- 마치며 개요 실제 악성코드 파일명은 "우려되는 대한민국.hwp" 이다. '최순실 게이트' 관련하여 한국을 겨냥한 악성코드이며, sort.exe 프로세스를 생성 후 특정 쉘코드를 인젝션 시키며 정보유출을 하는 것으로 추정됨.2016. 11. 05일 언론보도가 나왔으며, hwp파일을 실행하면 악성코드가 실행된다. 아래 표는 분석환경 및 사용한 툴 이다. 환경구성 Windows 7 32bit Service Pack 1 Hwp 8.0.0.466 분석 Tool ..

본 작성자는 초급 분석가이며, 피드백 환영합니다. 이번 작성할 글은 x64dbg를 사용해서 JScript 분석하는 글 입니다. 목자- 개요- 분석- 마치며 개요해당 스크립트는 실행 시 바이너리가 다운받아지며 explorer.exe 에 코드인젝션을 한다.본문에서는 바이너리 분석은 제외하며 난독화된 스크립트를 분석한다. 분석아래는 분석할 파일 및 난독화된 스크립트 내용이다.난독화를 풀려고 하였지만, 어려워서 x64dbg를 사용하여 분석하였다. "명령줄 바꾸기"를 사용하여 분석할 JScript를 가져오자."C:\Users\Administrator\Desktop\Efax_Invoice.jse" ShellExecute 함수에 BP를 걸기위해 shell32.dll 를 로드하고 InternetCreateUrl 함수에..

본 작성자는 초급 분석가이며, 피드백 환영합니다. 이번 작성할 글은 x64dbg를 사용해서 doc 매크로 분석하는 글 입니다. 목차- 개요- 분석- 마치며 개요올해 doc 매크로 악성코드가 많이 유포 되었다.ms office 기능 중 매크로라는 기능이 있는데, 이 것을 활용한 악성코드 이다.일반 사용자가 " 콘텐츠 사용 " 이라는 버튼을 클릭하게 되면 악성코드가 실행이 된다. 분석파일을 열어보면 아래와 같이 상단에 보안 경고가 출력되어 있다."콘텐츠 사용"을 클릭하게 되면 악성코드가 실행이 된다. 그리고 매크로를 볼려면 "콘텐츠 사용"을 누를 수 밖에 없다. 아래는 난독화된 매크로이다.보시다시피 엄청 복잡하게 되어있다. 우리가 분석할 것은 매크로가 실행이 되면서 생성되는 난독화 스크립트이다. 아래는 악성..

본 작성자는 초급 분석가이며, 피드백 환영합니다. 목차- 개요- 분석- 마치며 개요난독화된 바이너리 및 스크립트는 실행 시 메모리에서 난독화가 해제된 상태로 올라간다는 부분에서 아이디어가 생각이 나서 연구를 하였으며,다른 이유로는 좀 더 쉽게 분석하기 위하여 작성하였다.x64dbg 라는 tool을 사용하였으며, 이유는 64bit 프로그램을 분석하기 때문이다.그리고 다양한 기능들이 있으며, 대표적으로 그래프뷰, 한글지원, 파이썬 지원 등이 있다. 분석JScript를 분석할 것이며 x64dbg를 사용할 것이다.JScript를 실행시 wscript.exe 프로그램이 실행되며 wscript.exe 프로그램을 통하여 JScript를 분석할 것이다. 위 사진의 연결 프로그램 부분에 Microsoft Windows ..