Monster

이번 분석 건은 전에 분석했던 GandCrab FileLess 입니다. 분석을 하던 중에 전에 분석했던 것과 다른 점이 있어서 블로그를 작성하게 되었습니다. 다른 점은 Delphi 짜여진 바이너리 파일 행위가 바뀌었습니다. 전에 분석했던 것은 단순 GandCrab PE복호화 및 실행이었는데, 해당 분석 건에서는 V3 Check, UAC Bypss, ALYac Check 하는 기능들이 확인되었습니다. 자바스크립트를 열어보면 위와 같이 난독화 된 문자열들을 확인할 수 있다. 아래는 복호화한 스크립트 이다. 파워셸을 실행시키며 인자 값으로 .log를 실행하는 것으로 확인된다. log파일을 열어보면 base64로 인코딩 된 문자열들이 확인되며 복호화를 하면 아래와 같다. 전과 같이 분석을 하다보면 파일시그니처 ..

이번 분석건은 PowerShell을 이용하여 메모리에서 랜섬웨어를 실행하는 Fileless GandCrab 입니다. 아래 URL과 동일한 방식인 것으로 확인됩니다. ' http://asec.ahnlab.com/1141 ' https://www.boannews.com/media/view.asp?idx=74848 분석 방식은 x64dbg, OllyDbg, gflags 를 사용하여 분석하였습니다. sample.js 를 불러오면 위와 같이 난독화 된 문자열들이 확인된다. 해당 JavaScript를 복호화를 해 보면 아래와 같다. 기존 GandCrab JavaScript 는 백신우회, 랜섬웨어 드랍 및 실행을 하였지만, 위 스크립트를 보면 PowerShell을 통해 log파일을 실행 시키는 것을 확인할 수 있다...

이번 분석 건은 Javascript 난독화 분석 입니다. 난독화라기 보다는 변수명들만 보기가 어렵게 되어있습니다. 요즘 매우 이슈가 되고있는 GandCrab 4.3을 Javascript를 사용하여 유포하고 있습니다. 본 작성자는 초급 분석가이며, 많은 피드백 환영합니다. 아래 그림은 행위 순서이다. 각 주요 행위마다 변수를 설정한다. 랜섬노트가 생성 되었다는 것은 랜섬웨어 행위가 제대로 동작한다 라는 것을 의미하여 변수 값을 2 설정하여 특정 url에 송신한다. 실행 중인 프로세스들을 수집하여 특정 url에 전송한다. 무엇을 의미하는지는 자세히 모르겠다. 실행파일을 특정 경로에 생성 및 파일 명을 설정한다. 그리고 변수 값을 0으로 설정하며, 실행파일을 base64 디코딩 후에 GandCrab을 실행한다..

본 작성자는 초급 분석가이며 많은 피드백 환영합니다. 이번 자바스크립트 난독화 분석 건은 최근 언로보도 "https://www.boannews.com/media/view.asp?idx=71964&page=2&kind=1" 에 기재된 GandCrab 랜섬웨어 유포를 위한 자바스크립트 입니다. 스크립트 파일을 열어보면 아래와 같이 난독화가 되어있다. 해당 스크립트는 난독화가 어렵게 되어있어 x64dbg로 풀어볼 것이다. dll은 아래와 같이 load 하였다. ShellExecute, InternetCreateUrl, CreateFile 3개에 BP를 걸었다. 각 함수에 BP를 건 이유 ShellExecute = PowerShell 또는 cmd 사용하여 실행하는지 확인 InternetCreateUrl = C&..

본 작성자는 초급 분석가이며, 피드백 환영합니다. 이번 작성할 글은 x64dbg를 사용해서 JScript 분석하는 글 입니다. 목자- 개요- 분석- 마치며 개요해당 스크립트는 실행 시 바이너리가 다운받아지며 explorer.exe 에 코드인젝션을 한다.본문에서는 바이너리 분석은 제외하며 난독화된 스크립트를 분석한다. 분석아래는 분석할 파일 및 난독화된 스크립트 내용이다.난독화를 풀려고 하였지만, 어려워서 x64dbg를 사용하여 분석하였다. "명령줄 바꾸기"를 사용하여 분석할 JScript를 가져오자."C:\Users\Administrator\Desktop\Efax_Invoice.jse" ShellExecute 함수에 BP를 걸기위해 shell32.dll 를 로드하고 InternetCreateUrl 함수에..

본 작성자는 초급 분석가이며, 피드백 환영합니다. 이번 작성할 글은 x64dbg를 사용해서 doc 매크로 분석하는 글 입니다. 목차- 개요- 분석- 마치며 개요올해 doc 매크로 악성코드가 많이 유포 되었다.ms office 기능 중 매크로라는 기능이 있는데, 이 것을 활용한 악성코드 이다.일반 사용자가 " 콘텐츠 사용 " 이라는 버튼을 클릭하게 되면 악성코드가 실행이 된다. 분석파일을 열어보면 아래와 같이 상단에 보안 경고가 출력되어 있다."콘텐츠 사용"을 클릭하게 되면 악성코드가 실행이 된다. 그리고 매크로를 볼려면 "콘텐츠 사용"을 누를 수 밖에 없다. 아래는 난독화된 매크로이다.보시다시피 엄청 복잡하게 되어있다. 우리가 분석할 것은 매크로가 실행이 되면서 생성되는 난독화 스크립트이다. 아래는 악성..

본 작성자는 초급 분석가이며, 피드백 환영합니다. 목차- 개요- 분석- 마치며 개요난독화된 바이너리 및 스크립트는 실행 시 메모리에서 난독화가 해제된 상태로 올라간다는 부분에서 아이디어가 생각이 나서 연구를 하였으며,다른 이유로는 좀 더 쉽게 분석하기 위하여 작성하였다.x64dbg 라는 tool을 사용하였으며, 이유는 64bit 프로그램을 분석하기 때문이다.그리고 다양한 기능들이 있으며, 대표적으로 그래프뷰, 한글지원, 파이썬 지원 등이 있다. 분석JScript를 분석할 것이며 x64dbg를 사용할 것이다.JScript를 실행시 wscript.exe 프로그램이 실행되며 wscript.exe 프로그램을 통하여 JScript를 분석할 것이다. 위 사진의 연결 프로그램 부분에 Microsoft Windows ..