Monster

개요 최근 비너스락커 조직이 문서파일 내에 은닉하여 악성코드를 유포 하고있다. 문서파일 열람 시 상단의 "콘텐츠 사용" 버튼을 클릭하면 문서파일 내 매크로가 실행되며 특정 C2와 연결하여 바이너리 파일 다운로드 후 실행되며, 해당 악성코드는 explorer.exe 에 Code Injection을 하여 약 5개의 플러그인 들을 실행시키며 자세한 사항은 하단에서 확인이 가능하다. 해당 보고서에서는 바이너리 파일만 분석을 진행하며 해당 바이너리 파일은 현재 상세분석 관련된 보고서가 공개되어 있지 않기에 상세분석을 하게 되었다. 문서파일 매크로 분석은 - https://monster-bbulman.tistory.com/12?category=670587 x64dbg를 활용한 doc 난독화 스크립트 분석 본 작성자..

본 작성자는 초급 분석가이며, 피드백 환영합니다. 이번 분석 건은 GandCrab 4.1.2 입니다. 사용 툴 파일정보 위는 사용 툴과 GandCrab 4.1.2 파일 정보이다. GandCrab 4.1.2 분석시 패킹푸는 과정은 생략하겠다. 중복실행 방지 중복실행을 방지하기 위해 하드 볼륨 + 특정url을 salsa20 암호화 알고리즘을 통해 뮤텍스를 생성 특정 프로세스 탐지 및 종료 암호화 대상 파일의 쓰기 권한을 확보하기 위해 아래 프로세스들을 종료한다. 키보드 레이아웃 검사 Keyboard Layout(러시아), DefaultUILanguage(16개 국가)조회하여 일치할 경우 암호화 종료 Daniel J. Bernstein Salsa 암호화 알고리즘 Salsa 알고리즘을 발명한 컴퓨터 교수인 Da..

본 작성자는 초급 분석가이며, 피드백 환영합니다. 이번 글은 악성코드 이며 한글 취약점을 이용한 한국을 겨냥한 악성코드 입니다.취약점 분석은 추후에 다룰 예정이며, 본문에서는 악성코드 분석만 기재를 하였습니다. 목차- 개요- 악성코드 동작방식- 상세분석- 마치며 개요 실제 악성코드 파일명은 "우려되는 대한민국.hwp" 이다. '최순실 게이트' 관련하여 한국을 겨냥한 악성코드이며, sort.exe 프로세스를 생성 후 특정 쉘코드를 인젝션 시키며 정보유출을 하는 것으로 추정됨.2016. 11. 05일 언론보도가 나왔으며, hwp파일을 실행하면 악성코드가 실행된다. 아래 표는 분석환경 및 사용한 툴 이다. 환경구성 Windows 7 32bit Service Pack 1 Hwp 8.0.0.466 분석 Tool ..