Monster

본 작성자는 초급 분석가이며, 피드백 환영합니다. 이번 작성할 글은 x64dbg를 사용해서 JScript 분석하는 글 입니다. 목자- 개요- 분석- 마치며 개요해당 스크립트는 실행 시 바이너리가 다운받아지며 explorer.exe 에 코드인젝션을 한다.본문에서는 바이너리 분석은 제외하며 난독화된 스크립트를 분석한다. 분석아래는 분석할 파일 및 난독화된 스크립트 내용이다.난독화를 풀려고 하였지만, 어려워서 x64dbg를 사용하여 분석하였다. "명령줄 바꾸기"를 사용하여 분석할 JScript를 가져오자."C:\Users\Administrator\Desktop\Efax_Invoice.jse" ShellExecute 함수에 BP를 걸기위해 shell32.dll 를 로드하고 InternetCreateUrl 함수에..

본 작성자는 초급 분석가이며, 피드백 환영합니다. 이번 작성할 글은 x64dbg를 사용해서 doc 매크로 분석하는 글 입니다. 목차- 개요- 분석- 마치며 개요올해 doc 매크로 악성코드가 많이 유포 되었다.ms office 기능 중 매크로라는 기능이 있는데, 이 것을 활용한 악성코드 이다.일반 사용자가 " 콘텐츠 사용 " 이라는 버튼을 클릭하게 되면 악성코드가 실행이 된다. 분석파일을 열어보면 아래와 같이 상단에 보안 경고가 출력되어 있다."콘텐츠 사용"을 클릭하게 되면 악성코드가 실행이 된다. 그리고 매크로를 볼려면 "콘텐츠 사용"을 누를 수 밖에 없다. 아래는 난독화된 매크로이다.보시다시피 엄청 복잡하게 되어있다. 우리가 분석할 것은 매크로가 실행이 되면서 생성되는 난독화 스크립트이다. 아래는 악성..

본 작성자는 초급 분석가이며, 피드백 환영합니다. 목차- 개요- 분석- 마치며 개요난독화된 바이너리 및 스크립트는 실행 시 메모리에서 난독화가 해제된 상태로 올라간다는 부분에서 아이디어가 생각이 나서 연구를 하였으며,다른 이유로는 좀 더 쉽게 분석하기 위하여 작성하였다.x64dbg 라는 tool을 사용하였으며, 이유는 64bit 프로그램을 분석하기 때문이다.그리고 다양한 기능들이 있으며, 대표적으로 그래프뷰, 한글지원, 파이썬 지원 등이 있다. 분석JScript를 분석할 것이며 x64dbg를 사용할 것이다.JScript를 실행시 wscript.exe 프로그램이 실행되며 wscript.exe 프로그램을 통하여 JScript를 분석할 것이다. 위 사진의 연결 프로그램 부분에 Microsoft Windows ..