anyrun샌드박스에서 실행되지 않은 악성코드 [내부링크]

악성코드 다운로드 링크: https://app.any.run/tasks/744bb393-ec07-468f-95da-4a4ac5d93dd7/뉴스 링크: https://www.bleepingcomputer.com/news/security/malware-adds-anyrun-sandbox-detection-to-evade-analysis/유투브 영상실행중인 환경이 anyrun샌드박스라면 실행되지 않은 악성코드가 뉴스에 보도되었습니다. 악성코드 예제 사이트에 방문하면 "Any.run Detected!"메세지가 출력되면서 악성코드가 실행되지 않습니다.안타깝게도 공격자 서버가 사라져서 샌드박스 재실행을 해도 에러 메세지를 볼 수 없습니다. 악성코드는 공격자 서버로부터 스크립트를 다운받아 실행환경을 검사한 것으로 추측됩니다.1. 악성코드 행위 요.......

토렌트로 유포되는 악성코드 분석(영화 결백) [내부링크]

악성코드 링크: https://app.any.run/tasks/f4ccef4f-fd41-44f8-898b-0d6874baf8a6동영상 1편1. 분석 배경2020.7.7에 토렌트 악성코드가 뉴스에 보도되었고 해당 샘플을 찾을 수 있어 분석을 시작했습니다.봇넷 백도어 악성코드이지만 공격자에게 명령을 전달받는 부분이 분석이 너무 복잡해 해당 부분은 분석을 포기했습니다. 아쉬운대로 나머지 분석과정을 소개합니다.2. 요약2.1 실행 유도공격자는 영화를 보기 위해서 압축해제 프로그램 실행을 유도합니다. 일종의 피싱 공격이라고 분류 할 수 있겠네요. LOCK.exe를 실행하면 악성코드가 실행될 뿐 기존 영화 압축해제는 되지 않습니다.2.2 실행환경 분석: 안티 디버깅실행환경을 분석.......

12회 보안기사 후기 [내부링크]

이번 시험 난이도는 지금까지 나왔던 난이도와 비슷했습니다. 새로운 문제가 2문제가 있었고 알기사 책과 기출문제, 법을 제대로 공부했으면 70점대로 합격했을 것 같습니다. 문제유형 침해사고 발생시 관리자가 어떻게 탐지해야 할지 묻는 문제가 서술문제 2개 나왔습니다. Snort와 접속로그를 묻는 문제였습니다. 악성코드 분야에서는 1문제가 나왔고 다행히 맞았습니다.

윈도우 악성코드 분석 입문 프롤로그 [내부링크]

음.. 완성될지는 모르겠지만 윈도우 악성코드 분석 입문 영상을 시작하려고 합니다. 생각보다 악성코드 분석에 취업하기 위해 리버싱만 매우 열심히 공부하다가 취업에 실패한 사람이 엄청 많습니다. 그래서 주제넘지만 리버싱이 필요없는 악성코드 분석 입문 교육영상을 찍으려고 합니다. 제 생각이지만, 연구직 또는 개발직이아니라면 악성코드 분석 신입분야에서는 리버싱이 필요없습니다. 2가지 이유가 있습니다. 첫 번째, 현재 이 글을 쓰고 있는 2020년에는 채용 트렌드가 많이 바꼈습니다. 기술면접이 사라지고 지원자의 생각을 평가하는 PT(발표)면접과 토론면접으로 바뀌고 있습니다. 열심히 공부하고 지원했더라도 연구직 또는 개발.......

윈도우 악성코드 분석 입문 - 파일 생성 [내부링크]

샌드박스와 행위분석으로 "파일 생성"이벤트만 분석합니다.

[악성코드 분석 입문] 예제2 - 파일을 이동시키는 악성코드 분석 [내부링크]

안녕하세요. 이번 시간에는 파일을 이동시키는 악성코드를 분석합니다.다른 악성행위는 분석하지 않고 오직 파일 이동에 관련된 것만 다룹니다.

[악성코드 분석 입문] 예제3 - 생성된 파일이 실행되었는지 확인 [내부링크]

안녕하세요.이번 시간에는 생성된 파일이 실행되었는지 확인하는 예제입니다.악성코드는 악성행위를 숨기기 위해서 파일을 생성하고 그 파일이 악성행위를 하는 경우가 많습니다. 그러므로 이 주제를 선정하게 되었습니다.

[악성코드 분석 입문] 예제4 - njrat 파일 생성 이벤트 분석 [내부링크]

안녕하세요. 이번 시간에 다룰 내용은 njrat악성코드에서 생성한 파일이 실행되는 이벤트를 분석합니다.3번째 예제와 동일한 주제이지만 요즘 유행하고 있는 악성코드를 소개하고자 njrat를 선택했습니다.실습은 애니런샌드박스로만 사용합니다. 2020.6.16~6.23일 기간동안 가장 활발히 활동한 악성코드 중 4번째가 njrat라고 합니다.영상은 https://tv.naver.com/v/14448610 에서 보실 수 있습니다.생성된 파일 확인애니런샌드박스의 Text Report활용분석할 샘플은 https://app.any.run/tasks/3001f041-bfa2-4abe-885e-7e6ec443f5e5/ 에서 만나볼 수 있습니다.이번 시간 목표는 njrat가 생성한 파일이 실행되는 과정을 애니런샌드박스.......

[악성코드 분석 입문] 예제5 - 문서프로그램(엑셀)이 생성한 악성코드 분석 [내부링크]

안녕하세요.이 예제에서는 "파일 이벤트"를 다룹니다. MS-office 엑셀프로그램에서 악성코드를 생성하고 실행하는 과정을 샌드박스를 사용해서 분석합니다.4번째 예제까지는 바로 파일 이벤트를 보고 분석을 시작했습니다. 하지만, 오늘부터는 프로세스 그래프를 먼저 봐서 전체적인 흐름을 훓어보고 파일 이벤트를 분석할 것입니다. 전체적인 흐름을 보고 분석하는 것은 분석속도를 빠르게 하여 시간이 절약됩니다.예제 링크: https://app.any.run/tasks/206b3ced-213f-4fa7-9eff-04351fe76e4a/동영상: https://tv.naver.com/v/145037411. 전체적인 윤곽 파악오른쪽 화면 위 Processes graph를 클릭해서 프로세스 관계도.......

[악성코드 분석 입문] 예제6,7 - 파일삭제 이벤트 분석 [내부링크]

안녕하세요. 이번시간에는 악성코드가 파일을 삭제할 때 발생하는 이벤트를 분석합니다. 파일삭제 행위는 크게 3가지 이유가 있습니다. 1) 악성코드를 발견하지 못하도록 악성코드 삭제 2) 악성행위 중에 임시로 생성한 파일 삭제 3) 어플리케이션 또는 시스템에 영향을 주기 위해 중요한 파일 삭제안타깝게도 쉬운예제를 찾으려고 했으나 2번과 3번은 찾지 못했습니다. 아쉬운대로 1번 상황에 맞는 예제를 살펴보도록 하겠습니다.Notion에서 작성한 글이 더 보기 편합니다.1. anyrun 샌드박스에서 파일삭제 분석악성코드는 한 번 실행되면 흔적을 지우려고 합니다. 대표적인 예가 악성코드를 실행했던 파일을 삭제하는 것입니다. 그렇다면 a.......

[악성코드 분석 입문] 예제8 - 파일에 저장된 데이터를 훔치는 악성코드 분석(인포스틸러 분석) [내부링크]

이번 시간에는 파일을 검색하는 인포스틸러 행위를 살펴봅니다.최근 정보를 훔치는 인포스틸러 악성코드가 유행함에 따라 파일을 탐색하는 악성행위도 같이 증가했습니다. 인포스틸러는 정보를 훔치는 행위로 중요한 파일을 찾거나 메모리에 있는 정보를 찾습니다. 관련뉴스 1: 브라우저와 암호화폐 지갑에서 정보 탈취하는 새 멀웨어 등장관련뉴스 2: 미수신 택배 관련 가짜 메시지를 통해 확산되는 안드로이드 데이터 스틸링 악성코드관련뉴스 3: 인포스틸러(정보탈취) 악성코드가 55.9%로 1위 차지Notion게시글이 더 보기 편합니다.1. 인포스틸러가 파일 검색을 하는 이유사용자 또는 프로그램은 편의를 위해 자주 사용하는 정보를 파일에 저.......

2020년 1회 보안기사 실기 문제 예상해보자! [내부링크]

신용어신용어 1~2문제가 꾸준히 나왔었다. 마지막 보안기사 신용어는 DDE였으며 다행히 맞았다. 이번 보안기사는1. 악성코드가 쪽이 나오면 인포스틸러, asmi, wasm, vba stomping가 나오지 않을까?2. 사회이슈라면 재택근무와 관련된 VDI 또는 RDS(원격 데스크톱 서비스), MFA(다중인증)이 나오지 않을까?3. 취약점이라면 블루킵이 나오지 않을까?4. 사업분야라면 마이데이터, 블록체인요소, 인공지능:딥페이크가 나오지 않을까?  이외ISMS, ISO, CC 중 1개전자서명, 암호 알고리즘 1개VPN, SSL/TLS 중 1개snort, iptables 중 1개리눅스 로그, 윈도우 로그 중 1개위험관리, 정보보호 대책 1개클라우드 1문제 iam, eam보안 솔루션, 특히 해.......

NtQueueAPCThread로 코드 삽입 공격 [내부링크]

APC작업을 이용한 코드 삽입 공격 과정입니다. 이 공격은 2016년에 발견된 AtomBombing에 사용됩니다. 메타스폴릿에서도 이 기법을 사용한 페이로드가 있습니다. 참고자료https://github.com/hasherezade/snippets

한국인터넷진흥원 미리 방문 [내부링크]

너무나 길치여서 일요일에 나주 혁신도시를 방문했습니다. 집에서 약 1시간 40분 걸리네요. 한국전력거래소가 제일 커서 어디에서나 눈에 보입니다. 한국인터넷진흥원은 나주 혁신도시 외각지역에 있습니다.

구글 광고 피싱 [내부링크]

보안뉴스에서 재밌는 피싱 공격을 소개하고 있습니다. 코인원 홈페이지를 사칭해서 C&C서버로 사용했던 링크를 광고로 사용합니다 원문 https://m.boannews.com/html/detail.html?idx=72742

광주 청년일드림 1주일 후기 [내부링크]

광주청년일드림이 벌써 1주가 지났습니다. 부서배치 받자마자 논문을 읽고 분석하는 일을 맡았습니다. 주제는 인공지능을 이용해서 어떻게 악성코드를 탐지할 것인가? 입니다. 대학교 시절에 논문을 5장 정도 읽었는데 논문을 분석하는 일을 주니 물음표가 머리에서 튀어나오더군요. ㅜ.ㅜ 다행히 좋은 결과를 얻었습니다. 일을 하면서 논문을 읽을 상황이 오면, 이 논문이 우리 팀이 진행하는 프로젝트에 무슨 연관성이 있고 적용시킬 수 있는 부분을 0순위로 정하면 좋습니다.

독서실 무선 마우스 추천 [내부링크]

저는 로지텍 M331마우스를 약 2년 썼습니다. 이 마우스는 독서실 또는 도서관에서 사용하기 매우 좋습니다. 무선이다. 오래간다 소음이 거의 없다 오른쪽 마우스가 클릭이 안되서 약 2년만에 재구입했습니다. 그만큼 너무나 좋아요. 특징 그립감 : 좋음. 손이 작거나 큰거와 관계 없이 모든 손에 맞을 거라 생각 됨 무선 방식 : USB 단점 휠은 소음 있음 마우스 감도는 좋지 않음. 그림 편집같은 세밀한 작업에 사용하신 분들은 안사는 걸 추천.

[상큼한 노래]고양이 소리를 따라해 보자 [내부링크]

상큼한 노래 좋아하시는분에게 추천드립니다. 유투브에서 보시면 자막 있어요.https://youtu.be/OHbwkZgkBIU

광주청년 일드림 2주차 [내부링크]

광주청년일드림으로 한국인터넷진흥원에서 인턴으로 일한지 2주 지났습니다. 다음주가 추석이기때문에 추석선물도 받았습니다. 한국인터넷진흥원은 아침밥을 무료로 제공합니다. 일주일에 3번 정도 먹습니다. 오늘은 예비군 때문에 11시까지 근무합니다. 이번 주까지 인공지능으로 악성코드 탐지하는 논문을 3편 읽었습니다. 이제 직접 오픈소스를 분석하고 구현해야 됩니다. 텐서플로우로 구현할 예정입니다. 하지만 너무 어렵네요 ㅜㅜ. 이래라 저래라 악성코드 분야에서는 수학적 접근과 코딩은 불가피 하나 봅니다.

광주 금호동, 풍암동 해물볶음면 맛집 [내부링크]

월드컵 경기장 롯데아울렛 2층에서 해물볶음면을 먹었습니다. 해물 볶음면을 좋아하시는 분들은 추천합니다. 짜장면은 평범했습니다

광주메가박스 상무점 리모델링 + 베놈 [내부링크]

베놈을 보러 메가박스 상무점에 갔습니다. 본관은 없어졌고 대신 별관이 리모델링되었습니다. 의자의 버튼을 누르면 누워서 영화 볼 수 있습니다. 첨단지구 메가박스하고 같은 의자라고 들었습니다. 영화 베놈은 약 30분이 잘려서 그런지 끝나기 10분전 부터 스토리가 급격히 진행됩니다. 똥 안 닦은 느낌 납니다. 그래서 5점만점에 3점!

광주 상무지구 돈가스 맛집 [내부링크]

영화 보기전에 일본요리 식당에 갔습니다. 세트A메뉴에 치즈를 올려서 맛있게 먹었습니다. 5점 만점에 5점! 한번도 먹어보지 못한 맛있는 소스와 돈가스 맛이었습니다.

시간을 달리는 소녀 ost - 변하지 않는 것 [내부링크]

시간을 달리는 소녀는 일본 애니메이션입니다. 저는 이 영화를 보지 않았지만 OST를 자주 듣는 편입니다. 이유를 모르겠지만 계속 듣게 되더라고요. 피아노로만 연주 노래하면서 연주 이동진 영화평론가님이 간단히 영화에 평론을 했었습니다. 이 영상 보셔도 무슨 영화인지 느낄수 있습니다.

Formbook 악성코드 키워드 [내부링크]

Formbook 악성코드는 정상적인 프로세스에 코드 삽입공격(process injection)을 합니다. 많이 알려진 CreateRemoteThread를 사용하지 않고 NTQueueUserAPC를 사용합니다. 공격 기법은 사용자 원격 호출입니다. 하지만 저는 이 기법을 몰라서 몇 시간 헤맸습니다. 안티 VM, 안티 디버깅도 있기 때문에 아직 제 실력으로는 분석을 못하는 결론을 얻었습니다. 그래서 이 기법만 적용된 악성코드를 찾아야겠습니다 이 악성코드를 분석하기 위해서는 안티 디버깅을 우회하고 사용자 원격 호출을 이용한 코드 삽입 공격을 공부해야 합니다 #Formbook #codeinjection #코드삽입공격

2주뒤에 애플펜슬 나올까? [내부링크]

많은 분들이 9월 12일에 아이패드 프로3세대가 나올 예정이라고 말씀하십니다. 무척 기대 되네요. 삼성 갤럭시 탭 s4처럼 홈 버튼을 없애고 베젤을 넓힐 거라고 예견합니다. 애플펜슬 나올까?아이패드보다 제가 기대 되는 점은 새로운 애플펜슬과 새로운 아이폰과 호환이 가능한 여부입니다. 주변에 노트시리즈의 spen기능을 쓰는 것을 보면 매우 부럽더라구요. 애플 펜슬과 비교해서 가장 큰 장점은 충전이 필요 없습니다. 만약에 아이폰에 애플펜슬을 인식시킨다면 어떻게 수납할지, 충전은 어떻게 하는지 관심이 쏠릴 것 같습니다.

광주 청년일드림 공통교육 2일차 [내부링크]

어제, 광주청년 일드림 두 번째 공통교육 시간을 갖었습니다. 김대중컨벤션센터에서 진행했습니다. 자신을 알아보는 그룹심리검사를 했습니다.

코드 삽입공격 10가지 유형 [내부링크]

어제와 오늘, APC 인젝션 이론을 공부하고 직접 코드를 작성했지만 실행이 안됬습니다. 그래서, 실제 샘플을 찾아보다가 10가지 코드 삽입 공격 유형 소개 글을 찾았습니다. https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process APC 코드 인젝션이 사용된 유명한 사례가 AtomBombing입니다. TrickBot악성코드 조상인 Dridex에서 사용됐다고 합니다.

APC DLL인젝션 [내부링크]

학원 또는 입문 단계에서 DLL인젝션을 배울때 보통 CreateRemoteThread함수를 사용하는 기법을 배웁니다. 이 영상은 위 기법에서 CreateRemoteThread함수를 QueueUesrAPC함수로 교체한거를 제외하고는 과정이 같습니다. 그러므로 쉽게 따라할 수 있습니다. 끝으로 쿠쿠샌드박스 소스를 분석하면 위 과정을 어떻게 모니터링 하는지 볼 수 있습니다

광주일드림 3일차 [내부링크]

3일차에서는 광주일드림 프로젝트가 어떻게 탄생했는지, 왜 진행하는지 공감하는 시간이었습니다. 중간에 싸이버거도! 발표자는 청년드림 주무관이었습니다. 발표 중에 청년들을 생각하면서 눈물까지 흘리셨습니다. 의미부여로 하는 프로젝트가 아니라 정말 정말 청년들에게 기회를 주고 싶어하는 마음이 느껴졌습니다

광주일드림 4일차 [내부링크]

4일차 교육은 웨딩홀에서 진행됐습니다. 색다른 교육장소! 각 기업별로 모였습니다. 한국인터넷진흥원에 뽑힌 사람은 24명으로 제일 많았습니다. 한국인터넷진흥원 담당자 2분이 직접 오셨습니다. 약 1시간 질의응답시간을 가졌습니다. 기억에 남는 것은 ‘체험형 인턴’신분으로 일할 예정이라고 합니다. 한국인터넷진흥원에서 처음으로 체험형 인턴을 진행하기 때문에 기대된다고 말씀하셨습니다.

시스몬으로 프로세스 할로잉 탐지 도전 실패 [내부링크]

이벤트 10번 ProcessAccess는 A프로세스가 B프로세스 접근하면 발생한다. 프로세스의 내용을 읽거나 쓰기 위해 접근한다. 프로세스 할로잉을 하기 위해서 프로세스에 접근해야 하기 때문에 이벤트 10번에 필터링이 될 것이라 생각했다. 하지만, 접근하기 이전에 자식 프로세스로 생성하기 때문에 이벤트 10번 로그가 남는다. cmd.exe에서 메모장, 계산기를 실행하면 1번, 10번 이벤트가 기록된다. 그러므로 10번 이벤트가 발견된다고 해서 프로세스 할로잉이라고 생각할 수 없다. 가능성이 있을 뿐이다.

주머니 여유가 있으면 사고 싶은 도구 [내부링크]

안랩, SK인포섹 등 악성코드 분석 보고서를 보면 IDA Pro의 hex-ray 수도코드 플러그인을 사용한 흔적이 있다. 인텔 기반 프로세서만 지원하는 스타터팩만 50만원에 가깝다... 대체 프로그램으로 바이너리 닌자(binary ninja)와 radare2가 있다. 바이너리 닌자는 개인/학생용 버전이 16만원 정도한다. 나중에 한번 구매해서 써보고 싶다. radare2는 오픈 소스이다. 거의 모든 플랫폼을 지원한다. 플러그인도 많지만 다루기가 매우 어렵다. GUI버전은 cutter가 있다.

꿈을 향한 노래 [제이레빗 - 웃으며 넘길래] [내부링크]

힐링되는 노래입니다.

간단한 스노트, 수리카타 로그 분석 [내부링크]

스노트(snort), 수리카타(Suricata)로그를 분석해서 어떻게 악성코드에 감염되었는지 살펴보는 문제다. 샘플 : https://www.malware-traffic-analysis.net/2018/07/17/index.html 스노트 로그스노트 로그를 분석하면 192.168.1.95가 149.129.222.112에게 RAR파일을 받고 PE파일을 실행한다. RAR파일을 다운 받기 위해 192.168.1.95는 HTTP POST요청을 한다. 수리카타 로그수리카타에서는 192.168.1.95가 ETPRO 트로이젠 악성코드를 다운로드를 의심한다. 그리고 곧바로 185.68.93.18에게 감염 사실을 알린다. 수리타카는 C&C(Command And Control) 신호라고 의심한다. 192.168.1.95가 실행한 PE파일은 봇넷(Botnet)악성코드일 가능성이 높다.......

추천 !입문자 정보보안챌린지(CTF) - PicoCTF [내부링크]

입문자에게 추천드리는 CTF은 청소년을 대상으로 만들어진 PicoCTF입니다. 회원가입만 하시면 바로 문제풀이 창으로 이동됩니다. https://2017.picoctf.com/ 레벨 1을 전부 풀고 공략을 써야겠네요 ㅎㅎ.

picoCTF-2017 레벨 1 클리어 [내부링크]

sysmon - ELK 연동 [내부링크]

악성코드 로그 분석을 위해 시스몬 로그를 ELK에 보내봤습니다. 세미나 영상을 참고해서 프로세스 생성 이벤트를 자식-관계 이벤트로 표현하고 싶었습니다. 하지만.... 그래프 기능은 유로기능인 것 같습니다. 영상 : https://youtu.be/lPaNrR9uAOg

광주 청년일드림 매칭 [내부링크]

2018년 하반기 광주 청년 일드림에 매칭됬습니다. 가고 싶었던 한국인터넷진흥원! 악성코드에 관해 일 했으면 좋겠네요 ㅎ 2018년 하반기 총 300기업이 참여했습니다. 하지만, 악성코드 관련된 회사는 0이였습니다(공기업제외). IT관련된 기업은 드론촬영, 공공 빅데이터 개발, 홈페이지 제작이 있었습니다. #광주청년일드림 #광주일드림 #광주청년일경험드림

안티 VM, 디버깅 분석 [내부링크]

실제 악성코드가 어떻게 안티 VM, 안티 디버깅을 사용하는지 살펴 볼 수 있습니다. 샘플 해시 b2be7836cd3edf838ca9c409ab92b36d

윈도우 로그와 ELK를 사용해서 시스템 분석 세미나 영상 [내부링크]

윈도우 이벤트 로그와 시스몬 로그를 ELK에서 분석하는 영상입니다. 목표는 머신러닝으로 로그를 분석해서 알람 기능을 테스트하는 것 같습니다. 경이롭네요.

키바나(kibana) timelion 플러그인 설치 [내부링크]

우분투 저장소로 키바나를 설치하면 /opt/kibana경로에 설치됩니다. 플러그인 설치 명령어는 /opt/kibana/bin plugin명령어를 사용하시면 됩니다. (root 권한 필요)

칼리 리눅스 2018년 버전 3 릴리즈 [내부링크]

트위터 알람 중에 칼리 리눅스 버전 업데이트 소식이 있었네요 저에게 눈에 띄는 점은 gdb-peda플러그인이 정식으로 포함되어 있네요

우분투 16 vim 설치 [내부링크]

기존에 있던 vim관련된 것들을 제거하고 설치하시면 됩니다.

[SANS]공격자 VS 방어자 해야할 일 발표자료 [내부링크]

공격자(Red team) 또는 방어자(Blue team)이 어떻게 해야할지 큰 윤곽을 잡아주는 발표자료 입니다. 방어자는 로그를 수집하는데에 있어서 ELK를 사용하는 예가 있습니다. https://www.sans.org/summit-archives/file/summit-archive-1511995081.pdf 요즘 많은 오픈소스들이 참고하고 있는 ATT&CK에 대해서도 언급하고 있습니다.

쿠쿠샌드박스 게스트 설정 [내부링크]

윈도우 게스트 설정1. 파이썬 2.7설치2. 파이썬 패키지 pillow 설치진행과정 스크린샷 기록하는 패키지다. > pip install pillow3. 관리자 계정 생성관리자 권한으로만 실행되는 악성코드를 대비하기 위해서 관리자 계정을 생성한다. 관리자 계정으로 로그인 후 기존의 IE계정은 삭제한다. 관리자 로그인 비밀번호를 삭제한다. 관리자 로그인 비밀번호 : Passw0rd!4. UAC끄기5. agent.py 이동윈도우 게스트 공유폴더 설정을 한다. ~/.cuckoo/agent/agent.py 재부팅했을 때 실행되는 악성코드를 분석하기 위해 시작폴더에 agent.py를 복사한다 %APPDATA%\Microsoft\Windows\Start Menu\Programs|Startup6. 고정 IPhost-only네트워크 범위의 IP를.......

쿠쿠 샌드박스 설정 [내부링크]

cuckoo.confVirtualbox.confprocessing.confmemory.conf프로파일 찾는 과정 vol.py --info |grep Profiles reporting.conf

SNS를 통해 전공지식 검색 결과 [내부링크]

트위터가 전공지식에 관련된 글이 다른 SNS보다 많았습니다. 예를 들어 안티VM에 검색하면 트위터가 압도적으로 많습니다.

정적분석을 우회하는 패턴 [내부링크]

악성코드 개발자가 윈도우API를 사용해야 할 때가 있습니다. 안티 바이러스는 이 점을 이용해서 API함수 시그니쳐 기반으로 악성행위를 예측하죠. 예를 들어 프로세스 이름을 찾는 과정 중 한 부분입니다. 악성코드는 CreateToolHelp32SnapShot함수를 호출합니다. 안티 바이러스는 이 함수 이름이 발견되면 프로세스 조회라는 필터를 설정하면 쉽게 악성행위가 발견됩니다. 공격자는 안티 바이러스를 우회하기 위해서 함수이름을 난독화 합니다. 결국 문자열만 필터링을 했을 경우 이 기법을 탐지하지 못합니다. 저는 악성코드 탐지 솔루션을 만든적이 없지만, 이 경우에 레지스터를 탐지해야 할 것 같습니다. 위 그림처럼 결국은 함수 주소가 레.......

안티VM - 가상머신 모듈 검색 [내부링크]

가상머신으로 설치한 윈도우는 시스템 프로세스에서 가상머신 모듈을 사용합니다. 프로세스 익스플로러 또는 프로세스 해커로 쉽게 발견됩니다. 프로세스 해커 도구를 이용해서 시스템프로세스가 VirtualBox 모듈을 사용하고 있는 것을 발견한 장면입니다.샘플 해시 3ab39c77bde831dc734139685cada88ef7f17a6881f4ea7525a522c323562b3c

정규식으로 안티모듈탐색 시그니쳐 추출 [내부링크]

안티VM기법 중 가상머신모듈 탐색을 분석하기 정규식을 사용했습니다. https://github.com/LordNoteworthy/al-khaser/blob/master/al-khaser/Anti%20VM/VirtualBox.cpp에 있는 VirtualBox 탐지 시그니쳐입니다. 여기서 .exe .dll .sys만 뽑기 위해서 Perl언어 정규식을 사용했더니! 결과가 아주 예쁘게 나왔습니다.

CrackMe simpledatas_keygenme_1(매우 쉬움) [내부링크]

샘플: https://crackmes.one/crackme/5ab77f6633c5d40ad448cc1f 실행하면 이름과 시리얼 번호를 입력하는 창이 나타난다. 무작위로 이름과 시리얼 번호를 입력하면 "포기하지 마!"라는 메세지가 뜬다. x32dbg로 실행한 후 입력 대기 창이 뜰 때까지 실행한다. 만약, 엔트리 포인트 또는 그 전에 문자열 검색을 하면 메모리에 로드되지 않기 때문에 정확한 단서를 얻지 못한다. 문자열을 잘 찾아보면 잘못 입력했을 때 봤던 문자열이 보인다. 그 위에는 성공했을 때 볼 수 있는 문자열로 예상된다. 오른쪽 버튼을 클릭해서 "Follow in Disassembler"을 클릭하면 사용한 위치로 이동한다. 어디서 분기되는지 조사하면 JNE 0x401BE3이 보인다. 그 위.......

.NET 랜섬웨어 설명 글 [내부링크]

AES-RSA 암호화 알고리즘을 적용한 랜섬웨어 설명 글입니다. 랜섬웨어는 .NET 컴파일러를 사용했습니다. 암호화 알고리즘을 몰라도 쉽게 이해할 수 있게 설명되어 있습니다. https://blog.malwarebytes.com/threat-analysis/2018/02/encryption-101-shione-ransomware-case-study/

ASLR이 적용된 크랙미 [내부링크]

풀이영상ASLR이란?ASLR(Address Space Layout Randomization)은 버퍼 오버플로우 공격을 막기 위한 방어 기법이다. 버퍼 오버플로우 취약점은 개발자의 부주의로 인해 발생한다. 입력값의 유효성을 검증하지 않아 할당된 버퍼 크기를 초과하기 때문에 공격자는개발자가 원하지 않은 메모리 주소에 접근이 가능하다. 이 원리로 발견된 취약점의 이름은 오버플로우(overflow)단어가 포함된다. ASLR을 어떻게 공격에 사용되는가?버퍼 오버플로우를 방어하기 위한 많은 기법 중에 하나가 ASLR이다. 프로그램은 운영체제의 로더에 의해서 메모리에 로드되고 실행된다. 그러므로 메모리 주소를 할당받게 된다. 윈도우 PE포맷은 PE헤더에 이미지베이스와.......

안티 디버깅 분석하기 좋은 프로젝트 [내부링크]

안티 디버깅, 샌드박스, VM기법을 공부하고 실습하기 매우 좋아 보입니다. https://github.com/LordNoteworthy/al-khaser

.NET기반 랜섬웨어 - ShiOne [내부링크]

파일정보정적 분석%APPDATA%\Roaming\Microsfot 또는 내문서\Microsoft에 지속 메커니즘을 설치 할 것으로 예상된다. HTTP통신에 사용되는 함수들이 발견된다. 암호화를 의미하는 Encryption문자열이 있다. filepaths, FileStream함수와 관계지어 보면 파일을 암호활 가능성이 높다. cmd.exe를 새로운 프로세스로 실행을 암시하는 인자가 보인다. 파일 암호화가 완료되었다는 문자열이 보인다. 이 단서는 악성코드 종류가 랜섬웨어라고 말해준다. 디컴파일파일을 암호화에 사용될 것으로 추측되는 키가 하드코딩 되어 있다. RSAKey문자열이 포함되는 것으로 보아 이 문자열은 RSA알고리즘에 사용될 것으로 예상된다. 파일을 암호화 과정에 사용될.......