Lhaaan

MalwareBazaar 보다가 kimsuky로 태그 걸어서 보던 중 doc 악성코드라길래 분석을 진행해보았다. 파일 구성 파일명: 인적사항.doc 해시값 MD5: 91d0b01a6a4a0b8edadf1df6a8e68d20 SHA-1: b39ac30367d9aa2d915e7ce5d102694b1a0c6450 SHA-256: 0d663b9907a34604f120963b64a763c472e7e896857728199d3df912c93208a0 인적사항.doc 해당 파일은 doc 파일로 되어 있으며, 매크로가 삽입되어 있다. 해당 매크로를 먼저 확인해보자 매크로 확인 비밀번호가 걸려있다.. 그래서 oletools를 사용해서 매크로를 다 뽑아냈다. 매크로 분석 Private Sub Document_Open() S..

chm 악성코드에 대한 내용들을 보다가 분석할 만한 샘플이 있어 분석을 해보았다. 비교적 간단한 파일이라서 분석하는데 어렵진 않았다. 파일 구성 파일명: 북의 핵위협 양상과 한국의 대응방향.chm 해시값 MD5: 364d4fdf430477222fe854b3cd5b6d40 SHA-1: b5224224fdbabdea53a91a96e9f816c6f9a8708c SHA-256: c62677543eeb50e0def44fc75009a7748cdbedd0a3ccf62f50d7f219f6a5aa05 chm 파일 분석 Microsoft HTML Help Workshop을 통해 해당 파일 내부에 있는 구성 파일들을 다 추출 추출 시 3가지 파일이 나오는 것을 알 수 있음 home.html에 악성 스크립트가 삽입되어 있을 ..

지금은 대학원에와서 공부를 하고 있지만, 관제업무를 했을 당시 실제로 log4j 취약점이 터져서 많이 당황했던 기억이 있다. 그때 로그 확인하고 SIEM에 룰 설정하고, 로그 분석을 통해서 공격이 먹힌 흔적이 있는지, IPS, WAF에 룰 설정 되어있는지 확인하고, 난리도 아니였다. 담당자 분들은 당황하신거 같고... 암튼 여러모로 경험이 되었던 기억이 있다. Log4Shell이란? 보통 로그를 기록한다는 말은 컴퓨터에서 일어나는 모든 이벤트들을 기록하는것을 의미한다. Log4j는 JAVA를 통해 로그를 남기는 프로그램을 의미하며 Apache에서 만든 오픈소스 라이브러리이다. 굉장히 많은 기업들이 사용하는 것으로 알 고 있으며, 매우 흔한 라이브러리이다. Log4Shell 취약점 이 취약점은 마인크래프트..

CHM(Compiled HTML Help)란? CHM 파일은 “Compiled HTML Help”의 약자로, Windows 운영 체제에서 사용되는 도움말 파일 형식 이 파일 형식은 HTML, CSS, Javascript 및 기타 웹 기술을 사용하여 텍스트, 이미지 및 링크 등을 통합하여 사용자에게 정보를 제공 주로 소프트웨어 응용 프로그램의 도움말 시스템에 사용되며, 사용자가 프로그램의 기능 및 사용법을 이해하는 데 도움을 줌 CHM 파일의 구조 CHM 파일은 하나의 압축된 아카이브 파일로 내부적으로는 여러 HTML 파일, 이미지, 스타일 시트 및 다른 웹 관련 자원들이 포함되어 있음 구글에 쳐보면 쉽게 다운로드 가능함Microsoft HTML Help Workshop과 같은 도구를 사용하여 CHM 파일..

오늘은 조금 생소한 HTA 파일에 대해 알아볼까 합니다. HTA 파일도 악성코드로서 자주 쓰이고 있는 추세이고, 알면 좋을것 같아 공유하기 위해 글을 써봅니다. HTA란? HTA (HTML Application)는 마이크로소프트가 개발한 웹 애플리케이션 프로그래밍 기술이며 HTA 확장자 파일은 Mshta.exe 윈도우 바이너리로 실행되며 HTML에 포함된 VBScript 및 JScript를 실행할 수 있기 때문에 MS로 서명된 유틸리티를 통해 임의 스크립트 코드 실행을 할 수 있어 공격하기엔 꽤나 편리한 수단이다. 실제로 hta 파일을 통한 공격이 많이 이루어지고 있는 추세이다. 악성코드로 활용 HTA의 경우 다양한 언어를 사용할 수 있고, 기존 웹 앱과는 다르게 로컬 파일 시스템이나 레지스트리에 직접 ..

악성코드로 사용되는 LNK 파일 LNK 파일 내부에 파워쉘 명령어를 주입해 악성행위를 수행하는 공격이 많이 급증하고 있다. 특히 폴더 설정에 확장자 보기를 해놓지 않으면 LNK 파일에 PDF 파일의 이미지를 입혀 실제 PDF 파일처럼 착각하게 만들 수 있어 사용자의 클릭을 유도하기 때문에 굉장히 위험하다. LNK 파일의 바로가기 대상에 파워쉘 명령어를 넣어 악성행위를 수행할 수 있으며, 공백을 길게 넣어 어떤 명령어가 있는지 안보이게끔 설정해서 공격을 수행하기도 한다. 백그라운드에서 추가적인 Shellcode를 내려받는 bat 파일을 생성 후 실행하기도 하며, 추가적인 악성 코드를 다운로드 받는 행위도 수행하는 것으로 확인된다. LNK 파일의 구조 LNK 파일 대상 여기서는 LNK 파일의 구조에 대해 깊..

공급망 공격이란? 공급망 공격(value-chain attack) 또는 서드파티 공격(third party attack) 이라고 하는 공급만 공격은 자사의 시스템 및 데이터에 접속할 수 있는 외부 협력업체나 공급업체를 통해 누군가가 시스템에 침투할 때 발생한다. 거의 모든 기업이 외부 소프트웨어와 하드웨어를 사용하는데, 새로운 기술을 통해 구축을 시작하는 경우는 대부분 없고, 오픈소스를 통해서 구축하는 것을 대부분 선호한다. 하지만 애플리케이션의 취약점이 발생될 경우 굉장한 위험이 다르기 때문에 항상 모든 패치가 최신 상태여야 한다. 공급망 공격 피해 사례 공급망 공격의 대표적인 사례로는 ASUS 업데이트 서버 공격, 보안업체 Avast 서버 공격, MeDoc의 업데이트 서버 공격등이 있으며, 국내에서는..

개요 스피어피싱에 대해 알아보다가 심심해서 Chatgpt한테 물어보았다.. 스피어피싱은 "피싱(Phishing)"이라는 용어에서 파생된 말로, 인터넷 상에서 개인정보를 빼내기 위해 사람들을 속이는 사기 수법 중 하나를 가리킵니다. 스피어피싱은 일반적인 피싱보다 더 정교하게 설계되어 특정 개인, 기업 또는 단체를 목표로 합니다.스피어피싱은 신뢰도를 높이고 피해자를 속이기 위해 더욱 세심한 조사와 개인화된 정보를 활용하기 때문에, 주의가 필요합니다. 사용자는 의심스러운 이메일이나 메시지에 대해서는 신중히 대응하고, 절대 개인 정보를 유출하지 않도록 주의해야 합니다. 또한, 보안 솔루션을 이용하여 이러한 종류의 사기에 대비하는 것이 중요합니다. 스피어피싱에서는 공격자가 특정 목표를 정하고, 그 목표와 관련된 ..

APT 정의 Advanced + Persistent + Threat 지능적이고(Advanced) 지속적인(Persistent) 공격(Threat)을 가하는 해킹 공격입니다. 대부분의 악성코드는 빠르게 피해를 입히기 위해 피해 대상을 무작위로 선정해 공격하지만, APT는 이와 달리 보다 전략적인 방식으로 공격을 수행합니다. 공격자는 트로이 목마 또는 피싱과 같은 기존 악성코드를 통해 침입한 다음 비밀리에 이동하여 네트워크 전체에 공격 소프트웨어를 설치하면서 자신의 흔적을 숨깁니다. 백도어, 키로거 설치등의 목표를 달성하여 몇 년에 걸쳐 지속적으로 데이터를 추출합니다. APT 공격 프로세스 APT의 공격 프로세스는 크게 4가지로 분류해서 설명할 수 있다. [1] 1단계: 침투 공격자가 취약한 시스템이나 직원..

파일 구성 파일명: 5a3f1d14b9cc4890db64fbc41818d7039f25b0120574dcdec4e20d13e6b2740c.lnk 해시값 MD5: 7336068f2c5ed3ed154b6c8b1d72726a SHA-1: e72c90aedd2ef27226d891f464caec19635a6fd3 SHA-256: 5a3f1d14b9cc4890db64fbc41818d7039f25b0120574dcdec4e20d13e6b2740c lnk 파일 하나가 들어가 있음, 해당 파일은 html 파일로 위장하려고 icon을 엣지 이미지를 넣음 5a3f1d14b9cc4890db64fbc41818d7039f25b0120574dcdec4e20d13e6b2740c.lnk 해당 파일은 바로가기 파일로 되어 있으며, htm..