Lhaaan

메모리 포렌식 예제를 찾다가 Cridex 메모리 이미지가 있길래 분석을 진행하였습니다.개요볼라틸리티를 통해 메모리 포렌식을 수행하였고, 해당 악성코드가 어떻게 실행되고 있는지 확인했다. 볼라틸리티를 많이 안써봐서 이 기회에 실습 겸으로 분석을 해보자처음엔 volatility3로 분석했는데, 네트워크 소켓 관련 정보를 확인할 수 없어서 2 버전으로 갈아탐Image Info 분석먼저 windows.info 명령어를 통해 해당 이미지에 대한 정보를 확인하였다. 분석이 진행되는 것을 확인할 수 있다. 프로세스 분석pslist 확인프로세스 리스트들을 확인하기 위해 windows.pslist 명령어를 통해 분석을 진행하였다.딱히 의심스러운 파일이 보이지는 않는다.pstree 확인이 부분도 딱히 의심될만한 부분은 안..

해당 파일은 우리은행을 사칭했던 앱이다. apk 악성코드 샘플을 분석해보려고 하다가 예전에 피싱과 관련된 apk가 있길래 해당 앱으로 분석을 진행하였다.파일 구성파일명: wooribank.apk해시값MD5: 7a21e6b574427fcdc5f9c8db33f707ccSHA-1: f09b2e759a86abdd42fc99b7068a2cdd669cccf1SHA-256: 6bf3853d2814acef8aa805efda34b156de18e96814a226c66eb4339b567eca55파일 구성 요소파일은 다양한 리소스 파일들과 classes.dex 파일로 이루어져 있는데, secret-classes/secret-classes2.dex 파일이 있는 것으로 보아 해당 파일들을 복호화 하는 과정이 들어있지 않을까 추정..

이번건 꽤나 어려웠고, pwntools에서 다양한 기능을 사용할 수 있는 것을 알았음뭔가 파이썬으로 커맨드라인 쳐서 실행시킬 수 있지 않을까 싶었는데, 전혀 안됨...앵간하면 pwntools 쓰자 전체 코드를 보자.#include #include #include #include #include int main(int argc, char* argv[], char* envp[]){ printf("Welcome to pwnable.kr\n"); printf("Let's see if you know how to give input to program\n"); printf("Just give me correct inputs then you will get the flag :)..

이번 문제는 passcode 문제이다... pwnable을 다시 시작하면서 다 까먹어버려서 간단하게 ret를 system 함수 주소로 덮는 문제겠거니 하고 봤는데 아니었다... scanf에서 passcode1을 &passcode1으로 받지 않는 다는 점과 name을 100바이트 받으니까 다른 배열을 덮을 수 있겠지라는 막연한 생각으로 시작했다. 코드는 다음과 같다.#include #include void login(){ int passcode1; int passcode2; printf("enter passcode1 : "); scanf("%d", passcode1); fflush(stdin); // ha! mommy told me..

MalwareBazaar 보다가 kimsuky로 태그 걸어서 보던 중 doc 악성코드라길래 분석을 진행해보았다. 파일 구성 파일명: 인적사항.doc 해시값 MD5: 91d0b01a6a4a0b8edadf1df6a8e68d20 SHA-1: b39ac30367d9aa2d915e7ce5d102694b1a0c6450 SHA-256: 0d663b9907a34604f120963b64a763c472e7e896857728199d3df912c93208a0 인적사항.doc 해당 파일은 doc 파일로 되어 있으며, 매크로가 삽입되어 있다. 해당 매크로를 먼저 확인해보자 매크로 확인 비밀번호가 걸려있다.. 그래서 oletools를 사용해서 매크로를 다 뽑아냈다. 매크로 분석 Private Sub Document_Open() S..

chm 악성코드에 대한 내용들을 보다가 분석할 만한 샘플이 있어 분석을 해보았다. 비교적 간단한 파일이라서 분석하는데 어렵진 않았다. 파일 구성 파일명: 북의 핵위협 양상과 한국의 대응방향.chm 해시값 MD5: 364d4fdf430477222fe854b3cd5b6d40 SHA-1: b5224224fdbabdea53a91a96e9f816c6f9a8708c SHA-256: c62677543eeb50e0def44fc75009a7748cdbedd0a3ccf62f50d7f219f6a5aa05 chm 파일 분석 Microsoft HTML Help Workshop을 통해 해당 파일 내부에 있는 구성 파일들을 다 추출 추출 시 3가지 파일이 나오는 것을 알 수 있음 home.html에 악성 스크립트가 삽입되어 있을 ..

지금은 대학원에와서 공부를 하고 있지만, 관제업무를 했을 당시 실제로 log4j 취약점이 터져서 많이 당황했던 기억이 있다. 그때 로그 확인하고 SIEM에 룰 설정하고, 로그 분석을 통해서 공격이 먹힌 흔적이 있는지, IPS, WAF에 룰 설정 되어있는지 확인하고, 난리도 아니였다. 담당자 분들은 당황하신거 같고... 암튼 여러모로 경험이 되었던 기억이 있다. Log4Shell이란? 보통 로그를 기록한다는 말은 컴퓨터에서 일어나는 모든 이벤트들을 기록하는것을 의미한다. Log4j는 JAVA를 통해 로그를 남기는 프로그램을 의미하며 Apache에서 만든 오픈소스 라이브러리이다. 굉장히 많은 기업들이 사용하는 것으로 알 고 있으며, 매우 흔한 라이브러리이다. Log4Shell 취약점 이 취약점은 마인크래프트..

CHM(Compiled HTML Help)란? CHM 파일은 “Compiled HTML Help”의 약자로, Windows 운영 체제에서 사용되는 도움말 파일 형식 이 파일 형식은 HTML, CSS, Javascript 및 기타 웹 기술을 사용하여 텍스트, 이미지 및 링크 등을 통합하여 사용자에게 정보를 제공 주로 소프트웨어 응용 프로그램의 도움말 시스템에 사용되며, 사용자가 프로그램의 기능 및 사용법을 이해하는 데 도움을 줌 CHM 파일의 구조 CHM 파일은 하나의 압축된 아카이브 파일로 내부적으로는 여러 HTML 파일, 이미지, 스타일 시트 및 다른 웹 관련 자원들이 포함되어 있음 구글에 쳐보면 쉽게 다운로드 가능함Microsoft HTML Help Workshop과 같은 도구를 사용하여 CHM 파일..

오늘은 조금 생소한 HTA 파일에 대해 알아볼까 합니다. HTA 파일도 악성코드로서 자주 쓰이고 있는 추세이고, 알면 좋을것 같아 공유하기 위해 글을 써봅니다. HTA란? HTA (HTML Application)는 마이크로소프트가 개발한 웹 애플리케이션 프로그래밍 기술이며 HTA 확장자 파일은 Mshta.exe 윈도우 바이너리로 실행되며 HTML에 포함된 VBScript 및 JScript를 실행할 수 있기 때문에 MS로 서명된 유틸리티를 통해 임의 스크립트 코드 실행을 할 수 있어 공격하기엔 꽤나 편리한 수단이다. 실제로 hta 파일을 통한 공격이 많이 이루어지고 있는 추세이다. 악성코드로 활용 HTA의 경우 다양한 언어를 사용할 수 있고, 기존 웹 앱과는 다르게 로컬 파일 시스템이나 레지스트리에 직접 ..

악성코드로 사용되는 LNK 파일 LNK 파일 내부에 파워쉘 명령어를 주입해 악성행위를 수행하는 공격이 많이 급증하고 있다. 특히 폴더 설정에 확장자 보기를 해놓지 않으면 LNK 파일에 PDF 파일의 이미지를 입혀 실제 PDF 파일처럼 착각하게 만들 수 있어 사용자의 클릭을 유도하기 때문에 굉장히 위험하다. LNK 파일의 바로가기 대상에 파워쉘 명령어를 넣어 악성행위를 수행할 수 있으며, 공백을 길게 넣어 어떤 명령어가 있는지 안보이게끔 설정해서 공격을 수행하기도 한다. 백그라운드에서 추가적인 Shellcode를 내려받는 bat 파일을 생성 후 실행하기도 하며, 추가적인 악성 코드를 다운로드 받는 행위도 수행하는 것으로 확인된다. LNK 파일의 구조 LNK 파일 대상 여기서는 LNK 파일의 구조에 대해 깊..