Lhaaan

MalwareBazaar 보다가 kimsuky로 태그 걸어서 보던 중 doc 악성코드라길래 분석을 진행해보았다. 파일 구성 파일명: 인적사항.doc 해시값 MD5: 91d0b01a6a4a0b8edadf1df6a8e68d20 SHA-1: b39ac30367d9aa2d915e7ce5d102694b1a0c6450 SHA-256: 0d663b9907a34604f120963b64a763c472e7e896857728199d3df912c93208a0 인적사항.doc 해당 파일은 doc 파일로 되어 있으며, 매크로가 삽입되어 있다. 해당 매크로를 먼저 확인해보자 매크로 확인 비밀번호가 걸려있다.. 그래서 oletools를 사용해서 매크로를 다 뽑아냈다. 매크로 분석 Private Sub Document_Open() S..

chm 악성코드에 대한 내용들을 보다가 분석할 만한 샘플이 있어 분석을 해보았다. 비교적 간단한 파일이라서 분석하는데 어렵진 않았다. 파일 구성 파일명: 북의 핵위협 양상과 한국의 대응방향.chm 해시값 MD5: 364d4fdf430477222fe854b3cd5b6d40 SHA-1: b5224224fdbabdea53a91a96e9f816c6f9a8708c SHA-256: c62677543eeb50e0def44fc75009a7748cdbedd0a3ccf62f50d7f219f6a5aa05 chm 파일 분석 Microsoft HTML Help Workshop을 통해 해당 파일 내부에 있는 구성 파일들을 다 추출 추출 시 3가지 파일이 나오는 것을 알 수 있음 home.html에 악성 스크립트가 삽입되어 있을 ..

지금은 대학원에와서 공부를 하고 있지만, 관제업무를 했을 당시 실제로 log4j 취약점이 터져서 많이 당황했던 기억이 있다. 그때 로그 확인하고 SIEM에 룰 설정하고, 로그 분석을 통해서 공격이 먹힌 흔적이 있는지, IPS, WAF에 룰 설정 되어있는지 확인하고, 난리도 아니였다. 담당자 분들은 당황하신거 같고... 암튼 여러모로 경험이 되었던 기억이 있다. Log4Shell이란? 보통 로그를 기록한다는 말은 컴퓨터에서 일어나는 모든 이벤트들을 기록하는것을 의미한다. Log4j는 JAVA를 통해 로그를 남기는 프로그램을 의미하며 Apache에서 만든 오픈소스 라이브러리이다. 굉장히 많은 기업들이 사용하는 것으로 알 고 있으며, 매우 흔한 라이브러리이다. Log4Shell 취약점 이 취약점은 마인크래프트..