Lhaaan

MalwareBazaar 보다가 kimsuky로 태그 걸어서 보던 중 doc 악성코드라길래 분석을 진행해보았다. 파일 구성 파일명: 인적사항.doc 해시값 MD5: 91d0b01a6a4a0b8edadf1df6a8e68d20 SHA-1: b39ac30367d9aa2d915e7ce5d102694b1a0c6450 SHA-256: 0d663b9907a34604f120963b64a763c472e7e896857728199d3df912c93208a0 인적사항.doc 해당 파일은 doc 파일로 되어 있으며, 매크로가 삽입되어 있다. 해당 매크로를 먼저 확인해보자 매크로 확인 비밀번호가 걸려있다.. 그래서 oletools를 사용해서 매크로를 다 뽑아냈다. 매크로 분석 Private Sub Document_Open() S..

chm 악성코드에 대한 내용들을 보다가 분석할 만한 샘플이 있어 분석을 해보았다. 비교적 간단한 파일이라서 분석하는데 어렵진 않았다. 파일 구성 파일명: 북의 핵위협 양상과 한국의 대응방향.chm 해시값 MD5: 364d4fdf430477222fe854b3cd5b6d40 SHA-1: b5224224fdbabdea53a91a96e9f816c6f9a8708c SHA-256: c62677543eeb50e0def44fc75009a7748cdbedd0a3ccf62f50d7f219f6a5aa05 chm 파일 분석 Microsoft HTML Help Workshop을 통해 해당 파일 내부에 있는 구성 파일들을 다 추출 추출 시 3가지 파일이 나오는 것을 알 수 있음 home.html에 악성 스크립트가 삽입되어 있을 ..

파일 구성 파일명: 5a3f1d14b9cc4890db64fbc41818d7039f25b0120574dcdec4e20d13e6b2740c.lnk 해시값 MD5: 7336068f2c5ed3ed154b6c8b1d72726a SHA-1: e72c90aedd2ef27226d891f464caec19635a6fd3 SHA-256: 5a3f1d14b9cc4890db64fbc41818d7039f25b0120574dcdec4e20d13e6b2740c lnk 파일 하나가 들어가 있음, 해당 파일은 html 파일로 위장하려고 icon을 엣지 이미지를 넣음 5a3f1d14b9cc4890db64fbc41818d7039f25b0120574dcdec4e20d13e6b2740c.lnk 해당 파일은 바로가기 파일로 되어 있으며, htm..

참고: https://wezard4u.tistory.com/6592 파일 구성 파일명: d245f208d2a682f4d2c4464557973bf26dee756b251f162adb00b4074b4db3ac.zip 해시값 MD5: ddd07976e889bfc58e2925cd22e5198a SHA-1: cabb494d8a2a36a3f653aa7900a14a921dccf05e SHA-256: d245f208d2a682f4d2c4464557973bf26dee756b251f162adb00b4074b4db3ac 총 3가지 파일이 들어가 있음 국세청 종합소득세 해명자료 제출 안내.hwp.lnk 바로가기 파일로 되어 있음 국채 및 통화안정증권 거래ㆍ보유 명세서(소득세법 시행규칙).hwp 근로소득지급명세서(개정안_2302..

파일 구성 파일명: 전라남도 코로나 바이러스 대응 긴급 조회.hwp 해시값 MD5: 8451be72b75a38516e7ba7972729909e SHA-1: 45de8115b49ef68915e868138c04da375dfb7096 SHA-256: 7050af905f1696b2b8cdb4c6e6805a618addf5acfbd4edc3fc807a663016ab26 바이러스 토탈 조회시 드롭퍼, 다운로더 진단명이 제일 많이 보이는 것을 알 수 있음 SSVIEW hwp파일의 OLE 객체 정보를 파싱해주는 도구로 내부 데이터를 뽑아낼 수 있다. .ps(포스트 스크립트) 파일이 있는 것으로 보아 해당 BIN0005.ps 파일이 악성 파일을 다운로드 하는 쉘 코드로 추정된다. BIN0005.ps compress 되어 ..

혹시라도 분석이 잘못되었거나 틀린 부분이 있다면 알려주세요. 참고: https://www.securonix.com/blog/detecting-ongoing-starkmule-attack-campaign-targeting-victims-using-us-military-document-lures/ 파일 구성 파일명: 미군 구인공고 웹사이트 주소 및 사용방법 안내.zip 해시값 MD5: 6277fee38a64f218291c73db5326e1bf SHA-1: 66515b6a0e09194511708c1057a62d767a11344f SHA-256: 7f4bb17b1011c05d206f62be4685384a4dba063bd29f55113442b58669b8c252 총 3가지 파일이 들어가 있음 Multi Natio..