본문 바로가기

전체 글68

[Agent Tesla 분석 (2)] .NET 모듈 추출 및 분석 지난번 분석하던 .NET 악성코드를 이어서 분석해보겠습니다.샘플 해시(SHA256)는 ed22dd68fd9923411084acc6dc9a2db1673a2aab14842a78329b4f5bb8453215입니다. ○ (stage 3) DotNetZipAdditionalPlatforms 모듈 분석해당 데이터도 난독화 해제된 데이터로 메모리에 로드해주겠습니다. - 난독화 해제하여 로드하기아까처럼 de4dot 난독화 해제해주려고 합니다. 이번에는 난독화 옵션(Deobfuscator option)을 지정해서,de4dot -p dr3 -o 을 사용하였습니다. .NET Reactor 3.x으로 난독화되어 있으니 dr3 옵션으로 지정해주겠습니다.깔끔하게는 안됐지만 이정도면 쓸만합니다.아까랑 똑같이 데이터가 저장된 .. 2025. 4. 3.

위협 행위자 분류 체계 및 명명법 오늘은 위협 행위자 또는 공격 그룹의 분류 체계와 명명법에 대해 알아보겠습니다. 마이크로소프트(Microsoft)초기에는 THALLIUM(탈륨), CERIUM(세륨). ZINC(아연), OSMIUM(오스뮴)과 같은 원소 기호를 사용하여 이름을 명명하였습니다. 그러나 현재는 날씨 주제를 기반으로 한 명명 분류법을 사용합니다.Microsoft는 위협 행위자를 다음과 같이 5가지 그룹으로 분류하고 있습니다.국가 지원 행위자(Nation-state actors)국가 지원(nation/state)을 받으며 행동하는 위협 행위자입니다.이 위협 행위자는 대부분 간첩 또는 감시를 목적으로 하며 정부 기관, 정부 관련 조직, 비정부 조직 또는 싱크 탱크를 대상으로 작전과 공격을 수행합니다.재정적 동기의 행위자(Fin.. 2025. 4. 2.

Malware Analysis Series (MAS) – Article 5 Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 번역하여 공부해보고, 배운대로 분석해본지 벌써 2달이 지났습니다. 벌써 5번째 아티클을 리뷰하는 게시글이네요.이번 다섯 번째 아티클에서는 x64 악성코드 분석에 대해 다룹니다. [Instruction]악성코드 분석 시리즈(MAS) 다섯 번째 아티클에 오신 것을 환영합니다. 이 시리즈의 주요 목표는 악성코드 분석에 대한 기초 개념과 실제적으로 적용 가능한 접근 방식을 제공하여, 필요한 기술을 습득하고 스스로 분석하고 학습하는 길을 나아갈 수 있도록 돕는 것입니다. 그동안의 시리즈로 보셨다시피 어려운 샘플은 제시하지 않을 것입니다.앞의 네 개의 아티클에서 .. 2025. 3. 25.

[Agent Tesla 분석 (1)] .NET 분석, 난독화 해제하기(Deobfucator) 그동안의 게시글에서는 C/C++로 작성된 PE 바이너리를 분석했었습니다.이번에는 처음으로 .NET 악성코드를 포스팅해보겠습니다.샘플 해시(SHA256)는 ed22dd68fd9923411084acc6dc9a2db1673a2aab14842a78329b4f5bb8453215입니다. ○ 샘플 정보 수집먼저 패킹 및 난독화 확인을 위해 DiE를 사용해보니 .NET Reactor로 프로텍트 되어 있는 것으로 보입니다. dnSpy로도 확인해보면,dnSpy 첫 화면을 통해 얻은 정보는 다음과 같습니다.5개의 임베디드된 리소스Entry point (WaitCallb.Filter.GlobalValueFilter.MapVisitor)Type References에서 확인할 수 있는 정보들: class, enumerati.. 2025. 3. 14.

de4dot 사용하기 .NET 난독화 해제를 위한 도구 de4dot에 대한 기록입니다. de4dotC#으로 작성된 오픈소스 .NET deobfuscator 및 unpacker문자열 등 대부분의 난독화는 완전히 복원 가능하지만 심볼 이름을 변경한 것은 복원 불가능무료지만 공식(?)적인 지원은 하지 않고 오픈소스이니 직접 업데이트할 수 있습니다.Agile.NET (aka CliSecure), .NET Reactor, SmartAssembly 등에 대 난독화 해제할 수 있습니다.de4dot github: https://github.com/de4dot/de4dot [오류 및 해결 예시]de4dot -f -o 을 통해 난독화 해제해주려 했는데 실패했습니다.다른 분석가분은 동일 파일을 동일 de4dot 버전으로 난독화 해제를 .. 2025. 3. 14.

Malware Analysis Series (MAS) – Article 4 Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 리뷰하며 공부해보겠습니다. 네 번째 아티클에서는 MAS 시리즈 처음으로 .NET에 대해 다룹니다. Malware Analysis Series (MAS) – Article 4 [Instruction]이번 아티클에서는 처음으로 .NET 악성코드 분석에 대해 다뤄볼 것입니다. 여러 가지 기술과 트릭들로 어려울 수 있지만, MSIL(Microsoft Intermediate Language)로 코드를 디컴파일하고 원본에 근접한 고급 .NET언어로 코드를 제공해주는 dnSpy와 ILSpy 같은 훌륭한 도구들이 도움이 될 것입니다. 하지만 일부 커스텀된 인코딩과 .. 2025. 3. 6.

Managed code / Unmanaged code / Native code 차이 Managed code[정의]관리형 환경에서 실행되는 코드 [특징]CLR(Common Language Runtime)에서 실행되며 CLR은 다양한 관리 작업을 자동으로 처리해줍니다.가비지 컬렉션(Garbage Collection)을 통해 메모리 할당과 해제를 자동으로 처리합니다.예외 처리가 또한 자동으로 이루어집니다.코드 실행 중 발생할 수 있는 보안 문제를 관리형 환경이 처리해줍니다..NET Framework나 Java 같은 관리형 런타임을 통해 여러 플랫폼에서 동일한 코드를 실행할 수 있습니다.CLR은 코드를 실행할 때 디버깅과 프로파일링을 지원해줍니다. [예시]C#VB.NET Unmanaged code[정의]운영체제나 런타임 환경의 자동 관리 없이 실행되는 코드 [특징]운영체제의 메모리 관리를 수.. 2025. 2. 27.

[Emotet 분석 (3)] 해시 리졸빙 및 C2 정보 복호화 계속 이어서 Emotet 악성코드를 분석해보겠습니다.샘플 해시(SHA256)는 ed22dd68fd9923411084acc6dc9a2db1673a2aab14842a78329b4f5bb8453215입니다. [Hash Resolving]● 리졸빙 정보 수집지난번 포스팅에서 데이터를 복호화했더니 DLL/API 이름들을 많이 볼 수 있었습니다. 샘플 DLL은 동적으로 DLL/API 이름들을 리졸빙하는 것 같습니다. 호출되는 함수들을 따라가 상황을 파악하고 같이 리졸빙을 수행하여 분석해보겠습니다..DllRegisterServer부터 시작해보겠습니다. 첫 번째로 호출되는 서브루틴 sub_5DF1FD0으로 이동해보겠습니다. 53번째 줄의 sub_5DFEBA2 서브루틴으로 들어가보겠습니다. 특별한 것은 없었으니 6.. 2025. 2. 27.

[Emotet 분석 (2)] 난독화된 바이너리의 특징과 .text 섹션 데이터 복호화 계속 이어서 Emotet 악성코드를 분석해보겠습니다.샘플 해시(SHA256)는 ed22dd68fd9923411084acc6dc9a2db1673a2aab14842a78329b4f5bb8453215입니다. [난독화된 바이너리]저번에 언패킹한 DLL을 이어서 분석해보겠습니다.IDA Pro로 열어 특징을 살펴보면 3가지가 있습니다. 1. 문자열: 세 개만 존재 2. export 함수: 기본적인 DllEntryPoint와 DllRegisterServer가 존재 3. import 함수: 없음 😐 힌트가 별루 없습니다.일단 DllRegisterServer 함수를 살펴보겠습니다.내부에는 16진수 값들과 XOR, ADD 연산이 많이 보입니다. 그리고 내부 sub_5DF1FD0 서브루틴에 들어가보면대부분의 상.. 2025. 2. 26.

이전 1 2 3 4 5 6 ··· 8 다음

티스토리툴바