본문 바로가기

전체 글68

[Emotet 분석 (1)] 파일 정보 수집 및 언패킹(Unpacking) 이번에는 Emotet 악성코드를 분석해보겠습니다.먼저 파일에 대한 정보를 수집하고 패킹되었다면 언패킹을 수행해보겠습니다.샘플 해시(SHA256)는 ed22dd68fd9923411084acc6dc9a2db1673a2aab14842a78329b4f5bb8453215입니다. [파일 정보 수집]먼저 여러 도구를 사용하여 샘플에 대한 정보를 수집해보겠습니다. 1. Virus Total 2. CAPA VirusTotal과 CAPA를 통해 다음과 같은 정보를 얻었습니다.Emotet 악성코드코드 인젝션 정황C2 IP 주소 목록RC4 알고리즘PE 섹션 열거 3. Die Die를 통해 다음과 같은 추가 정보를 얻을 수 있습니다.MS Visual C++ 2005를 사용한 컴파일MFC 라이브러리 포함비교적 높은 .te.. 2025. 2. 21.

Malware Analysis Series (MAS) – Article 3 Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 리뷰하며 공부해보겠습니다. 세 번째 아티클은 제어 흐름 평탄화(control flow flattening), API 리졸빙, C2 IP 주소 복호화 과정에 대한 내용입니다. Malware Analysis Series (MAS) – Article 3 [Instruction]우선 진행하기 전에, 가상 머신의 스냅샷을 찍고 네트워크 통신 및 공유 폴더를 꺼두는 것을 추천합니다. 랜섬웨어를 다루는 것은 아니지만 악성코드 샘플을 분석할 때 가상머신이 로컬 네트워크에 노출되지 않도록 하세요.저는 분석을 수행하기 위해 REMnux와 Windows 8.1/10 (64.. 2025. 2. 17.

[Qakbot 분석 (5)] C2 통신 과정과 탐지 회피 및 지속성 확보 Qakbot 악성코드 분석 마지막 포스팅입니다.이번 포스팅에서는 악성코드가 C2 통신하는 과정과 탐지 회피 및 지속성을 확보하는 부분을 분석해보겠습니다.샘플 해시(SHA256)는 73e4969db4253f9aeb2cbc7462376fb7e26cc4bb5bd23b82e2af0eaaf5ae66a8입니다. [공개키 복호]분석 중 악성코드가 Crypto API를 호출하는 부분을 발견했습니다.해당 서브루틴인 sub_100084AF에 들어가보겠습니다. sub_100084AF 서브루틴 내부에서 암호 관련 API들을 호출하고 있습니다. CryptDecodeObjectEx주어진 인코딩된 데이터를 지정된 구조체 형식으로 디코딩하는데 사용CryptDecodeObjectEx 함수 구조BOOL CryptDecodeObjec.. 2025. 2. 14.

[Qakbot 분석 (4)] 리소스 복호화 루틴 파악 및 정보 추출 지난 포스팅에 이어 Qakbot 악성코드를 분석해보겠습니다. 이번 포스팅에서는 악성코드의 리소스 복호화 루틴을 파악하고 스크립트를 작성하여 해당 리소스에서 어떤 정보를 추출할 수 있는지 확인해보겠습니다.샘플 해시(SHA256)는 73e4969db4253f9aeb2cbc7462376fb7e26cc4bb5bd23b82e2af0eaaf5ae66a8입니다. 계속 분석하기 위해 sub_1000FB74 서브루틴을 살펴보겠습니다.문자열 테이블 디코더(mw_decode_string_table_2)를 호출하는 것을 발견하였습니다. 지난번 작성한 IDA Python 스크립트를 이용하여 문자열을 복호화하여 주석으로 추가해주겠습니다.(스크립트 내용은 '바이너리에서 암호화된 문자열 추출(복호화)하기'에 자세히 설명되어 있습.. 2025. 2. 12.

[Qakbot 분석 (3)] 중첩 구조체/열거형(enum) 생성 및 mersenne twister 지난 포스팅에 이어 Qakbot 악성코드를 분석해보겠습니다.이번 포스팅에서는 중첩 구조체와 열거형(Enum)을 추가하고, mersenne twister에 대해 알아보겠습니다.샘플 해시(SHA256)는 73e4969db4253f9aeb2cbc7462376fb7e26cc4bb5bd23b82e2af0eaaf5ae66a8입니다. [구조체 생성]지난번 mw_iat_construction(sub_1000606C)까지 분석을 완료하였습니다. mw_iat_construction 서브루틴은 세 번 호출되는데 그 중 sub_10005FBC를 살펴보겠습니다. sub_10005FBC sub_10005FBC 서브루틴 내부 8번째 줄의 sub_10000D1C9에 먼저 들어가보겠습니다. sub_10000D1C9 서브루틴은.. 2025. 2. 10.

바이너리에서 암호화된 문자열 추출(복호화)하기 악성코드는 흔히 XOR 연산을 통해 난독화하고 내부 데이터를 숨깁니다.이를 복호화하는 python 스크립트에 대해 공부해보겠습니다. (스크립트는 모두 Alexandre Borges의 "Malware Analysis Series(MAS) – Article 2"를 참조하였습니다.) 샘플 해시(SHA256)는 73e4969db4253f9aeb2cbc7462376fb7e26cc4bb5bd23b82e2af0eaaf5ae66a8입니다.해당 샘플은 Qakbot 악성코드로 언패킹한 후 진행하였습니다. 먼저 악성코드의 자체 복호화 함수를 살펴보겠습니다.복호화 루틴 sub_100085dC를 보면, 두 번째 인수는 암호화된 문자열로 0x1001D5A8에 있고 새 번째 인수인 복호화 키는 주소 0x1001E3F8에 있습니다.. 2025. 2. 6.

[Qakbot 분석 (2)] PE 포맷 조작 및 API 리졸빙 지난 포스팅에서 언패킹한 Qakbot 악성코드를 이어서 분석해보겠습니다.이번 포스팅에서는 PE 포맷과 API 리졸빙에 대해 알아보겠습니다.샘플 해시(SHA256)는 73e4969db4253f9aeb2cbc7462376fb7e26cc4bb5bd23b82e2af0eaaf5ae66a8입니다. [ Capa를 통해 스캔 ]먼저 언패킹한 DLL을 Capa로 확인해보겠습니다.Capa는 PE, ELF, .NET, shellcode 같은 실행파일이나 샌드박스 보고서를 입력하면, 해당 파일의 기능을 탐지하여 출력해주는 도구입니다. IDA plugin으로 연동하여 사용할 수도 있습니다(Capa Explorer). 아래는 Capa를 통해 언패킹된 DLL을 검사하여 출력한 내용입니다. Capa를 통해 얻은 악성코드 분석에 .. 2025. 2. 4.

[Qakbot 분석 (1)] 언패킹(Unpacking) - 매핑과 언매핑(Mapping&Unmapping) Qakbot 악성코드를 차근차근 분석해보겠습니다.이번 포스팅에서는 패킹되어 있는 파일을 언패킹하고, 언매핑된 형식과 매핑된 형식에 대해 알아보겠습니다.샘플 해시(SHA256)는 73e4969db4253f9aeb2cbc7462376fb7e26cc4bb5bd23b82e2af0eaaf5ae66a8입니다. [파일 정보 분석 및 추출]VirusTotal에서 확인해보면 다음과 같은 정보를 얻을 수 있습니다.오버레이(overlay)를 가지고 있습니다.Qakbot 악성코드입니다.이상한 이름의 섹션이 있습니다.아마 패킹된 것 같습니다. DIE로 확인하면 이 샘플이 Borland Delphi로 컴파일되었다는 것을 알 수 있습니다. PE-bear로 확인해보면 export 함수가 하나(DLLRegistreServer)만 .. 2025. 1. 17.

Malware Analysis Series (MAS) – Article 2 Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 리뷰하며 공부해보겠습니다. 두 번째 아티클은 API 리졸빙, C++ 구조체에 대한 내용입니다. Malware Analysis Series (MAS) – Article 2 [Instruction]이번 아티클에서는 간단한 악성코드 Qakbot을 분석하며 문자열 복호화, API 리졸빙, C++ 구조체 그리고 C2 데이터 추출에 대해 설명해보겠습니다. 요즘에는 패킹되지 않은 악성코드가 꽤 드물기 때문에 네이티브(native) 코드를 언패킹할 때 breakpoint를 설정해야할 API에 대해 알아두는 것이 좋습니다. API 목록은 아래와 같습니다.CreatePr.. 2025. 1. 16.

이전 1 2 3 4 5 6 7 8 다음

티스토리툴바