본문 바로가기

전체 글68

[Hancitor 분석 (3)] 복호화를 통한 C2 구성(configuration) 정보 추출 Hancitor 악성코드 분석 마지막 글입니다.샘플(패킹된 dll) 해시(SHA256)는 8ff43b6ddf6243bd5ee073f9987920fa223809f589d151d7e438fd8cc08ce292입니다. 이번 글에서는 이전에 얻은 암호화된 데이터를 복호화해보고 어떤 정보인지 알아보겠습니다. 아래는 이전 포스팅에서 얻은 암복호화 정보입니다.초기 키: C58B00157F8E9288데이터 주소: 0x10004010 (.data 섹션)데이터 크기: 0x2000해시 알고리즘(KDF): SHA1복호화 알고리즘: RC4RC4 키 크기: 5바이트 암복호화 정보를 이용하여 암호화된 데이터를 복호화해보겠습니다.아래는 Python으로 작성된 복호화 코드입니다. (Alexandre Borges의 "Malware .. 2025. 1. 9.

[Hancitor 분석 (2)] 암복호화 API 분석 및 데이터 추출 지난번에 언패킹한 Hancitor 악성코드를 이어서 분석해보겠습니다.샘플(패킹된 dll) 해시(SHA256)는 8ff43b6ddf6243bd5ee073f9987920fa223809f589d151d7e438fd8cc08ce292입니다. 언패킹한 DLL의 imports 중에서 ADVAPI32.dll이 있었습니다. 해당 DLL의 여러 암호 관련 API들을 사용하는 것을 확인할 수 있습니다. 이번 포스팅에서는 암호화 과정에 대해 분석해보겠습니다. 언패킹한 DLL을 IDA pro로 열어보겠습니다. IDA의 색상 바에서 미탐색 영역(Unexplored)을 살펴보겠습니다. 우선적으로 데이터를 처리하는 함수나 색상 바의 미탐색 영역(Unexplored)에서 암호 관련 정보를 찾아보려고 합니다. 미탐색 영역(Un.. 2025. 1. 9.

[Hancitor 분석 (1)] 언패킹(Unpacking) 및 IAT 추출 Hancitor 악성코드를 차근차근 분석해보겠습니다.이번 포스팅에서는 패킹되어 있는 DLL을 언패킹하고 IAT를 추출해보겠습니다.샘플 해시(SHA256)는 8ff43b6ddf6243bd5ee073f9987920fa223809f589d151d7e438fd8cc08ce292입니다. 샘플을 PE-bear로 확인해보겠습니다.먼저 import된 항목들을 보면 흥미로운 DLL이나 API는 없습니다. (이 샘플이 패킹된 악성코드임을 알고 있긴 하지만) 네트워크 통신, 암호화 관련 DLL이 없는 것으로 보아 샘플이 패킹되었다고 의심해볼 수 있는 특징입니다. 또 pestudio 툴로 sections를 확인해보면 .data 섹션의 raw 크기와 virtual 크기 간의 차이가 큰 것을 확인해볼 수 있습니다. .dat.. 2025. 1. 7.

Malware Analysis Series (MAS) – Article 1 보안 연구원 Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 리뷰하며 공부해보겠습니다. 첫 번째 아티클에서는 악성코드 분석의 전체적인 개념과 언패킹 및 code injection에 대한 내용입니다 Malware Analysis Series (MAS) – Article 1 [Malware analysis goals]바이너리, 그리고 멀웨어를 분석할 때 사용할 수 있는 방법은 다음과 같습니다.Memory Analysis지난 10년동안 매우 강력한 기술로 인정받는 방법입니다.감염 이벤트(infection events), 그 결과(consequences), 파생되는 영향(side effects)을 이해하기 .. 2025. 1. 6.

[CodeEngn] Malware L06 이번 문제는 간단히 Flow graph 이미지를 보고 Thread Mutex를 찾는 문제입니다. Flow의 시작입니다. 시작 부분부터 mutex를 생성하는 CreateMutexA 함수가 있지만, 이어서 GetLastError가 호출되는 것으로 보아 뮤텍스 생성이 실패되었다는 것을 알 수 있습니다. GetLastError 함수는 오류 코드를 반환하기 때문에 실패한 이유를 파악하려는 것 같습니다. 그 아래를 살펴보니 다시 한 번 CreateMutexA 함수가 호출됩니다. 이때 성공적으로 호출되었기에 CreateMutexA 반환값을 통해 뮤텍스 핸들 hMutex에 저장하고 있습니다. 정답인 Thread Mutex는 뮤텍스 이름을 찾으라는 것 같으니 CreateMutexA 함수의 파라미터를 들여다보면.. 2024. 12. 31.

[Dreamhack] Secure Mail Secure Mail은 보안 메일의 비밀번호를 찾는 문제입니다. 이번 리버싱 문제는 html 파일입니다. 실행하면 비밀번호를 입력할 수 있는 폼이 있습니다. html는 비밀번호를 입력하고 Confirm 버튼을 클릭하면, 입력한 비밀번호를 파라미터로 하는 내부 javascript 함수 _0x9a220를 호출합니다. JS: _0x9a220 함수 분석_0x9a220가 자바스크립트의 메인 함수로, 입력된 생년월일을 검사합니다. _0x9a220는 변수 file에 저장된 데이터를 복호화(AES-128-CBC)하여 변수 dfbora에 저장하고 이를 기반으로 검증을 수행합니다. 입력된 생년월일을 for문을 통해 자체적인 알고리즘을 거쳐 난독화된 데이터로 변수 odradurs1에 저장합니다. 입력 받.. 2024. 12. 31.

[Dreamhack] rev-basic-2 correct를 출력하도록 하는 문자열을 찾는 문제입니다. 문제 파일 chall2.exe를 실행해보니 Input 문자열을 통해 입력값을 받습니다.x64dbg를 통해 Input 문자열을 참조하는 곳에 BP를 걸고 실행해보겠습니다. Input 문자열을 출력하는 주소에 break가 걸려 멈췄습니다.그 아래부터 입력값을 받고(0x7FF72C421164), 입력값을 비교하여(0x7FF72C42116E),Correct 혹은 wrong 문자열을 출력(0x7FF72C42118D)합니다. 0x7FF72C42116E에서 호출하는 0x7FF72C421000 주소에서 입력값을 비교하기 때문에 정답이 있을 것 같습니다. 입력받은 값과 정답을 비교하는 부분을 찾았습니다. 먼저 첫 번째 문자가 0x7FF72C42.. 2024. 12. 27.

[Dreamhack] rev-basic-1 rev-basic-1도 rev-basic-0와 똑같이 correct를 출력하는 입력값을 찾는 문제입니다. 실행하면 입력값을 받기 위해 input 문자열을 출력합니다. input 문자열을 찾아 이동합니다. 프로그램은 받은 입력값을 cmp를 통해 비교합니다.먼저 첫 번째 바이트가 43h, 즉 C인지 검사합니다. 첫 번째 문자가 C가 아니면 0x7FF6ACC9101E 주소에서 jmp하여 비교를 종료합니다. 첫 번째 문자가 C가 맞으면 0x7FF6ACC91023 주소로 점프합니다.그리고 또 여러 번의 cmp 명령을 수행하는 것으로 보아 입력값의 한 바이트씩 비교하는 코드인 것 같습니다. 비교하는 문자열을 모아보니 flag가 Compar3_the_ch4ract3r인 것을 알 수 있었습니다.입력값.. 2024. 12. 19.

[Dreamhack] rev-basic-0 correct를 출력하도록 하는 flag를 찾는 문제입니다. 먼저 실행해보니 답을 입력 받기 위해 input 문자열을 출력합니다. 입력값을 받으면 답을 체크할테니 input 문자열을 출력하는 코드를 찾아보겠습니다.참조하는 문자열을 검색합니다. input 문자열을 출력하는 코드로 이동합니다. vfscanf을 통해 입력값을 받고 RCX에 입력값(ddddddddd)이 저장된 주소를 저장합니다. 00007FF6C68F1000 주소로 진입하면 문자열을 비교하는 strcmp가 있습니다. 문자열을 비교를 위해 RDX에는 정답 문자열, RCX에는 입력받은 문자열 주소를 저장합니다. 확인을 위해 비교하는 입력값을 바꿔줬습니다. Correct 문자열을 출력합니다 2024. 12. 18.

이전 1 2 3 4 5 6 7 8 다음

티스토리툴바