Studying •• 📝

Shellcode 리버싱 (Cobalt Strike Beacon)

이번에는 쉘코드를 분석해보겠습니다. 샘플 해시(SHA256)는 d26d5e9e0b05f94be8b86dc7410604cac85557a8f7bdf709beb95ee8cbb98c60입니다. ○ 샘플 정보 수집샘플을 DiE로 확인해보면 32비트 PE 바이너리입니다.그리고 MinGW 컴파일러로 컴파일되어 있습니다.MinGW (Minimalist GNU for Windows)Windows용 GCC(GNU Complier Colliection) 포트Windows 환경에서 C/C++, Fortan 등의 프로그램을 컴파일할 수 있게 해주는 도구입니다.윈도우에서 리눅스 스타일의 GCC 컴파일러를 사용할 수 있도록 합니다.MinGW는 단순한 네이티브 EXE 프로그램, 쉘코드를 만들 때 많이 사용됩니다. PE-bear ..

Malware Analysis Series (MAS) – Article 9

Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 번역하여 공부해보겠습니다. MacOS/iOS 내용의 아티클 8은 잠시 미뤄두고 9번째 아티클부터 공부해보겠습니다. [Introduction]악성코드 분석 시리즈(MAS)의 9번째 아티클에 오신 것을 환영합니다. 이번 아티클에서는 윈도우 실행 파일로 돌아와서 PE 포맷뿐만 아니라 일반적인 쉘코드(shellcode)를 다뤄보겠습니다.요즘은 Sliver, Brute Ratel, Havoc, Covenant, Empire, Cobalt Strike 같은 수십 가지의 C2 프레임워크가 있습니다. Cobalt Strike는 실제 red team operation에..