Studying •• 📝

계속 이어서 BumbleBee 악성코드를 분석해보겠습니다.샘플 해시(SHA256)는 57c4bdf0a644df4fd39f3d73d4570e6c88d8b7239ab4a395dba441ab15a5024f입니다. 이번 포스팅에서는 저번에 잠시 살펴봤던 ab_DetectVirtualMachines 서브루틴부터 자세히 분석해보겠습니다. line 20에서 호출하는 서브루틴 sub_180050460을 따라가보면 COM과 관련된 여러 API들이 보입니다.CoInitializeEx, CoInitializeSecurity, CoCreateInstance, CoUninitialize, CoSetProxyBlanket 그중 CoCreateInstance API 호출 시의 파라미터를 살펴보겠습니다. CoCreateIns..

계속 이어서 BumbleBee 악성코드를 분석해보겠습니다. 샘플 해시(SHA256)는 57c4bdf0a644df4fd39f3d73d4570e6c88d8b7239ab4a395dba441ab15a5024f입니다. ○ 주요 시그니처 및 라이브러리 추가IDA에서 Signatures를 추가해주게 되면 정체불명의 함수를 식별하여 이름을 파악해줍니다.또한 Type Libraries는 구조체/함수 정의를 추가하여 함수 시그니처, 구조체 멤버명 등을 해석할 수 있게 됩니다.시그니처와 라이브러리를 추가하여 리버싱에 더 유용하도록 할 수 있습니다. 악성코드 리버싱에 필요한 시그니처(vc64rtf, vc64ucrt, vc64seh, vc64mfc, msmfc64)를 추가해주겠습니다. vc64rtfVisual C++ ..

이번에는 BumbleBee 악성코드를 분석해보겠습니다.샘플 해시(SHA256)는 57c4bdf0a644df4fd39f3d73d4570e6c88d8b7239ab4a395dba441ab15a5024f입니다. ○ 샘플 정보 수집이번에 분석할 악성코드는 img 파일입니다.img 확장자디스크 이미지 파일하드디스크, CD/DVD, USB, 플로피 디스크 등 저장장치 전체를 통째로 복제한 파일 3개의 파일을 포함하고 있습니다. inf.bat은 rundll32를 통해 같이 압축된 dll 파일을 실행시키는 간단한 스크립트가 저장되어 있습니다. information.dll은 PE-bear로 확인해보겠습니다.Imports에 kernel32.dll만 있는 거 보니 패킹된 것 같습니다. exports에는 함수 한 개(h..

지난번 분석하던 .NET 악성코드를 이어서 분석해보겠습니다. 샘플 해시(SHA256)는 ed22dd68fd9923411084acc6dc9a2db1673a2aab14842a78329b4f5bb8453215입니다.현재 .NET 바이너리에서 세 번째로 추출된 모듈(DotNetZipAdditionalPlatforms)을 분석 중입니다. 지난 포스팅에서 smethod_# 이름의 메서드들을 분석한 결과, smethod_9 메서드를 통해 code injection 관련 API를 호출하고 있었습니다.이 과정에서 호출되는 CreateProcess API 파라미터의 "RegSvcs.exe" 문자열과 WriteProcessMemory 및 VirtualAllocEx API의 2번째 파라미터의 "0x00400000"를 통해, ..

지난번 분석하던 .NET 악성코드를 이어서 분석해보겠습니다.샘플 해시(SHA256)는 ed22dd68fd9923411084acc6dc9a2db1673a2aab14842a78329b4f5bb8453215입니다.   ○ (stage 3) DotNetZipAdditionalPlatforms 모듈 분석해당 데이터도 난독화 해제된 데이터로 메모리에 로드해주겠습니다. - 난독화 해제하여 로드하기아까처럼 de4dot 난독화 해제해주려고 합니다. 이번에는 난독화 옵션(Deobfuscator option)을 지정해서,de4dot -p dr3 -o 을 사용하였습니다. .NET Reactor 3.x으로 난독화되어 있으니 dr3 옵션으로 지정해주겠습니다.깔끔하게는 안됐지만 이정도면 쓸만합니다.아까랑 똑같이 데이터가 저장된 ..