Studying •• 📝

Hancitor 악성코드 분석 마지막 글입니다.샘플(패킹된 dll) 해시(SHA256)는 8ff43b6ddf6243bd5ee073f9987920fa223809f589d151d7e438fd8cc08ce292입니다.  이번 글에서는 이전에 얻은 암호화된 데이터를 복호화해보고 어떤 정보인지 알아보겠습니다. 아래는 이전 포스팅에서 얻은 암복호화 정보입니다.초기 키: C58B00157F8E9288데이터 주소: 0x10004010 (.data 섹션)데이터 크기: 0x2000해시 알고리즘(KDF): SHA1복호화 알고리즘: RC4RC4 키 크기: 5바이트  암복호화 정보를 이용하여 암호화된 데이터를 복호화해보겠습니다.아래는 Python으로 작성된 복호화 코드입니다. (Alexandre Borges의 "Malware ..

지난번에 언패킹한 Hancitor 악성코드를 이어서 분석해보겠습니다.샘플(패킹된 dll) 해시(SHA256)는 8ff43b6ddf6243bd5ee073f9987920fa223809f589d151d7e438fd8cc08ce292입니다.   언패킹한 DLL의 imports 중에서 ADVAPI32.dll이 있었습니다. 해당 DLL의 여러 암호 관련 API들을 사용하는 것을 확인할 수 있습니다. 이번 포스팅에서는 암호화 과정에 대해 분석해보겠습니다.  언패킹한 DLL을 IDA pro로 열어보겠습니다. IDA의 색상 바에서 미탐색 영역(Unexplored)을 살펴보겠습니다. 우선적으로 데이터를 처리하는 함수나 색상 바의 미탐색 영역(Unexplored)에서 암호 관련 정보를 찾아보려고 합니다.  미탐색 영역(Un..

Hancitor 악성코드를 차근차근 분석해보겠습니다.이번 포스팅에서는 패킹되어 있는 DLL을 언패킹하고 IAT를 추출해보겠습니다.샘플 해시(SHA256)는 8ff43b6ddf6243bd5ee073f9987920fa223809f589d151d7e438fd8cc08ce292입니다.  샘플을 PE-bear로 확인해보겠습니다.먼저 import된 항목들을 보면 흥미로운 DLL이나 API는 없습니다. (이 샘플이 패킹된 악성코드임을 알고 있긴 하지만) 네트워크 통신, 암호화 관련 DLL이 없는 것으로 보아 샘플이 패킹되었다고 의심해볼 수 있는 특징입니다.  또 pestudio 툴로 sections를 확인해보면 .data 섹션의  raw 크기와 virtual 크기 간의 차이가 큰 것을 확인해볼 수 있습니다. .dat..

ModeLoader[ 개요 ] - Andariel 그룹이 주로 사용하는 JS 악성코드 - 파일 자체적으로 생성되는 것이 아니라 mshta를 통하여 외부로부터 다운로드되어 동작 * 주로 자산 관리 솔루션을 악용하여 mshta를 동작 (Andariel 그룹은 과거 Innorix Agent부터 악성코드 유포를 위해 국내 업체의 자산 관리 솔루션들을 지속적으로 악용) - 초기 침투용으로, 추후 미미카츠와 같은 추가 악성코드를 다운로드 [ 분석 내용 ] - 난독화된 문자열 리스트에서 추출(복호)하여 사용 - C&C 서버에 접속하여 다운로드한 응답 데이터에 따라 행위를 수행 1) 응답 데이터가 ’kill'인 경우: 실행 창 종료 2) 응답 데이터가 ’kill'이 아닌 경우: 응답 데이터를 실행시킴 - 자체 디코딩 ..

IOCsMD5: B58E06FC0EF74ABFD5EDE1E44AA8DE4C SHA256: 7387D00194ADF8A8F15E12E191BFAA8DBD6C7AF227DDC14D7FEC742B30ADC245 File name: 2023년 11월 청구내역 File type: ZIP File size: 42,247MB MD5: 015BA89BCE15C66BAEBC5FD94D03D19E File name: 2000215005_20231107_20231127_rvim.html.lnk File type: LNK File size: 42,240MB MD5: 77EE19F76A09A51941F3E9AE48821817 SHA256: B77ECFDDB35EC517D44E437D5CD032801D8C538893948EF66..