본문 바로가기

Study34

PE 구조 파싱 (PE Structure Parsing) 이번 글에서는 PE 구조를 파싱하는 방법에 대해 알아보겠습니다. 프로세스 정보를 담고 있는 구조체인 PEB(Process Environment Block)를 이용하여 현재 로드된 모듈(DLL)의 정보를 가져올 수 있습니다._PEB 필드 Ldr은 _PEB_LDR_DATA 구조체의 포인터입니다. _PEB_LDR_DATA 구조체는 현재 프로세스에서 로드된 모듈들의 정보를 담고 있습니다. 이 구조체에는 _LIST_ENTRY 타입의 멤버(InLoadOrderModuleList, InMemoryOrderModuleList, InInitializationOrderModuleList)가 있습니다._LIST_ENTRY 타입은 양방향 연결 리스트로 두 포인터 Flink, Blink로 구성되어 있습니다. 이 포인터를 통.. 2025. 6. 11.

Malware Analysis Series (MAS) – Article 9 Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 번역하여 공부해보겠습니다. MacOS/iOS 내용의 아티클 8은 잠시 미뤄두고 9번째 아티클부터 공부해보겠습니다. [Introduction]악성코드 분석 시리즈(MAS)의 9번째 아티클에 오신 것을 환영합니다. 이번 아티클에서는 윈도우 실행 파일로 돌아와서 PE 포맷뿐만 아니라 일반적인 쉘코드(shellcode)를 다뤄보겠습니다.요즘은 Sliver, Brute Ratel, Havoc, Covenant, Empire, Cobalt Strike 같은 수십 가지의 C2 프레임워크가 있습니다. Cobalt Strike는 실제 red team operation에.. 2025. 5. 2.

Malware Analysis Series (MAS) – Article 7 Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 번역하여 공부해보겠습니다. MAS 시리즈의 7번째 아티클입니다. [Introduction]악성 PE 바이너리를 분석할 때 사용하는 개념, 기법 그리고 실질적인 절차들을 이번 7번째 악성코드 분석 시리즈(MAS)에서 계속해서 살펴보겠습니다.이번에는 최근 몇 년간 여러 차례 업데이트된 복잡한 뱅킹 트로이목마인 Dridex를 분석할 것입니다. 다른 악성코드와 마찬가지로 Dridex는 자격증명(credental) 정보를 탈취하고(kelogger 행위), 암호화된 C2 서버를 통해 공격자에게 이를 전송합니다. 대부분의 경우 악성 문서에 첨부된 파일로 배포되지만,.. 2025. 4. 29.

Malware Analysis Series (MAS) – Article 6 Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 번역하여 공부해보겠습니다. MAS 시리즈의 6번째 아티클입니다. [Instruction]6번째 아티클에서는 계속해서 악성 PE 바이너리를 분석할 때 사용되는 개념, 기법, 그리고 실질적인 절차들을 살펴보겠습니다. 지금껏 그랬던 것처럼 분석할 모든 악성코드 샘플은 Triage, Malware Bazaar, VirusTotal, Malshare, Polyswarm 등 잘 알려진 샌드박스 서비스에서 구할 수 있습니다. 이 글에서는 악성코드를 분석하기 위해 사용되는 절차들, 즉 바이너리에 대한 기본 정보를 얻는 것부터 바이너리 자체에서 핵심 정보를 추출하는 과.. 2025. 4. 25.

COM(Component Object Model)의 개념 오늘은 COM(Component Object Model) 개념에 대해 알아보겠습니다. ○ COM(Component Object Model) 개념Microsoft에서 개발한 소프트웨어 컴포넌트 기반의 인터페이스 표준입니다.일반적으로 클라이언트/서버, RPC, 분산 객체와 같은 분산 컴퓨팅 모델에서 작동하도록 설계되었습니다. 어떤 언어로든 COM 객체를 쉽게 작성할 수 있고, 그 기능을 일반 프로그램에서 사용할 수 있습니다. ○ COM 구조의 핵심 요소COM 객체실제 동작하는 인스턴스(instance)를 의미합니다.최소한 IUnknown 인터페이스를 구현하고 있는 컴포넌트 단위의 객체입니다.IUnknown은 모든 COM 인터페이스의 기반이 되는 인터페이스이므로 COM의 모든 객체가 반드시 구현해야되는.. 2025. 4. 21.

위협 행위자 분류 체계 및 명명법 오늘은 위협 행위자 또는 공격 그룹의 분류 체계와 명명법에 대해 알아보겠습니다. 마이크로소프트(Microsoft)초기에는 THALLIUM(탈륨), CERIUM(세륨). ZINC(아연), OSMIUM(오스뮴)과 같은 원소 기호를 사용하여 이름을 명명하였습니다. 그러나 현재는 날씨 주제를 기반으로 한 명명 분류법을 사용합니다.Microsoft는 위협 행위자를 다음과 같이 5가지 그룹으로 분류하고 있습니다.국가 지원 행위자(Nation-state actors)국가 지원(nation/state)을 받으며 행동하는 위협 행위자입니다.이 위협 행위자는 대부분 간첩 또는 감시를 목적으로 하며 정부 기관, 정부 관련 조직, 비정부 조직 또는 싱크 탱크를 대상으로 작전과 공격을 수행합니다.재정적 동기의 행위자(Fin.. 2025. 4. 2.

이전 1 2 3 4 ··· 6 다음

티스토리툴바