Studying •• 📝

Qakbot 악성코드 분석 마지막 포스팅입니다.이번 포스팅에서는 악성코드가 C2 통신하는 과정과 탐지 회피 및 지속성을 확보하는 부분을 분석해보겠습니다.샘플 해시(SHA256)는 73e4969db4253f9aeb2cbc7462376fb7e26cc4bb5bd23b82e2af0eaaf5ae66a8입니다.   [공개키 복호]분석 중 악성코드가 Crypto API를 호출하는 부분을 발견했습니다.해당 서브루틴인 sub_100084AF에 들어가보겠습니다. sub_100084AF 서브루틴 내부에서 암호 관련 API들을 호출하고 있습니다. CryptDecodeObjectEx주어진 인코딩된 데이터를 지정된 구조체 형식으로 디코딩하는데 사용CryptDecodeObjectEx 함수 구조BOOL CryptDecodeObjec..

지난 포스팅에 이어 Qakbot 악성코드를 분석해보겠습니다. 이번 포스팅에서는 악성코드의 리소스 복호화 루틴을 파악하고 스크립트를 작성하여 해당 리소스에서 어떤 정보를 추출할 수 있는지 확인해보겠습니다.샘플 해시(SHA256)는 73e4969db4253f9aeb2cbc7462376fb7e26cc4bb5bd23b82e2af0eaaf5ae66a8입니다.   계속 분석하기 위해 sub_1000FB74 서브루틴을 살펴보겠습니다.문자열 테이블 디코더(mw_decode_string_table_2)를 호출하는 것을 발견하였습니다. 지난번 작성한 IDA Python 스크립트를 이용하여 문자열을 복호화하여 주석으로 추가해주겠습니다.(스크립트 내용은 '바이너리에서 암호화된 문자열 추출(복호화)하기'에 자세히 설명되어 있습..

지난 포스팅에 이어 Qakbot 악성코드를 분석해보겠습니다.이번 포스팅에서는 중첩 구조체와 열거형(Enum)을 추가하고, mersenne twister에 대해 알아보겠습니다.샘플 해시(SHA256)는 73e4969db4253f9aeb2cbc7462376fb7e26cc4bb5bd23b82e2af0eaaf5ae66a8입니다.   [구조체 생성]지난번 mw_iat_construction(sub_1000606C)까지 분석을 완료하였습니다. mw_iat_construction 서브루틴은 세 번 호출되는데 그 중 sub_10005FBC를 살펴보겠습니다.  sub_10005FBC  sub_10005FBC 서브루틴 내부 8번째 줄의 sub_10000D1C9에 먼저 들어가보겠습니다.  sub_10000D1C9 서브루틴은..

Qakbot 악성코드를 차근차근 분석해보겠습니다.이번 포스팅에서는 패킹되어 있는 파일을 언패킹하고, 언매핑된 형식과 매핑된 형식에 대해 알아보겠습니다.샘플 해시(SHA256)는 73e4969db4253f9aeb2cbc7462376fb7e26cc4bb5bd23b82e2af0eaaf5ae66a8입니다.  [파일 정보 분석 및 추출]VirusTotal에서 확인해보면 다음과 같은 정보를 얻을 수 있습니다.오버레이(overlay)를 가지고 있습니다.Qakbot 악성코드입니다.이상한 이름의 섹션이 있습니다.아마 패킹된 것 같습니다.  DIE로 확인하면 이 샘플이 Borland Delphi로 컴파일되었다는 것을 알 수 있습니다. PE-bear로 확인해보면 export 함수가 하나(DLLRegistreServer)만 ..

Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 리뷰하며 공부해보겠습니다. 두 번째 아티클은 API 리졸빙, C++ 구조체에 대한 내용입니다.  Malware Analysis Series (MAS) – Article 2 [Instruction]이번 아티클에서는 간단한 악성코드 Qakbot을 분석하며 문자열 복호화, API 리졸빙, C++ 구조체 그리고 C2 데이터 추출에 대해 설명해보겠습니다. 요즘에는 패킹되지 않은 악성코드가 꽤 드물기 때문에 네이티브(native) 코드를 언패킹할 때 breakpoint를 설정해야할 API에 대해 알아두는 것이 좋습니다. API 목록은 아래와 같습니다.CreatePr..