티스토리 뷰
이력서가 또 나타났다.
Another malicious code disguised as a resume appeared.
마지막 저장한 사람도 아주 익숙한 "TATIANA", 마지막 저장일이 2018년 6월 18일 이다. 이미 토탈에 올라오기 한참전에 사용된 악성코드로 추정된다.
The last saved person is also very familiar with "TATIANA", the last save date is June 18, 2018. It is estimated to be malicious code that was used long before it was already released to VT.
이력서 아래 자기소개서에는 코인에 대해 잘 알지 못하지만 회사에 입사에 열심히 하겠다는 내용이 존재한다.
In the cover letter, I do not know about coins, but I will try my best after joining.
이번 쉘코드는 W102의 16바이트 키를 이용한 XOR 인코딩 되어있다.
The shellcode is XOR encoded using the 16 byte key of W102.
쉘코드에서 사용하는 구조체의 시작인 0xAABBCCDD를 기반으로 값을 찾아보면 다운로드 주소를 찾을 수 있다. (현재 연결되지 않음)
If you find 0xAABBCCDD in the shellcode, you can check the malware download address.
0xAABBCCDD : Malware Custom Structure
부록, 쉘코드의 구조
Appendix. Shellcode Structure
IoC
MD5 : b36a963605a466d7a225689d9c4d1b07
SHA-1 : 776716208f310aa6b13e1ac55e262d2604f7c90a
SHA-256 : 6941d59d6a20f29e4f96251e0f22e33ea3549c5ba4a2fe224ff191bfa9f038c0
URL
댓글