Beyond The Binary

새로운 HWP 악성코드가 발견되었다. HWP 파일은 "국가안보실 정책자문위원회 전체 회의 계획"이라는 내용을 담고있다.A new HWP malware has been detected. The HWP file contains "National Security Council Policy Advisory Committee Plenary Meeting". hwp 파일의 최종 저장자는 cha0520 이며 마지막 저장시간이 2018년 109월 04일 로 되어있는걸로 보아 이미 공격에 사용되었고 이후에 공개된 것으로 추정된다.The final repository for the hwp file is cha0520, and the last storage time is October 04, 2018. It has alre..

오랜만에, EPS를 포함한 hwp 악성코드가 헌팅되었다. After a long time, the hwp malware hunted. Filename : 국가핵심인력등록관리제등검토요청(10.16)(김경환변호사).hwp 문서 내용은 "국가핵심기술 보유인력 등록관리제" 이다. The content of the document is "Registration System for Manpower with National Core Technology" EPS를 포함하고있고 2018년 10월 21일에 마지막으로 저장했다. Including EPS, and there were last saved on October 21, 2018.EPS 쉘코드는 16바이트의 XOR키로 인코딩 되어있다The EPS shellcode i..

Virustotal에서 의심스러운 hwp파일 하나가 헌팅되었다.In Virustotal, one suspicious hwp file was hunted. 파일 내용은 contents 문자열 하나만 존재하고 비어있다.There is only one contents string and the file contents are empty. OLE 파일 내부에 E8로 시작하는 의심스러운 쉘코드와 문자열이 존재한다.There is a suspicious shellcode and string inside the OLE file that starts with the value E8. 쉘코드는 디코딩 해주는 루틴과 인코딩된 영역으로 나누어 진다.The shellcode is divided into a decoded ro..

한국 부동산 협회의 일일동향 보고로 위장한 한글 악성코드가 등장했다. Hangul malicious code disguised as "daily trend report" of "Korea Real Estate Association" appeared. 이전과 크게 다르지 않으며 EPS에서 16바이트 키를 통해 복호화를 수행하고 악성코드를 다운로드 한다. It is not much different from the previous one, decrypting shell code via EPS with 16 byte key and downloading malware. 아래의 주소에서 manuscrypt를 다운로드 한다.Download manuscrypt from the address below. C2 hxxp..

이력서가 또 나타났다. Another malicious code disguised as a resume appeared. 마지막 저장한 사람도 아주 익숙한 "TATIANA", 마지막 저장일이 2018년 6월 18일 이다. 이미 토탈에 올라오기 한참전에 사용된 악성코드로 추정된다. The last saved person is also very familiar with "TATIANA", the last save date is June 18, 2018. It is estimated to be malicious code that was used long before it was already released to VT. 이력서 아래 자기소개서에는 코인에 대해 잘 알지 못하지만 회사에 입사에 열심히 하겠다는 내..

H 캐피탈을 공격했던 드롭퍼가 다시 등장했다. The dropper who attacked "H Capital" appeared again. (http://sfkino.tistory.com/63) 이전과 똑같은 형태의 악성코드이며 xlsx 파일을 포함하고있다. It is the same type of malicious code as before and contains the xlsx file. 문서는 암호화폐거래소 관련 정보를 담고있다.The document contains information about the currency exchange. 악성코드가 실행되면 xlsx파일을 드롭한 뒤 보여준다. When the malicious code is executed, drop and display the ..

EPS취약점을 이용한 한글 악성코드가 또 헌팅되었다. 알트플래닛이해하기[448].hwp 8e0f0cc87b9d80e5928cf19fe273cde28978ec31b3115f978fa8de2723d470a5 악성코드는 알트플래닛이라는 코인에 대한 내용을 담고있다. 또 실수를했다 ! 수정합니다. 2018 대한민국 대중문화예술상[440].hwp349b8afa3a1daf495e7178b563a7de3f58d6c63140d042cc08be5770d03bd8f5 익숙한 EPS취약점을 통한 공격이며 다운로드 주소는 아래와 같다.그런데..! 다운로드 파일이 0xAA로 암호화 되어있다! (Before Decrypt / After) 악성코드는 역시 익숙한 manuscrypt이며 C2는 아래와 같다. IOC 2018 대한민국..

금융감독원으로 위장한 hwp 악성코드가 헌팅되었다. HWP Malware disguised as Financial Supervisory Service was Hunted . 전자지갑개발자 김고운.hwp (71C78B84F0153BA64D30EA986C3E682B) 악성코드와 마찬가지로 16바이트의 XOR 키로 쉘코드가 암호화 되어있다. 전자지갑개발자 김고운.hwp XOR KEY : 566F7B3F6AF8D0B00593F3A83CD8AF16 유사수신행위 위반통보.hwp XOR KEY : C9582680978FDE80593F2BC164F9AC6F 압축을 해제하면 아래와 같이 Post Script코드와 쉘코드가 나온다. When you decode the code, you get Post Script code..