Beyond The Binary

English : I can't speak english! I got help from a Google translator. 한국의 H*캐피탈 회사를 타겟의 이력서로 위장한 악성코드가 발견되었다. A malicious code disguised as a target resume of a Korean H * capital company was found. 악성코드는 64bit PE파일이며 파일에는 PDB Path가 존재한다. The malicious code is a 64-bit PE file and a file PDB Path exists. PDB Path : D:\Attack\DropperBuild\x64\Release\Dropper.pdb파일이 실행되면 자신의 파일명을 확인한 뒤 첫번째 확장자를 비교..

이정도면 마르지 않는 샘인듯 이력서 위장임 익숙한 manuscrypt 악성코드를 다운로드 해서 인젝션,수정일 : 2018년 7월 25일 수요일 오전 9:55:26 러시아 돋는 마지막 저장자 , Vladimir IoC Mal hwp sha1 - BE86D8EC354B9B4EE6E08143C60156FB7ED22C36 Download Malware 32bit - hxxps://sfacor.com/upload/profile_2.dmg Download Malware 64bit - hxxps://sfacor.com/upload/profile_4.dmg profile_2.dmg sha1- 880FB67893D8CE559857CA783A701B5CA675EB40 profile_4.dmg sha1- 358E716739..

이력서로 위장한 HWP 악성코드가 헌팅됨정보관리보안학과 성적 만점자의 우수한 이력서로 위장함. 마지막 작성자는 이력서, 코인거래 관련 공격을 수행했던 TATIANA, 경력이나 작성자 이름으로 봐서 거래소를 타겟으로 하는 공격으로 유추됨.마지막 수정날짜가 6월14일 목요일인, 연결하는 C2가 "hxxps://tpddata.com/skins/skin-8.thm" 인걸로 보면 바로 이전에 포스팅했던 "금융관련 내용으로 위장한 hwp 악성코드" (http://sfkino.tistory.com/60) 와 같이 공격에 사용된것으로 추정됨. 고로 이 공격에 사용된 악성코드도 이전 악성코드와 동일할 거라 생각됨. IoC신재영 전산담당 경력.hwp : 06CFC6CDA57FB5B67EE3EB0400DD5B97 C2 hx..

금융관련 회의, 컨퍼런스 관련 내용으로 위장한 hwp악성코드가 새벽부터 토탈에 잡힘.덕분에 어제하던 게임이나 마저 플레이 하려던 나의 계획이 무산된게 너무 화나서 대략적인 메모만 남김. hwp는 post script를 이용하는 아주 익숙한 아이임.- 금융안정 컨퍼런스 개최결과.hwp 내용- 금융안정 컨퍼런스 개최결과.hwp 정보 - 국제금융체제 실무그룹 회의결과.hwp 내용- 국제금융체제 실무그룹 회의결과.hwp 정보- 스크립트 실행되면서 C2에서 DLL받아온 뒤 실행 받아온 DLL은 익숙한 문자열 "*dJU!*JE&!M@UNQ@" 이 존재하는 백도어 (Phandoor가 맞나? 기억이 가물가물) 애니웨이 악성행위 수행. 유포지는 이미 막힌듯. 쉘코드 및 추가분석내역은 나중에 시간날 때 따로... IOC ..

★☆★☆★첫포스팅★☆★☆★포스팅에 앞서 본인은 제대로 분석 해본지도 2~3년은 된듯하다. 기억나는 거라곤 단순히 F7, F8, F9 버튼밖에 모른다(정말! 심지어 지금도!). 너무 오래되서 감을 잃고 흥미를 잃을 때쯤.. 올크라이와 사탄의 유사성 발견에 이어 한 선배님이 주신 라자루스 관련 정보로 인텔리전스에 다시 흥미를 가지기 시작했다. 무튼 이렇게 처음으로 포스팅을 하게 되었다. 글 내용이 허접해보여도 이해해주었으면 한다.★☆★☆★☆끝★☆★☆★☆먼저, 이스트 시큐리티에서 공개한 인텔리전스 내용 중 라자루스 그룹과 관련해 작전명 코인매니저(Operation CoinManager), 아라비안 나이트(Arabian Night) 등에 대한 내용이 있으며 이전의 글에서 이미 코인매니저 복호화 코드에 대해 자세..

가끔 취미로 악성코드를 분석하는데 이상한(?) 놈을 발견해서 남겨본다. (2017년 11월에 제작됨) 메인 악성코드는 DLL 파일로 서비스에 등록되어 동작한다. (이놈을 만드는 상위 놈은 찾지 못함) DLL은 스레드를 생성해서 행위를 수행하며, 코드를 살펴보면 XOR 루틴으로 코드 내부를 디코딩하는걸 캐치할 수 있다.디코딩된 부분은 악성코드의 핵심 부분이다. 역시 이상한(?) 놈답게 API 함수를 그냥 갖다 쓰지 않는군.. 고얀 녀석 같으니 먼저 dnsapi.dll 로드하고, DnsQuery_A, lstrlenW 호출 시 매번 아래 그림과 같은 수상한 짓을 수행한다. 메모리에 로드된 DLL을 다 접근하여 API 함수명에 ROR 0xD를 적용시켜 특정 값을 만들어 낸다. 만약, 제작자가 지정한 값일 경우 ..

관련링크 : https://www.facebook.com/mangoscan/posts/1720726961292143 (망고스캔) 코드가 심하게 파편화 되어있어 분석이 어려움, 고로 난 잘 모르겠음. 그러므로 아는거만 대강 나열하겠음. 1. 파일 실행되면서 자기자신 언팩2. c:\Program Files\AppPatch\lpDllName 파일존재여부 확인 2-1 : 존재하지 않을경우 파일서버에서 2.swf 다운로드 2-2 : 존재할 경우 파일 로드3. 파일을 가져와서 복호화 (복호화 사용 키 : Kother599)4. 복호화 한 파일 메모리에 매핑 (섹션명으로 보면 y0da Cryptor로 되어있음)5. 안티 디버깅 기능 수행 5-1 1차 안티 : GetCurrentProcessId, CheckRemote..

분석사유 1. 남산도서관에 온 기념 (글 게시일이 2017년인데 정작 내용 다 작성한건 2018년 3월임) 2. 분석하는 방법을 다 까먹고 멍청멍청해 질까봐 간만에 분석해봄 3. 어차피 기능에 대해선 똑똑한 분들이 분석해놓은 자료가 많을테니 패스하고 암/복호화 알고리즘에 대해서만 자세히 들여다봄 관련자료 이스트 시큐리티 블로그의 3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager) 바쁜현대인들을 위한 3줄 요약 1. 남산도서관 식당은 저렴하다. 2. 남산도서관 야경은 아름답다. 3. 귀찮아서 미루다가 이제서야 포스팅한다. 분석방법 1. IDA를 킨다 2. Olly DBG를 킨다. 3. F2, F7, F8, F9를 연타한다. 4. 마음에 안정을 얻는다. 분석 분석하기전에 밥을 먹는..