Piece of dragon's scales
TL;DR kimsuky(a.k.a Thallium) 그룹의 golddragon/braveprince 클러스터를 활용한 공격이 지속되고 있음 최근 golddragon/braveprince 클러스트 악성코드에 API 이름을 인코딩 하는 루틴이 추가됨 문자열들을 기반으로 추가 인텔리전스를 검색으로 오픈소스 RAT 인 Quasar 기반 악성코드가 발견 개요 사실 golddragon/braveprince 클러스터들(개인적으론 daumrat 이라 부른다.) 은 2021년 중순쯤에 싹 정리해서 포스팅 해야겠다 생각하고 있었는데.. 로스트아크 하면서 시간을 보내던 동안 cisco talos 팀에서 잘 정리해 공개해 주었다. 개꿀이지만 덕분에 쓸게 없어졌다. 그래서 이번 포스팅에서는 인텔리전스 서치를 통해 찾은 nam..
GoldDragon & Braveprince & 3389!(Short Article)
잡설 블로그를 1년 동안 방치했다. 일부러 그런 건 아니었다. 그냥 그런 걸로 하자. 이렇게 살면 안 될 것 같아 3년 된 쉰 떡밥에 고명 하나 올려왔다. 주제는 과거 Kaspersky의 @unpacker 님이 공개하셨던 "Kimsuky She is back with Fairy Tale"과 관련된 내용으로 굳이 부제를 붙이자면 "그리고 모두 행복하게 살았답니다.(eng : and they all lived happily ever after)" 정도가 가 될 듯. 악성코드에 대한 모든 내용은 생략되었으니, 이 악성코드가 궁금한 분들은 위의 자료를 참고하시기 바란다. 최근까지 활동 중인 드래곤 왠지 적당히 쓰고 버릴 것 같은 악성코드였는데 오래오래 남아서 활동 중이다. 역시 드래곤이다. GoldDragon/..
[Hwp Malware] kimsuky's love is all around
기존 "KINU 전문가 자문 요청사항" (https://sfkino.tistory.com/75)과 동일한 스타일의 악성코드이다. 하나하나 비교하면서 분석해보자. this malware is the same style with "KINU Expert Advisory Request.hwp" that was released October 2019. Let's analyze it compared to the existing one. Stage 1. Exploit code & shellcode EPS 파일의 /ar 변수에 들어있는 익스플로잇 코드와 쉘코드는 기존과 거의 동일하지만, 기존에는 0x00으로 XOR되어있었고, 이번 케이스에서는 0x91로 인코딩 되어있다. 0x91로 디코딩한뒤 익스플로잇 코드와 쉘코드를..
Decryptor to celebrate Lunar New Year (Present From Kimsuky?!?!)
며칠전에 요상하게 생긴 악성코드가 하나 잡혔다. https://www.virustotal.com/gui/file/e2487b33a6510d6f51b8aa158a36c6c290e885a66a9e30d54e3bb1fe0ea79777/detection VirusTotal www.virustotal.com 이전에 분석했던 베트남 상충제 관련건과 비슷하게 생긴거 같아 살펴보기 시작했다. https://sfkino.tistory.com/76 exe malware including hwp, disguised as a Vietnamese event estimate. exe파일 내부에 hwp 파일이 존재하는 악성코드가 헌팅되었다. 퇴근을 해야하니 빠르고 간략하게 분석하고 치우자. Stage 1. Dropper (베트남 ..
exe malware including hwp, disguised as a Vietnamese event estimate.
exe파일 내부에 hwp 파일이 존재하는 악성코드가 헌팅되었다. 퇴근을 해야하니 빠르고 간략하게 분석하고 치우자. Stage 1. Dropper (베트남 녹지원 상춘재 행사 견적서.hwp .exe ) exe파일이 헌팅되었고 리소스 영역에는 추가 악성코드와 hwp파일이 존재한다. 또한 문자열 테이블에는 "베트남 녹지원 상춘재 행사 견적서.hwp" 라는 문자열이 존재한다. 이 문자열은 드랍하는 hwp파일의 이름이다. 악성코드가 실행하면 HWP파일과 DLL 파일을 드랍하고 실행한다. DLL파일은 NewAct.dat라는 이름의 dll이며 regsvr32.exe를 통해 DllInstall 함수를 실행하게 된다. Stage 2. Dropped Malware (NewACt.dat) 드롭된 dll파일의 DllInsta..
[Hwp Malware] kimsuky group's attack using hwp malware
hwp 악성코드가 헌팅되었다. 악성코드는 "KINU 전문가 자문 요청사항" 이라는 제목이며 한미동맹/한중관계 등에 대한 질문지로 위장하고있다. Stage 1. EPS & Shellcode BIN0001.EPS 파일은 총 3가지로 구성되어있다. /ar : shellcode & cve-2017-8291 exploit code /ar Decoding Data : /ar ^ key (0x00 ?!?!?!?!?!?) Encoded Malware & Encoded Shellcode /ar의 코드는 exploit code와 쉘코드가 존재한다. 메모리에 로드된 쉘코드가 실행되면 EPS 파일을 읽어와 데이터를 파싱한 후 복호화를 수행한다. structure signatrue (4byte) ; 0x0c790cbe xor ..
[JustForFun] VMProtect Windows API Address Decoder 개발기
들어가기 전에.. 바쁜 현대인들을 위한 3줄요약 1. 일이 영 손에 안잡혔음. 2. VMP 샘플인데 호출하는 Windows API 가 그지같이 되어있어서 스크립트짬. 3. 동적으로 찾아주면 편한걸 굳이 정적으로 추적해서 코드를 패치해주는 스크립트를 만듬 MOV DWORD PTR SS:[ESP+8],C07EAC14 100740AC FF7424 58 PUSH DWORD PTR SS:[ESP+58] //ESP+58 위치에 값을 스택에 PUSH 100740B0 C2 5C00 RETN 5C //RETN으로 함수 호출 CALL 시작부터 RETN까지의 모든 실행코드를 추적했다. 10073801 9C PUSHFD 10073802 66:0FB6F1 MOVZX SI,CL 10073806 90 NOP 10073807 60 ..
hwp malware : "국제안보군사정세"내용으로 위장한 한글 악성코드
samplehttps://www.virustotal.com/gui/search/cd6a12cc693e98e4f47d2161e9fe99d04895472d964575c749bbdd460f0fefdc 요약 (summary)"주간 국제 안보군사 정세"로 위장한 한글악성코드가 발견됨.Hwp malicious code disguised as "international security military information" hunted. 쉘코드 동작PostScript 취약점으로 쉘코드 로드 -> 1차 복호화 수행 -> 2차 복호화 수행(인젝션할 쉘코드) -> inexplorer.exe 프로세스를 생성해 쉘코드 인젝션 -> 다운로드할 바이너리의 주소 디코딩 -> 파일 다운로드 -> 체크섬 검사 -> 다운로드 받은 쉘코..