악성코드 분석 (11) 썸네일형 리스트형 Wannacry 랜섬웨어 분석 1 Wannacry ransomeware Analysis Wannacry는 2017년에 등장한 랜섬웨어로 30만대 이상의 컴퓨터를 감염시켰으며북한의 라자루스(Lazarus)가 배후에 있다고 보고 있다.랜섬웨어가 빠르게 퍼진 이유는 SMB v1 프로토콜 내 취약점 공격하는 EternalBlue가 활용되었기 때문인데...! 해당 랜섬웨어가 어떻게 동작하는지 지금부터 하나씩 분석해보려 한다. 랜섬웨어 분석은 사실 처음이라 부족할 수 있지만, 악성코드나 랜섬웨어 분석이 처음이신 분들한테도작은 도움이 될 수 있었으면 하는 바램으로 작성해본다.그럼 지금부터 시작해보자...! 분석도구: IDA, PEview, OllyDbg Wannacry 랜섬웨어 분석을 위해 IDA와 OllyDbg를 사용하여 프로그램 시작점을 확.. GINA intercept 악성코드 분석 지난 시간에 배웠던 GINA intercept에 이어서 이를 이용한 악성 code를 분석해보도록 할게 악성 code 행위분석 악성 code program을 실행하고 process monitor로 동작상태를 확인해봤어 악성 code를 실행하니까 바탕화면에 msgina32.dll이라는 file이 새롭게 생성되고 Winlogon을 실행할 때 import 하는 GINADLL에 대한 registry key 값을 변경한 것을 볼 수 있어 writefile = file 수정 및 작성 RegSetValue = registry에 있는 value 변경 인증과 관련된 악성 code이기 때문에 어떤 동작들을 하는지 살펴보기 위해서 windows에 새로운 user를 생성해볼게 그리고 rebooting하면 msutil32 이라는.. RAT 공격 정리 오늘은 RAT 공격에 대해 알아보고 공격 과정이 어떻게 이뤄지는지 알아보도록 할게 RAT( Remote Administration Tool) RAT는 원격 관리 도구로 원격에 있는 컴퓨터들을 관리할 때 사용해 이전에 kali linux의 metasploit 공격 tool을 사용해 본 적이 있어! metasploit이 RAT라고 보면 돼 정확한 정의는 다음과 같아 RAT = 표적공격, 특정한 host를 원격으로 접근해서 정보를 훔치거나 정보를 다른 network로 이동시키는 공격 RAT 공격은 일반적인 network 구조로 발생하지 않아 예를 들어 공격을 실행하는 RAT가 설치된 PC를 server, RAT의 표적이 되어 감염된 PC를 client라고 생각할 수 있지만 RAT에서는 거꾸로 생각해야 돼 se.. kernel32.dll vs kernel132.dll (feat. 악의적인 program) 이번 시간에는 winodows에서 악의적인 program이 어떻게 실행되는지와 내부 code 구성이 어떻게 설정되었는지 확인해보도록 할거야 바로 분석들어가볼게! String 분석 IDA를 통해서 string 분석을 해보니까 kernel32.dll을 통해서 다음과 같은 API들을 호출한 것을 볼 수 있어 이쯤에서 한번 복습해보도록 할게 kernel32.dll이 하는 동작은 뭘까? 그리고 DLL이란 무엇일까? Kernel32.dll = 메모리, 파일, 하드웨어 접근,조작과 같은 핵심 기능을 담은 공용 DLL DLL (Dynamic Link Library) = 동적 라이브러리 즉 필요할 때만 불러쓸 수 있는 함수 프로그램에서 자주 쓰이는 표준 함수나 데이터를 모아놓은 것 현재 호출한 API들이 수행하는 일들을.. DoS 공격분석 (feat. IDA) 이번 시간에는 악의적인 행위를 하는 악성코드를 분석해보려고 해 저번 시간까지 써보지 않았던 IDA라는 disassembly tool을 이용해서 해당 code를 깊게 분석해 보고 ollydbg를 통해서 함수의 흐름도 같이 알아보도록 할게 자, 바로 가보자고~ 먼저 간단한 string 분석을 해보니까 MalService, 악성 URL, IE와 버전 등의 값이 존재하는 것을 볼 수 있어 internet 접속을 통해서 어떠한 악성 program을 진행시키는 것 같은데 string 분석만으로 다 알기 어려우니 IDA를 통해서 code의 흐름을 좀 더 정확하게 파악해 볼게 string 분석을 좀 더 해보면 어느정도 감이 잡힐 수 있겠지만 오늘은 바로 IDA 분석을 통해서 code의 흐름을 파악해볼게 먼저 함수의 시.. LAB1-2 (악성코드분석) 이번 챕터부터 실제 악성코드 실행파일을 직접 정적분석해 보고 정적분석과 동시에 난독화를 수동으로 푸는 unpacking을 진행해 보도록 할게 LAB1-2 exe 파일은 악성코드 파일이고 악성코드 파일을 하나씩 풀어보면서 분석해 보자 먼저 peid와 peview를 통한 pe 분석을 진행해 볼게 pe view 분석을 통해서 난독화가 되어 있음을 알 수 있지? +upx0를 보면 virtual size는 data 할당이 되었으나 size of raw data는 0으로 아무것도 없음을 볼 수 있다. 가상 영역의 공간만 할당되었음..!! upx로 난독화되어 anti-reversing 기법이 들어가 있음을 볼 수 있었다..!! peid 분석도 같이 해볼까?? peid 분석을 해보니 upx로 packing 되어 난독화.. PE 분석(2) 지난 시간에 이어서 PE를 분석하는 tool인 PEview에 대해 좀 더 알아보도록 하자...!! 우리가 흔히 쓰는 메모장인 notepad.exe를 예시로 PE 분석을 해볼께 1. PE 파일 헤더와 섹션 PEview를 실행해서 보면 다음과 같은 카테고리들을 볼 수 있어 .text : 실행코드 .rdata : 읽기전용 데이터 .data : 데이터 .rsrc : 실행파일에 필요한 리소스 저장 Notepad.exe에 대한 하위 파일에 다음과 같은 정보들이 들어있는 것을 볼 수 있는데 image_nt_headers와 image_nt_section_header의 차이를 알아볼 필요가 있어 - IMAGE_NT_HEADERS --> 실제 헤더 정보를 담고 있음 - IMAGE_NT_SECTION_HEADER --> 실.. 악성코드란..?? 이번 카테고리에서는 악성코드란 무엇인지 살펴보고 악성코드를 분석하는 방법에 대해 알아보도록 할께 최근에 악성코드로 인한 기업들의 피해 사례가 정말 많이 일어나고 있는데...... https://www.boannews.com/media/view.asp?idx=107696 2022년 상반기 ‘가상자산’ 노린 사이버 공격 급증했다 2022년 상반기에 가장 많이 발생한 사이버 위협은 가상자산을 노린 금융권 대상 공격인 것으로 조사됐다. 라이프 케어 플랫폼 SK쉴더스(대표 박진효)가 2022년 상반기 주요 보안 트렌드 및 사이버 www.boannews.com 올해 상반기에만 해도 악성코드로 인해 기업들의 자산이 위협받고 있는 사례들이 계속해서 나오고 있어 가장 대표적인 예가 바로 ransomware지...!! 타.. 이전 1 2 다음
