본문 바로가기

전체 글

(111)

[악성코드 샘플 분석] Vidar Stealer - 코드 수준 분석 이 실행파일은 .NET 기반이 아니기 때문에 우선 IDA로의 분석을 먼저 시도해 봄. Lumma Stealer 분석할 때와는 다르게 함수나 그래프도 잘 보임. Import 창에 들어와 보니 정적 분석 시에 확인했던 다양한 API 함수들 발견.그 중에서도 pestudio에서 flag로 표시되었던 것들 몇 가지 추적해 봤음. GetCurrentThreadId KERNAL32.dll의 GetCurrentThreadId API를 호출. 그 호출은 sub_4504F0 함수 내부에서 최소 두 번 발생중현재 실행 중인 스레드의 ID를 반환하는 함수로, 안티디버깅/로그 기록/특정 스레드 제어 등에 사용될 수 있음 VirtualAlloc메모리 할당 함수로, 다양한 악성 행위의 시작점 될 수 있음.특히 쉘코드 실행/인..

[악성코드 샘플 분석] Vidar Stealer - 정적 분석 https://bazaar.abuse.ch/sample/660da1824c143de666903c2b3983df605a3494a9ddaa7b65919e1263b095e343/ MalwareBazaar | Checking your browserPlease confirm that you are not a robot by clicking on the checkbox belowbazaar.abuse.ch1. 파일 유형 파악파일 압축 해제 후 리눅스 환경의 file 유틸리티 활용해 유형 파악.Lumma Stealer와 동일한 32비트 실행 파일(PE 32) 2. 악성코드 식별파일의 md5 해시를 생성.705fdf5d27c1d8f39986fd45ef7a4593이 해시값을 통해 바이러스토털에 질의 가능. 3. 문자..

[Lumma Stealer] 코드 구조 수준 분석 - 3 3주차 분석 method_0 로직 속의 Delegate24.smethod_0을 뜯어봄.// Delegate24// Token: 0x06000768 RID: 1896 RVA: 0x00006007 File Offset: 0x00004207public static Delegate smethod_0(Type type_0, Type type_1, string string_0, Delegate24 delegate24_1){ return delegate24_1(type_0, type_1, string_0);}아주 단순한 Delegate wrapper라고 함...전달된 delegate24_1 델리게이트를 실행할 뿐이고, 그 결과를 delegate 타입으로 반환.중요한 건 return 다음의 delegate24_1(ty..

[Lumma Stealer] 코드 구조 수준 분석 - 2 2주차 분석 https://lastcard.tistory.com/845 Windows 악성코드 .NET 공통 함수 및 dnSpy를 활용한 분석 기법Windows .NET 악성코드는 Assembly.Load(), File.ReadAllBytes(), Process.Start(), Registry.SetValue() 등의 System 네임스페이스 함수들을 공통적으로 사용합니다. dnSpy를 활용한 분석 시에는 Main 진입점 파악, 리소스 섹lastcard.tistory.com위 블로그 내용 참고해서 분석해 보는 것이 목표. Windows .NET이란?Windows .NET 악성코드는 Assembly.Load(), File.ReadAllBytes(), Process.Start(), Registry.Set..

[Lumma Stealer] 코드 구조 수준 분석 코드 분석에 앞서, 이전에 Windows VM에 압축을 풀어두었던 LummaStealer.exe 파일이PE 헤더가 뜨지 않는(...) 잘못된 형태로 변한 건지IDA에서 분석 자체가 안 되길래 새롭게 압축을 풀어 저장하였다. 리빙포인트: MalwareBazzar에서 다운로드한 악성코드 샘플의 비밀번호는 'infected'이다...지금껏 이걸 몰라서 kali로 압축해제하고 재압축해서 푸는 쌩쇼를 반복함 1주차 분석IDA Freeware로 분석IDA에 넣어 보니 일단 위와 같이 디스어셈블리 윈도우 모드로 뜬다. IDA View-A로 볼 수 있는 내용. .idata(Import Data) 세그먼트의 내용으로, PE 파일의 Import Table, 즉 외부 DLL 함수들을 정의하는 영역.PE 파일이 외부 라이브러..

[악성코드 샘플 분석하기] Lumma Stealer - 동적 분석 VM 환경 설정본격적인 동적 분석 시작에 앞서, 윈도우 VM과 리눅스 VM에 대해 각각 환경 설정을 진행. 리눅스 VM의 IP 주소를 192.168.1.100으로 설정.설정 이후 제대로 적용이 된 것까지 확인 완료. 윈도우 VM의 IP 주소는 192.168.1.50으로 설정.설정은 제어판>네트워크 및 공유 센터>이더넷>속성>인터넷 프로토콜 버전 4(TCP/IPv4)>속성 에서 가능. 프로세스 모니터를 이용한 시스템 상호작용 조사프로세스 모니터: 고급 모니터링 도구로, 프로세스가 파일 시스템, 레지스트리, 프로세스/스레드 활동의 실시간 상호작용을 보여줌악성코드 Lumma Stealer를 실행시키자 갑작스럽게 많은 양의 이벤트가 발생함. filter>filter에서 Process Name 중 LummaSt..

[+ 추가 개념 공부] XOR 암호화 XOR 암호화의 원리우선 XOR이란: '배타적 논리합'을 뜻함. XOR의 연산 특성:A ^ A = 0A ^ 0 = 0A ^ B ^ B ^ =A XOR은 비트 단위로 연산을 함. → 암호화와 복호화가 동일한 연산으로 처리될 수 있음 XOR 암호화가 취약한 이유이유 1) 키가 너무 짧은 경우내가 풀이했던 워게임(https://hxxxxng.tistory.com/107)의 경우처럼, 많은 XOR 암호화가 1~4 바이트 키를 반복적으로 사용함.이러한 경우,평문과 암호문의 통계 패턴이 남음이미지나 텍스트 파일처럼 구조가 일정한 파일은 반복 키에 취약함 이유 2) XOR은 '비가역적 무작위'가 아님XOR은 암호학적으로 안전한 해시 함수나 블록 암호와는 달리무작위성 없음작은 키로도 공격자가 전수조사를 할 수 있음 ..

[Dreamhack] Recover (reversing) 파일 열어서 압축 해제하면 문제에서 말하는 것처럼 chall과 encrypted 두 가지 파일이 있음. 바이너리를 분석해야 하는 것이기 때문에, chall 파일을 IDA에 넣어서 내용을 먼저 확인했다. 내용 자체가 복잡한 바이너리인 것 같진 않다. ...아닌가 __int64 __fastcall main(int a1, char **a2, char **a3){ char ptr; // [rsp+Bh] [rbp-25h] BYREF int v5; // [rsp+Ch] [rbp-24h] _BYTE *v6; // [rsp+10h] [rbp-20h] FILE *stream; // [rsp+18h] [rbp-18h] FILE *s; // [rsp+20h] [rbp-10h] unsigned __int64 v9;..

이전 1 2 3 4 ··· 14 다음

티스토리툴바