본문 바로가기

SWUFORCE/악성코드

(16)

[Vidar Stealer] 코드 수준 분석 - 2 내가 코드 분석을 통해 파악해야 하는 것:1. 악성 행위2. 탈취 대상3. 분석 우회 기법 그래프 뷰로 entry에서 제일 먼저 호출되는 FUN_00401180을 열어봄.FUN_00401180 구조 요약초반: CRT(런타임 초기화) 동작 _amsg_exit, initterm, tls_callback_1, 예외 처리기 설정 등 즉, 이 단계는 OS 환경 세팅, 라이브러리 초기화, TLS(스레드 로컬 스토리지) 준비 같은 준비 작업만 함.↓중반: 인자 준비 malloc, memcpy로 argv/envp 같은 배열 구성 명령줄 인자/환경변수 세팅↓후반: __p___initenv() 호출 후 FUN_00409800 호출 c복사편집DAT_0049800c = FUN_00409800(DAT_00498018, DAT_..

[Vidar Stealer] 동적 분석 Process HackerVidar Stealer 파일 실행되고 있는 건 발견 가능했는데, 노리벤으로 찾은 프로세스들을 발견할 수 없었다. Process Monitor그냥 Process Monitor 이용해서 분석할 때에는 아무 이벤트도 캡처되지 않음.꼭 Vidar Stealer 실행 관련된 동작 아니더라도 뭔가 이벤트 발생할 법도 한데 아무것도 안 나온다... NoribenNoriben으로 로그 파일 획득. csv보다는 Promon 파일로 확인하는 게 편해서 해당 로그 파일 확인.Vidar Stealer 실행시킨 시점의 이벤트 캡처 부분을 발견했다.실행 시점 이후에 svchost.exe의 동작이 많이 보이는데, 이건 실행 이전 시점에도 있었기 때문에 유의미하다고 봐도 될지 모르겠음.대신 파일 경로에서..

[Vidar Stealer] 코드 수준 분석 - 1 IDA 이 실행파일은 .NET 기반이 아니기 때문에 우선 IDA로의 분석을 먼저 시도해 봄. Lumma Stealer 분석할 때와는 다르게 함수나 그래프도 잘 보임. Import 창에 들어와 보니 정적 분석 시에 확인했던 다양한 API 함수들 발견.그 중에서도 pestudio에서 flag로 표시되었던 것들 몇 가지 추적해 봤음. GetCurrentThreadId KERNAL32.dll의 GetCurrentThreadId API를 호출. 그 호출은 sub_4504F0 함수 내부에서 최소 두 번 발생중현재 실행 중인 스레드의 ID를 반환하는 함수로, 안티디버깅/로그 기록/특정 스레드 제어 등에 사용될 수 있음 VirtualAlloc메모리 할당 함수로, 다양한 악성 행위의 시작점 될 수 있음.특히 쉘코드 ..

[Vidar Stealer] 정적 분석 https://bazaar.abuse.ch/sample/660da1824c143de666903c2b3983df605a3494a9ddaa7b65919e1263b095e343/ MalwareBazaar | Checking your browserPlease confirm that you are not a robot by clicking on the checkbox belowbazaar.abuse.ch1. 파일 유형 파악파일 압축 해제 후 리눅스 환경의 file 유틸리티 활용해 유형 파악.Lumma Stealer와 동일한 32비트 실행 파일(PE 32) 2. 악성코드 식별파일의 md5 해시를 생성.705fdf5d27c1d8f39986fd45ef7a4593이 해시값을 통해 바이러스토털에 질의 가능. 3. 문자..

[Lumma Stealer] 코드 구조 수준 분석 - 3 3주차 분석 method_0 로직 속의 Delegate24.smethod_0을 뜯어봄.// Delegate24// Token: 0x06000768 RID: 1896 RVA: 0x00006007 File Offset: 0x00004207public static Delegate smethod_0(Type type_0, Type type_1, string string_0, Delegate24 delegate24_1){ return delegate24_1(type_0, type_1, string_0);}아주 단순한 Delegate wrapper라고 함...전달된 delegate24_1 델리게이트를 실행할 뿐이고, 그 결과를 delegate 타입으로 반환.중요한 건 return 다음의 delegate24_1(ty..

[Lumma Stealer] 코드 구조 수준 분석 - 2 2주차 분석 https://lastcard.tistory.com/845 Windows 악성코드 .NET 공통 함수 및 dnSpy를 활용한 분석 기법Windows .NET 악성코드는 Assembly.Load(), File.ReadAllBytes(), Process.Start(), Registry.SetValue() 등의 System 네임스페이스 함수들을 공통적으로 사용합니다. dnSpy를 활용한 분석 시에는 Main 진입점 파악, 리소스 섹lastcard.tistory.com위 블로그 내용 참고해서 분석해 보는 것이 목표. Windows .NET이란?Windows .NET 악성코드는 Assembly.Load(), File.ReadAllBytes(), Process.Start(), Registry.Set..

[Lumma Stealer] 코드 구조 수준 분석 코드 분석에 앞서, 이전에 Windows VM에 압축을 풀어두었던 LummaStealer.exe 파일이PE 헤더가 뜨지 않는(...) 잘못된 형태로 변한 건지IDA에서 분석 자체가 안 되길래 새롭게 압축을 풀어 저장하였다. 리빙포인트: MalwareBazzar에서 다운로드한 악성코드 샘플의 비밀번호는 'infected'이다...지금껏 이걸 몰라서 kali로 압축해제하고 재압축해서 푸는 쌩쇼를 반복함 1주차 분석IDA Freeware로 분석IDA에 넣어 보니 일단 위와 같이 디스어셈블리 윈도우 모드로 뜬다. IDA View-A로 볼 수 있는 내용. .idata(Import Data) 세그먼트의 내용으로, PE 파일의 Import Table, 즉 외부 DLL 함수들을 정의하는 영역.PE 파일이 외부 라이브러..

[악성코드 샘플 분석하기] Lumma Stealer - 동적 분석 VM 환경 설정본격적인 동적 분석 시작에 앞서, 윈도우 VM과 리눅스 VM에 대해 각각 환경 설정을 진행. 리눅스 VM의 IP 주소를 192.168.1.100으로 설정.설정 이후 제대로 적용이 된 것까지 확인 완료. 윈도우 VM의 IP 주소는 192.168.1.50으로 설정.설정은 제어판>네트워크 및 공유 센터>이더넷>속성>인터넷 프로토콜 버전 4(TCP/IPv4)>속성 에서 가능. 프로세스 모니터를 이용한 시스템 상호작용 조사프로세스 모니터: 고급 모니터링 도구로, 프로세스가 파일 시스템, 레지스트리, 프로세스/스레드 활동의 실시간 상호작용을 보여줌악성코드 Lumma Stealer를 실행시키자 갑작스럽게 많은 양의 이벤트가 발생함. filter>filter에서 Process Name 중 LummaSt..

목록 더보기

티스토리툴바