1q

1. windbg - open exe - filename : rundll32.exe - arguments : [dll 경로], [export 함수 이름] 2. sxe ld sample (dll 이름) 3. g 4. lm m sample (dll 이름) 5. bp [export 함수 offset] 6. g 7. 분석 시작

1편 : https://suspected.tistory.com/279 [개요] 본 글에서는 1편에서 소개했듯이 특정 커스텀 인코딩 루틴 분석 및 디코딩 스크립트를 제작하는 과정에 대해 설명한다. [분석] 본 글에서는 1편에서 소개했듯이 특정 커스텀 인코딩 루틴 분석 및 디코딩 스크립트를 제작하는 과정에 대해 설명한다. 아래 코드는 0x18001B330 함수 호출 전 모습이다. 인자로는 v8 변수(인코딩된 데이터)와 v11 변수(데이터 길이 값)을 전달 받는다. 아래 코드는 디코딩 루틴(0x18001B330)이다. 아래 함수를 디버깅해서 문자열을 추출하는 방법도 있지만, 시간 소요가 크다는 단점이 있어 IDAPython을 이용해 스크립트를 작성한다. 코드가 많아보이지만 주요 기능은 별로 안된다. __int..

[개요] gmail에 alienvault feed 메일이 전송되어 분석을 시작하기로 했다. alienvault는 해당 악성코드 Family를 Kimsuky라 지정했다. 최근 악성 한글 문서 유포 형태에서 워드+매크로, pdf.jse와 같이 확장자 변경+fileless 형태로 변경되는 것 같은 느낌이 든다. [분석] 본 글(1편)은 세세한 분석보다는 파일이 드롭되는 과정, 드롭된 파일이 대충 어떤 기능을 하는지에 대해 설명한다. 2편에서는 특정 커스텀 인코딩 루틴 분석 및 디코딩 스크립트를 제작하는 과정에 대해 설명한다. 2편 : https://suspected.tistory.com/280 * VT 정보 hash : 20eff877aeff0afaa8a5d29fe272bdd61e49779b9e308c4a20..

spactrack에서 저장된 spac 목록들을 파싱하고 엑셀에 저장하는 스크립트이다. # get parsing spack stocks list and stored to excel # python 3.8 import requests from bs4 import BeautifulSoup import xlsxwriter # startrack's spack stocks list url1 = "https://sheet2site-staging.herokuapp.com/api/v3/index.php/?search=&key=1F7gLiGZP_F4tZgQXgEhsHMqlgqdSds3vO0-4hoL6ROQ&e=1" url2 = "https://sheet2site-staging.herokuapp.com/api/v3/load..

20년 4월 29일 yara 4.0.0이 업데이트가 됐습니다[1][2]. 크게 새로운 modifier은 base64, base64wide, private가 생겼으며, "pe" 모듈에 pdb_path, export_details, exports_index가 추가되었다. 나머지 항목들은 기존 기능을 개선하거나 버그를 FIX한 형태이므로 언급은 하지 않겠습니다. Base64 strings - base64 modifier는 base64 인코딩된 문자열을 검색할 때 사용된다. - base64wide modifier는 base64 modifier와 동일하게 동작하지만, base64 동작 후 wide 형태로 변환된다. - base64 및 ba64wide modifier는 text string에서만 지원된다. - (주..

xor modifier는 single byte XOR이 적용된 문자열을 검색하는 데 사용할 수 있다. 아래 룰은 문자열 "suspect"에 적용된 모든 single byte XOR을 검색한다. 쉽게 말해서 0x00~0xff까지 돌린다는 것이다. xor 후 wide와 ascii를 사용하고 싶으면 xor wide ascii 순서로 아래와 같이 입력하면 된다. rule xor1 { strings: $xor_string = "suspect" xor wide ascii condition: $xor_string } 위와 같은 경우에는 xor을 0x00~0xff까지 255번 모두 수행한다. YARA 3.11 업데이트에서는 xor(minimum-maximum) 형태로 최소, 최대의 수를 직접 지정하여 세밀하게 컨트롤 ..

[개요] 본 게시물은 이전 게시물[1]과 행위가 100% 동일한 공격이며, 미끼 문서만 다른 형식으로 변경한 것으로 확인됐습니다. 하지만, 둘 다 암호화폐 관련 내용이 주를 이루는 것이 공통점입니다. 과거 암호화폐 거래소 빗썸, 업비트를 타겟으로 공격한 사례도 있습니다. 이번 사례도 마찬가지로 비트코인 가격이 오르자 국내 암호화폐 거래소(Flybit)를 타겟으로 스피어피싱 공격을 수행하는 것을 볼 수 있습니다. ※ 본 샘플은 한글문서만 상이하며, 바이너리 분석내용은 이전 게시물[1]과 동일합니다. (Figure 1)은 공격자가 (Figure 2) 국내 암호화폐 거래소(flybit)에 전송한 메일 내용입니다. (Figure 3) 국내 "(주)GBSC" 회사메일로 "이현수"라는 발신인이 flybit 측에 입..

[개요] [1][2] 이전 게시물에서 분석한 내용과 유사한 공격이 지속적으로 발생하고 있습니다. 이번 공격에는 "[조회]비트코인 투자 카페 강퇴&활동정지"라는 내용의 한글문서가 유포됐습니다. (Figure 1) 비트코인 가격이 최근 상승[3]하는 것으로 보아 비트코인 관련 미끼 문서로 스피어피싱 공격이 이루어지는 것으로 추정되어 관계자 및 개인들의 주의가 필요할 것으로 보입니다. (Figure 2) Virustotal에서 해쉬값을 조회한 결과 3개의 국내 백신(V3, Alyac, Virobot)에서 탐지한 것으로 확인됐습니다. 유포된 한글문서의 내용(Figure 3)에는 비트코인 투자카페 신고관련 내용이 존재합니다. 해당 카페가 존재하는지 확인한 결과 (Figure 4) 실제로 운영되는 카페인 것으로 확..