1q

20년 4월 29일 yara 4.0.0이 업데이트가 됐습니다[1][2]. 크게 새로운 modifier은 base64, base64wide, private가 생겼으며, "pe" 모듈에 pdb_path, export_details, exports_index가 추가되었다. 나머지 항목들은 기존 기능을 개선하거나 버그를 FIX한 형태이므로 언급은 하지 않겠습니다. Base64 strings - base64 modifier는 base64 인코딩된 문자열을 검색할 때 사용된다. - base64wide modifier는 base64 modifier와 동일하게 동작하지만, base64 동작 후 wide 형태로 변환된다. - base64 및 ba64wide modifier는 text string에서만 지원된다. - (주..

xor modifier는 single byte XOR이 적용된 문자열을 검색하는 데 사용할 수 있다. 아래 룰은 문자열 "suspect"에 적용된 모든 single byte XOR을 검색한다. 쉽게 말해서 0x00~0xff까지 돌린다는 것이다. xor 후 wide와 ascii를 사용하고 싶으면 xor wide ascii 순서로 아래와 같이 입력하면 된다. rule xor1 { strings: $xor_string = "suspect" xor wide ascii condition: $xor_string } 위와 같은 경우에는 xor을 0x00~0xff까지 255번 모두 수행한다. YARA 3.11 업데이트에서는 xor(minimum-maximum) 형태로 최소, 최대의 수를 직접 지정하여 세밀하게 컨트롤 ..

Microsoft 공식 홈페이지[1]에 따르면 AMSI(AntiMalware Scan Interface)는 응용 프로그램 및 서비스를 컴퓨터에있는 모든 Anti-Virus 제품과 통합 할 수있는 다목적 인터페이스 표준이다. AMSI 기능은 Windows 10의 아래 구성 요소에 통합되어 있다. User Account Control, or UAC (elevation of EXE, COM, MSI, or ActiveX installation) PowerShell (scripts, interactive use, and dynamic code evaluation) Windows Script Host (wscript.exe and cscript.exe) JavaScript and VBScript Office VB..

4월 15일 미 국무부 외 4개 기관이 공동으로 발표한 "Guidance on the North Korean Cyber Threat"[2]에 대해 번역 및 요약을 진행하려고 합니다. 보고서에 따르면 정부기관 합동경계령은 2018년 10월 이후 처음 있는 일이며, 북한(이하 "DPRK"로 정의)의 악성 사이버 활동은 미국과 전세계의 국가를 위협하며 특히 국제금융시스템의 안정성과 통합에 상당한 위협이 된다는 내용이 주를 이뤘습니다. 또한, DPRK의 위협 정보를 제공하는 사람에게는 현상금 비슷한 최대 500만 달러(4/16 기준 원으로 환산하면 61억 3,900만 원..)를 제공한다고 보고서 마지막에 명시합니다. 그만큼 DPRK의 위협이 강력하다는 것으로 생각해볼 수 있을 것 같습니다. 미 국무부(The U..

안녕하세요. 19년도 대학원 수업에서 실습하고 발표한 자료와 실습한 동영상을 공유해드리려고 합니다. 사실, 시뮬레이션에 대해 이해를 완벽하게 하지 않은 채로 만든 작업물이며, 다른 분들이 이미 실습한 자료일 수도 있어 중복이 될 수도 있습니다. 시뮬레이션은 모델링이 매우 중요합니다. 모델링에 의해 시뮬레이션이 좌우된다고 할 수가 있어 공을 들여야 한다고 교수님께서 말씀하셨었죠. 안타깝게도.. 저는 완벽하게 이해가 되지 않아 공부가 더 필요한 것 같습니다. 실습은 Cuckoo 샌드박스 기반으로, 가상 회피 기능이 있는 악성코드(Venuslocker-랜섬웨어)를 대상으로 실험을 진행합니다. 한 쪽은 가상환경을 완화하지 않은 환경, 다른 한 쪽은 반대로 완화된 환경으로 시뮬레이션을 진행합니다. 완화 방법으로는..

안녕하세요. 19년도에 대학원 수업을 수강하면서 실습을 진행한 취약점(CVE-2018-9375)에 대해 분석 및 실습과 Mitigation에 대해 작성한 발표자료, 요약한 기술문서, 시연 동영상을 공유해드리려고 합니다. 해당 취약점은 미국 보안회사(IOActive)에서 18년 3월경 발견 및 구글에 신고했으며, 18년 6월에 구글은 해당 취약점을 패치했습니다. 해당 취약점은 사용자의 개인 사전(Personal Dictionary)이 저장되어있는 sqllite 데이터베이스에 접근하는 query(), update(), delete() 메소드에서 DB를 사용하기 전 보안 체크를 해야 하지만, 사용 후 보안 체크를 하는 루틴에 의해 이를 우회하여 실행할 수 있는 취약점입니다. 자세한 내용은 아래 첨부되는 "CV..

Virustotal API 3.0 is upgraded yesterday. amazing of added things is offering malware hunting api.three key concepts of API 3.0 is objects, collections, relationships.An object is any item that can be retrieved or manipulated using the API. Files, URLs, domain names and VT Hunting rulesets are some the object types exposed by the API.A collection is a set of objects. Objects in a collection are ..

https://github.com/nihilus/detpdb 1. 깃허브 주소의 detpdb.cfg 파일을 텍스트 편집기로 열어서 DETPDB_SYMBOL~~ 부분 주석 해제하고 C드라이브에 Symbols 폴더 생성 2. 수정된 detpdb.cfg 파일을 %IDA_DIR%\\cfg 폴더에 복사 3. 다운로드 받은 폴더 내부에 detpdb.plw 파일을 %IDA_DIR%\\plugins 폴더에 복사