1q

1. windbg - open exe - filename : rundll32.exe - arguments : [dll 경로], [export 함수 이름] 2. sxe ld sample (dll 이름) 3. g 4. lm m sample (dll 이름) 5. bp [export 함수 offset] 6. g 7. 분석 시작

1편 : https://suspected.tistory.com/279 [개요] 본 글에서는 1편에서 소개했듯이 특정 커스텀 인코딩 루틴 분석 및 디코딩 스크립트를 제작하는 과정에 대해 설명한다. [분석] 본 글에서는 1편에서 소개했듯이 특정 커스텀 인코딩 루틴 분석 및 디코딩 스크립트를 제작하는 과정에 대해 설명한다. 아래 코드는 0x18001B330 함수 호출 전 모습이다. 인자로는 v8 변수(인코딩된 데이터)와 v11 변수(데이터 길이 값)을 전달 받는다. 아래 코드는 디코딩 루틴(0x18001B330)이다. 아래 함수를 디버깅해서 문자열을 추출하는 방법도 있지만, 시간 소요가 크다는 단점이 있어 IDAPython을 이용해 스크립트를 작성한다. 코드가 많아보이지만 주요 기능은 별로 안된다. __int..

[개요] gmail에 alienvault feed 메일이 전송되어 분석을 시작하기로 했다. alienvault는 해당 악성코드 Family를 Kimsuky라 지정했다. 최근 악성 한글 문서 유포 형태에서 워드+매크로, pdf.jse와 같이 확장자 변경+fileless 형태로 변경되는 것 같은 느낌이 든다. [분석] 본 글(1편)은 세세한 분석보다는 파일이 드롭되는 과정, 드롭된 파일이 대충 어떤 기능을 하는지에 대해 설명한다. 2편에서는 특정 커스텀 인코딩 루틴 분석 및 디코딩 스크립트를 제작하는 과정에 대해 설명한다. 2편 : https://suspected.tistory.com/280 * VT 정보 hash : 20eff877aeff0afaa8a5d29fe272bdd61e49779b9e308c4a20..

[개요] 본 게시물은 이전 게시물[1]과 행위가 100% 동일한 공격이며, 미끼 문서만 다른 형식으로 변경한 것으로 확인됐습니다. 하지만, 둘 다 암호화폐 관련 내용이 주를 이루는 것이 공통점입니다. 과거 암호화폐 거래소 빗썸, 업비트를 타겟으로 공격한 사례도 있습니다. 이번 사례도 마찬가지로 비트코인 가격이 오르자 국내 암호화폐 거래소(Flybit)를 타겟으로 스피어피싱 공격을 수행하는 것을 볼 수 있습니다. ※ 본 샘플은 한글문서만 상이하며, 바이너리 분석내용은 이전 게시물[1]과 동일합니다. (Figure 1)은 공격자가 (Figure 2) 국내 암호화폐 거래소(flybit)에 전송한 메일 내용입니다. (Figure 3) 국내 "(주)GBSC" 회사메일로 "이현수"라는 발신인이 flybit 측에 입..

[개요] [1][2] 이전 게시물에서 분석한 내용과 유사한 공격이 지속적으로 발생하고 있습니다. 이번 공격에는 "[조회]비트코인 투자 카페 강퇴&활동정지"라는 내용의 한글문서가 유포됐습니다. (Figure 1) 비트코인 가격이 최근 상승[3]하는 것으로 보아 비트코인 관련 미끼 문서로 스피어피싱 공격이 이루어지는 것으로 추정되어 관계자 및 개인들의 주의가 필요할 것으로 보입니다. (Figure 2) Virustotal에서 해쉬값을 조회한 결과 3개의 국내 백신(V3, Alyac, Virobot)에서 탐지한 것으로 확인됐습니다. 유포된 한글문서의 내용(Figure 3)에는 비트코인 투자카페 신고관련 내용이 존재합니다. 해당 카페가 존재하는지 확인한 결과 (Figure 4) 실제로 운영되는 카페인 것으로 확..

[개요] 언론[3]에 따르면 한국수력원자력에서 상반기 채용공고인 "연구ㆍ전문원 및 경력사원 선발[2]"을 미끼로 사용하여 공격자들은 금일 악성 한글파일을 유포한 정황이 포착됐습니다. (Figure 1) 4월 27일 오후 6시경 확인했을 때는 ViRobot을 제외하고는 탐지를 못하는 것을 확인했습니다. 본 게시물에서 다루는 샘플은 이전 게시물[1]과 GhostScript 취약점(CVE-2017-8291) 및 쉘코드 또한 유사했습니다. C2 서버에서 파일을 받지 못하여 추가적인 분석은 하지 못했지만 유포 전 과정까지 분석한 결과를 본 게시물에서 소개해드리겠습니다. 공격자는 실제 한국수력원자력 상반기 2020 채용공고 문서(Figure 2)와 유사하게 작성(Figure 3)을 했으며, 일부 내용은 조금 다른 ..

SNS를 통해 수집된 위협정보를 공유드립니다. 다음 주 국회의원 선거가 다가오자 공격자들이 Word를 활용한 미끼 문서를 유포하고 있습니다. 현재는 공개된 C2들이 모두 단절되었거나 파일이 비어있지만 주의가 필요합니다. 이 파일과 더불어 "외교문서 관련(***국장).docx" 이라는 파일이 유포되고 있으며, C2 경로만 약간 다른 것으로 확인됐습니다. C2가 단절되어 추가 파일은 확인하지 못해서 아쉽지만, SNS에 미리 샘플을 확보하고 분석한 분들이 공개[1][2]한 IOC 정보를 하단에 공유해드리겠습니다. 실행 시 C2가 현재 단절되어 (Figure 2)와 같이 보이지만, 단절되지 않았을 경우 문서가 제대로 보일 것으로 추정됩니다. 또한, 두 파일의 이미지를 Hash 비교를 해보니 같은 것으로 확인되었..

[개요] [1] ASEC 분석팀은 "전라남도 코로나바이러스 대응 긴급 조회.hwp"로 위장한 악성 문서파일을 발견하고 패치했다. 해당 정보를 확인하고 [2] 무료 샌드박스 서비스(any.run)에서 파일을 다운로드 받아 분석을 수행하기로 했다. 해당 악성 문서파일(HWP)은 코로나19 관련 내용으로 정부기관으로 위장하여 유포한 파일이다. CVE-2017-8291 취약점을 이용해 만들어졌으며, Powershell을 이용해 C2 서버에 접근해 2차 유포 파일(EXE)을 다운로드 받은 뒤, 정보유출형 백도어 역할을 수행한다. 현재는 C2가 단절되어 Powershell에서 C2 서버에 접근하지 못하지만, 서버가 다시 살아날 수 있을 가능성도 있기에 주의가 필요하다. ※ 본 게시물에는 단계별로 한글 문서, 쉘코드..