Widia ScreenLocker

2017년 6월 2일
by

1. 개요 최근 기존 랜섬웨어와 다른 방식인 다른 스크린락커(ScreenLocker)가 유포되고 있다. 스크린락커는 기존의 랜섬웨어와 다르게파일을 암호화하는 것이 아닌 감염 PC의 화면을 잠금으로써 PC를 사용하지 못하게 하고 금전, 금융정보 등을 요구하는 악성코드다. 아래 그림처럼 PC의 화면을 잠근 뒤 카드 정보를 요구한다. Alt + F4 를 누르면 종료되지만, 작업관리자와 explorer.exe 가 실행되지 않아 사실상 PC를 사용할 수 […]

WannaCryptor 공개된 자료 정리

2017년 5월 15일
by

WannaCry 정보정리 이 글은 https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168 를 번역한 내용입니다. 개요 알려진 이름 : WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY 감염벡터 : MS-17-010 패치 안된, WIN10 이하 모든버전의 윈도우, 자가전파에 EternalBlue1 MS17-010 사용 몸값 : $300 ~ $600, 샘플 내 ‘rm'(remove) 명령어 존재, 샘플 충돌시 리셋하기 위한 것으로 추정 백도어 : 전파를 위해 감염PC 내 존재하는 RDP 세션에 […]

중국발 공격예고

2017년 3월 30일
by

개요 보안뉴스에 따르면 중국 최대 해커조직인 홍커연맹이 28일 한국 웹사이트 공격계획을 세우고 있는 사실이 알려지며 파장을 일으키고 있다. 홍커연맹은 지난 3월초 롯데의 사드 부지 제공 문제로 롯데 관련 사이트와 한국 웹사이트를 타깃으로 무차별 해킹 공격을 감행한 전적이 있다. 아직까지 홍커연맹과 이 공격 준비와의 정확한 연관관계는 파악되지 않았으나, 중국내 보안동향 및 위협분석 전문업체 씨엔시큐리티는 “게시물 작성자가 […]

NanoCore RAT

2017년 3월 30일
by

개요 최근 국내에 나노코어(NanoCore) 기반 악성코드가 정상 프로그램으로 위장해 유포되고 있다. 나노코어는 해외에서 제작된 상용 프로그램으로 플러그인 방식을 사용해 기능을 추가/제거 할 수 있다. 이 점을 악용해 악성 플러그인를 제작해 유포하고 있다. 기사원문 아래의 사진은 실제 나노코어 악성코드를 설치하는 방법과 사용법 등을 동영상으로 찍어 올린 글이며, 다운로드 URL도 함께 작성이 돼있다. 이 처럼 간단한 검색만으로도 […]

RIG EK를 통해 유포되는 Revenge 랜섬웨어

2017년 3월 16일
by

개요 Broad Analysis 는 RIG EK 을 이용 Revenge 랜섬웨어를 유포중인 정황을 포착했습니다. 이 랜섬웨어는 랜섬노트에 한글을 지원하는 특징을 보입니다. 감염사이트 Revenge 랜섬웨어는 CryptoMix 의 변종 혹은 새로운 버전입니다. 해킹된 사이트1 는 악성 iframe 이 삽입되어 RIG EK의 랜딩페이지로 사용자를 리디렉션 시킵니다. width, height 0의 iframe 안에 EK 로 리디렉션 되는 페이지를 삽입하는 방식은 사이트에 […]

jumpingwhale

풀스택 분석가가 되고싶은 목마른 다이버.
우물이 없어? 내가 팔게!

Latest posts by jumpingwhale (see all)

jumpingwhale

풀스택 분석가가 되고싶은 목마른 다이버.
우물이 없어? 내가 팔게!

Latest posts by jumpingwhale (see all)

분석 방법

INT 2E 를 활용한 Native API 호출방법

2017년 4월 17일 by

개요 비교적 최근 있었던 샘플을 분석하며 정리한 내용입니다. 고객사로 부터 악성코드가 접수됐는데, 실행이 시간이 너무 오래 걸려, 자동분석 한계시간을 초과해 분석되지 않는 이슈가 있는 샘플이었습니다. 샘플은 THOR 랜섬웨어, Locky 랜섬웨어의 변종이고 출시된진 수개월이 지났지만 여전히 활발히 활동하는 랜섬웨어 중 하나입니다. Malwares.com 보고서 에서 이번 분석에 사용한 샘플의 해쉬 및 기타 정보를 확인할 수 있습니다. 이런 […]

How to analyze Delphi

2017년 4월 11일 by

개요 분석을 시작하면 Win32 PE 파일을 가장 많이 분석한다곤 하지만, 이 PE 파일도 컴파일러나 프레임워크에 따라 정말 세분화 되어있습니다. 당장 생각나는 것만 해도 VB, dotNet, C, C++, MFC, Delphi 까지… 풀스택 분석가의 길은 정말이지 멀고도 험하기만 합니다. ELF는 언제 하나요…? 어셈블리어만 볼 줄 알면 분석하는거 아닌가? 하는 접신의 경지에 오른 분석가분들도 계시지만 전 하찮은 미물일 […]

드래그 안되는 중국어 쉽게 번역하기

2017년 3월 28일 by

개요 분석을 하다보면 중국어로 된 웹사이트 방문기회가 잦습니다. 사실 웹이야 크롬 자체기능을 이용해서 자동번역이 되기에, 번역의 질은 둘째 손 치더라도 일을 진행할 순 있습니다만 문제는 중국어만 지원하는 프로그램에서 발생합니다. 프로그램에 표시된 중국어들은 드래그가 되는 것도 아니고, 네이버에 한땀한땀 그리고 싶어도 글자가 뚜렷하게 보이는 게 아니라 막막하기만 합니다. 우린 분석가잖아요, 리소스에서 뜯어올까요? OCR 기능을 이용할 수 […]

파이썬

QMessageBox 예제

2017년 6월 8일 by

요즘 python3 와 PyQt5 를 활용한 GUI 프로그래밍 할 일이 많이 있었습니다. GUI 프로그래밍은 레퍼런스를 잘 보고 복붙해서 하면 좋은데 PyQt5 는 적당한 예제를 찾기 힘든게 사실입니다. PyQt4 예제만 잔뜩 나오죠. 레퍼런스는 C++로만 제공되서 더욱 어렵게 느껴집니다. 이에 제가 자주 쓰는 예제코드들을 하나씩 올려두려 합니다. 누군가에겐 도움이 됐으면 좋겠습니다. QMessageBox 는 윈도우의 MessageBox 와 그 […]

OLE Parser

2017년 3월 23일 by

OLE 파일을 파싱행주는 파이썬 소스코드입니다. 언제나 그렇지만 직접 만든 소스코드를 공개하는건 정말 부끄럽기 짝이 없는 일입니다. 하지만 누군가에겐 도움이 되길 바라며 이 글을 남깁니다. 가독성을 위해 어떠한 예외처리나 검증로직도 들어가 있지 않아 실제 악성 문서파일 등에 사용하기엔 무리가 있습니다. 중간에 잘못된 부분 등 미처 제가 챙기지 못한 점에 대한 피드백은 언제나 환영합니다. import struct import […]

GUID 변환 스크립트

2017년 2월 24일 by

메모리 덤프 등에서 긁은 GUID 값을 그대로 검색하면 byte ordering 에 의해 원하는 결과가 나오지 않습니다. 그렇다고 0x10 이나 되는 GUID 를 손으로 수정하기도 눈알 빠지는 일이고요. little endian으로 저장된 GUID 를 검색하기 쉽게 big endian으로 변환해주는 파이썬 스크립트 입니다. 실행하고 명령창에 메모리에서 복사한 값을 붙여 넣는 식으로 동작합니다. GUID 구조체를 선언해두고 구조체에 이쁘게 값을 […]

일일 보안이슈

2017.08.18 – Daily Security Issue

2017년 8월 18일 by

일일 보안이슈 ExploitAlert ClipBucket 2.8.3 – Multiple Vulnerabilities Easebay Resources Bypass admin & Shell upload Apple iOS 10.3 – UI SMS Access Permission Philex CMS – Directory Traversal Xamarin Studio for Mac API documentation local priv escl Foxit PDF 리더, 0-day 취약점 두 건 Foxit PDF Reader 는 유명 무료 PDF 파일 뷰어. TrendMicro 와 […]

2017.08.17 – Daily Security Issue

2017년 8월 17일 by

일일 보안이슈 ExploitAlert Xamarin Studio for Mac API documentation update ClipBucket 2.8.3 – Multiple Vulnerabilities Easebay Resources Bypass admin & Shell upload Apple iOS 10.3 – UI SMS Access Permission Vulnerability Philex CMS – Directory Traversal MS Edge: Chakra: Uninitialized arguments MS Edge: Chakra: incorrect jit optimizaton with TypedArray setter #3 MS Edge: Chakra: JavascriptFunction::EntyCall […]

2017.08.16 – Daily Security Issue

2017년 8월 16일 by

일일 보안이슈 ExploitAlert CMS yetishare Version 4.2 XSS TheoCMS <= 2.0 SQLi De-Tutor – Private Tutoring and Admission Processing 1.0 – SQL Injection Academic Journal and Peer Review System 1.0 – SQLi De-Workshop – Auto Workshop Portal 1.0 – SQLi Mamba 와 Diablo(Locky 변종) 랜섬웨어 컴백 Diablo 관련 Malware Traffic Analysis 링크와 기사원문 현관문 스마트 […]