여기서 설명할 버그는 win32k!NtGdiGetDIBitsInternal syscall 에서 발생합니다. 이 함수는 초기 윈도우 버전(적어도 Windows NT) 부터 제공되는 함수로 GetDIBits, BitBlt, StretchBlt 등의 함수에서 내부적으로 호출합니다. 구글 프로젝트 제로가 보고한 runrelated double-fetch 취약점을 패치하기위해 최근 MS 의 4월 패치에 패치 대상이 되기도 했습니다.(CVE-2017-0058, issue #1078) 이 취약점은 다른 벤더사에 보고된적도 있었지만, 활용도가 낮아 크게 이슈화 되진 않았었습니다.…
개요 한국형 랜섬웨어 Venus Locker 가 이슈화 됐습니다. 정교한 한글번역, 정말 읽고 싶게 만드는 파일명 선정, 그리고 pdb의 한글경로 및 그럴싸한 오타까지. 공격자 국적을 유추할 수 있는 단서가 많이 나오는 랜섬웨어 샘플입니다. 복호화 가능여부 이 랜섬웨어는 C&C 서버 접근 성공 여부에 따라 사용하는 암호화 키가 다릅니다. 성공 시에는 PC 정보를 기반으로 키를 생성 및 서버로…
직업적 특성상 악성샘플을 다룰 일이 많습니다. 특히 이메일 등 외부와 샘플을 공유해야 하는 경우 일반적인 압축파일이라면 이메일 서비스 제공업체의 바이러스 탐지 로직에 따라 차단되는 경우가 많습니다. 그렇다고 샘플을 매번 압축하고 비밀번호 거는 일은 여간 귀찮을 일이 아닐 수 없죠. 압축한다고 프로그램을 만들 순 없는 노릇이고, 간단하게 배치파일 스크립트를 작성했습니다. 잘 써주셨으면 좋겠습니다. 참고 https://www.dotnetperls.com/7-zip-examples 주의사항…