13 Security Lab

최근에 VB.NET 으로 되어진 코드에 대해 크립터로 난독화 해왔습니다. 주로 우리가 했던 것은 그 로직과 암호화 방법을 찾는 것이었는데 제가 생각하기에는 리버싱의 가장 어려운 부분은 로직을 찾는 것이지 패치나 숨겨진 부분을 찾는 것이 아닌 것 같습니다. 그래서 여기서는 다음 두가지를 다루어 보고자 합니다. - anti-reversing protection 제거 - 디컴파일, 실행 가능하게 프로그램 수정 여기 난독화 해제에 대한 많은 내용들이 있지만, 이 것들은 일단 뒤로 넘기고 수동으로 따라가면서 한번 스스로 해봅니다. (그게 진짜로 도움 됨 ) DnSpy를 통해 코드를 로드 해봅니다. 그리고 우리의 모듈과 클래스 그리고 디컴파일되지 않은 코드들 안에 정의 된 메소드들이 뭔지 살펴 봅니다. [messe..

1. 이미 감염 된 환경에서 MBR 영역에 대한 덤프 수집 대략적인 어셈블리 확인 2. Virtual Machine Guest OS에 해당 MBR 덤프 덮어 씌워 감염 된 환경 만들기 3. IDA Pro 를 통한 VM Guest OS 디버깅 세팅 1) Vmware 이미지 경로에서 확장자 vmx 파일을 열기 (vmx 가 설정파일) 2) VMware에 디버그 옵션 설정 추가 후 저장debugStub.listen.guest32 = "TRUE"debugStub.hideBreakpoints = "TRUE"debugStub.listen.guest32.remote = "TRUE"monitor.debugOnStartGuest32 = "..

Ransomware Infection Techniques 1. 실제 Locky 동작 시 내부에 있는 인코딩 된 PE를 풀어내기 위해 커맨드라인으로 받은 인자 값을 사용(인자 없이 dll 제대로 동작 X) [분석 샘플]JS MD5 : 7513c6a1557829a074cb3ce547b81c92DLL MD5 : 1906b171a386a1a9db87ea6ac002ff52실행 인자 "qwerty 323" 관련 Ref. : https://blog.malwarebytes.com/threat-analysis/2015/12/malware-crypters-the-deceptive-first-layer/ 2. 하드디스크, USB 외에 네트워크 공유..

자바스크립트를 통해 실행 되는 이 악성코드는 감염 시 로컬 드라이브(C:\)의 특정 경로에 파일을 복사 후, 실행 중 상태로 있다가, USB 연결 시 USB를 감염시키고 원본파일을 숨겨 놓는다. 자바스크립트 형태이지만, 아래와 같이 난독화 되어있어 의미를 바로 알아낼 수는 없다. ... 자바스크립트를 통해 실행 되는 이 악성코드는 감염 시 USB 연결 여부를 확인하고 USB 안에 있는 파일들을 ".Trashes"라는 폴더를 만들어서 숨겨 놓는다. 그리고 마치 아무 일도 안일어난 것 처럼 똑같은 모양의 바로가기파일을 그 자리에 만들어 놓는데, 그 바로가기를 실행하게 되면 악성코드를 실행시킨 후에 .Trashes 폴더에 백업 된 원래 파일들을 실행 시켜, 눈치 채지 못하게 한다. ..

AutoIt EXE Packed by MPRESS 간단하게 분석하기 md5 : SUpdater.exe 4751d2a3f998692aa0bafbd8dc1e1f05 SRestore.exe 67be02e15042b5a109ff2f5d55ee720a MPRESS 패커로 패킹되어 있으며 아래와 같은 PE구조를 가지고 있다. 바이너리 문자열로는 인지할 수 없지만 디버깅시 쉽게 AutoIt임을 알 수 있다. 아이콘 모양은 다음과 같다. 여기까지의 정황 그리고 기능이 매 시간 간격을 두고 동작하는 기능이 C&C와 통신하는 것과 유사하다. 그러나, 재확인 과정에서 아래와 같이 MPRESS 패킹된 원본파일이 아래와 같이 EXE2AUT로 디컴파일됨을 확인하였고 아래와 같이 정상프로그램으로 나타났다. Updater.exe U..

우선 소켓에 대한 설명 아래 소켓 프로그래밍에서 클라이언트 또는 서버의 구체적인 주소를 표현하기 위해서는 주소 체계(address family), IP 주소, 포트 번호 세가지가 지정되어 있어야 하며 이 3가지 정보를 묶어서 소켓 주소(socket address)라고 부른다. 소켓 주소를 담을 구조체 sockaddr 은 다음과 같이 정의되어 있으며 이것은 2 바이트의 address family와 14 바이트의 주소(IP 주소 + 포트번호)로 구성되어 있다. Connect함수의 IP, Port 가 어떻게 처리 되는지 확인하기 위해 MSDN을 확인 하였다. 아래와 같이 두번째 파라미터에서 name이라는 포인터가 sockaddr 구조체 주소를 가리키고 있었다. 주석을 간단하고 명료하게 잘 달아 놓은 블로그가 ..

1. Themida Anti-VM (VMware) 우회 - VM 설정 및 레지스트리 동작 환경 Host OS Windows 8.1 K x64 VMware Workstation Version 11.0.0 build-2305329 Guest OS Windows XP Professional K SP3 x86 2015년 6월 25일 최신 데모인 ThemidaDemo32_64의 2.3.4.14 버전에서 적용 가능하다.아래 두 방법을 동시 적용해야 한다. 1) 레지스트리 키 값 변경시작 - 실행 - regedit 등으로 레지스트리 편집기를 열어 다음의 키 값을 수정한다. 키 경로HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC..

md5 : 9ee9aa1537907f63d8350cc294ab7e6b 해당 파일은 Bot류로서 다음과 같은 기능이 있음서비스거부공격(DOS, Denial of Service)- TCP Data Flood - TCP Rnd Flood - TCP Pck Flood - TCP Connect Flood - SYN Flood - HTTP Flood - ES Flood C&C의 경우 아래 네이버 블로그 URL 에서 명령을 받아오는 것으로 판단되나, 현재 해당 블로그는 차단된 상태"http://blog.naver.com/PostView.nhn?blogId=windowupdate&logNo=150110424974&parentCategoryNo=1&viewDate=¤tPage=1&listtype=0&userTopList..

VMware - VMSwitchUserControlClass [VirtualMachineDetect.h] 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 // ------------------------------------------------ ------------------------ // Function to determine whe..

97259bd1fc915ad44a11abd7eccf6ac2 : DLL 형태f5025306001f5f9d73a98891957f423a : EXE 형태(064efa69e838c5455c5596bcc5bb02bd) 두 파일 모두 CryptoWall 4.0 으로서 수행하는 기능은 동일(인젝션, 파일암호화, 자동실행 등록)또한, "149.202.120.104", "149.202.120.106" (FR) 등 같은 유포지에서 유포되어 제작자 또한 같은 것으로 추정 파일은 확인 되지 않은 패커(또는 Wrapper)로 패킹 된 것으로 보이고, 내부에는 "Borland Delphi 3.0" 으로 컴파일 된 PE가 존재한다. 97259bd1fc915ad44a11abd7eccf6ac2 내부에서 확인 된 DLL : 7210c7..