13 Security Lab

1. 이미 감염 된 환경에서 MBR 영역에 대한 덤프 수집 대략적인 어셈블리 확인 2. Virtual Machine Guest OS에 해당 MBR 덤프 덮어 씌워 감염 된 환경 만들기 3. IDA Pro 를 통한 VM Guest OS 디버깅 세팅 1) Vmware 이미지 경로에서 확장자 vmx 파일을 열기 (vmx 가 설정파일) 2) VMware에 디버그 옵션 설정 추가 후 저장debugStub.listen.guest32 = "TRUE"debugStub.hideBreakpoints = "TRUE"debugStub.listen.guest32.remote = "TRUE"monitor.debugOnStartGuest32 = "..

Ransomware Infection Techniques 1. 실제 Locky 동작 시 내부에 있는 인코딩 된 PE를 풀어내기 위해 커맨드라인으로 받은 인자 값을 사용(인자 없이 dll 제대로 동작 X) [분석 샘플]JS MD5 : 7513c6a1557829a074cb3ce547b81c92DLL MD5 : 1906b171a386a1a9db87ea6ac002ff52실행 인자 "qwerty 323" 관련 Ref. : https://blog.malwarebytes.com/threat-analysis/2015/12/malware-crypters-the-deceptive-first-layer/ 2. 하드디스크, USB 외에 네트워크 공유..

티스토리에서 공식적으로 제공 하는 블로그 반응형 스킨 #1, #2 를 2016년에 내놓았다. 아래는 #2에 대한 공지 및 설명페이지 (http://notice.tistory.com/2284) 해당 스킨은 블로그 관리페이지 스킨탭에서 확인 할 수 있다. 그런데 이 스킨 사용 후 블로그 내부 검색 시 검색결과를 제대로 출력하지 않는 문제가 생겼었고 고객센터에 문의하였다.비슷한 문제를 겪고 있는 사람이 있는듯 문제 화면.... 위와 같이 "Windows"로 검색하면 54개의 글이 검색 되지만, 화면에 표시되지 않아 정상적인 검색이 어려운 상황 ! 원인은 추가한 플러그인 문제, 설정 등 다양하겠지만 나의 경우에는 아래와 같이 답변받아 해결하였다. 관리 센터 > 꾸미기 > 화면 설정 > 화면출력 > 선택 화면 >..

자바스크립트를 통해 실행 되는 이 악성코드는 감염 시 로컬 드라이브(C:\)의 특정 경로에 파일을 복사 후, 실행 중 상태로 있다가, USB 연결 시 USB를 감염시키고 원본파일을 숨겨 놓는다. 자바스크립트 형태이지만, 아래와 같이 난독화 되어있어 의미를 바로 알아낼 수는 없다. ... 자바스크립트를 통해 실행 되는 이 악성코드는 감염 시 USB 연결 여부를 확인하고 USB 안에 있는 파일들을 ".Trashes"라는 폴더를 만들어서 숨겨 놓는다. 그리고 마치 아무 일도 안일어난 것 처럼 똑같은 모양의 바로가기파일을 그 자리에 만들어 놓는데, 그 바로가기를 실행하게 되면 악성코드를 실행시킨 후에 .Trashes 폴더에 백업 된 원래 파일들을 실행 시켜, 눈치 채지 못하게 한다. ..

Windows XP 하위 환경에서 GetDriveType()을 통해 플로피 디스크의 정보를 얻어올 경우 아래와 같은 팝업을 만나게 된다. 그림 1. GetDriveType() Error 에러 메시지는 "Exception processing message c0000013 Prameters bla~ bla~" 로 나오며, "Windows - 디스크 없음" 을 통해 디스크 접근 시 문제가 발생 했음을 알 수 있다. 구글링 결과 이미 비슷한 에러가 다뤄 진 바 있으며, 같은 이슈로 "Windows No Disk Exception Processing Message c0000013 Parameters 75b6b7c 4 75b6bf7c 75b6bf7c" 에러가 뜬다는 글을 확인 할 수 있다. (Ref. : http:..