목록전체 글 (365)
실제 악성코드 분석 - 1
pcap파일을 스구일로 replay 진행했다. 리다이렉트 이벤트 발생 후 악의적인 코드 다운 exe,dll 파일 다운 및 안티 디버깅이 적용되어 있는 이벤트다. redirect 185.189.14.112 JS,EXE 213.136.26.180 C&C 94.198.98.20 client 104.4.26.101 악성 IP에 도메인들이 존재한다. xplico를 통해 도메인 주소 정보를 확인 301 상태값으로 리다이렉트 하는 것을 알 수 있다. 해당 url로 이동 url이동 후 다시 정보를 확인하니 php로 이동하는 모습이다. 해당 다운로드 버튼을 누르면 다른 웹사이트로 이동된다. jgen.php로 이동된다. 해당 주소로 정보를 찾는다. 마이너에서 관련된 파일을 발견했다. 해당 파일을 열어보았다. var uuu..
[CodeEngn] Advance RCE 04
이번에도 키젠문제 확인할만한 데이터는 없었다. 네임과 시리얼을 입력하고 확인한다. 코드가 암호화되어있었다. xor al,25를 통해 다시 복호화하는 과정이다. 복호화가 끝나고 이동한 후의 위치가 OEP이다. 문자열을 통해 검색하면 분기문이 보인다. 이번에도 strcmp를 통해 비교를 한다. 0x403104의 문자열을 입력해 준다.
[CodeEngn] Advance RCE 03
패킹이 되어있지 않다. 간단한 키젠 프로그램이다. 12345678을 입력했다. strcmp의 인자값으로 비교값 두 개가 들어가는 것을 확인했다. 같은 값을 입력해주었다.
악성코드 샘플 분석_3
스구일이 에러 나서 샘플에서 제공된 이벤트 로그를 확인했다. ------------------------------------------------------------------------ Count:5 Event#8.1634 2016-10-14 22:14:42 UTC ET CURRENT_EVENTS Evil Redirector Leading to EK Jul 12 2016 50.56.223.21 -> 10.14.106.192 IPVer=4 hlen=5 tos=0 dlen=1361 ID=0 flags=0 offset=0 ttl=0 chksum=12172 Protocol: 6 sport=80 -> dport=49450 Seq=0 Ack=0 Off=5 Res=0 Flags=******** Win=0 urp..
[CodeEngn] Advance RCE 02
아이콘부터 섬뜩하다. 프로그램이 실행되자마자 꺼진다. 해당 부분에서 계속 예외발생이 된다. 멈춰가는 부분을 추적해서 계속 info 해주고 분기문을 찾는다. 의심 가는 분기문을 찾았다. flag를 바꾸어 탈출해 준다. 실행이 안되던 프로그램에 문자열이 출력된다. 패스워드를 아무거나 입력해서 비교 구문을 찾아준다. 비밀번호는 CRAAACKED! 이다.
악성코드 샘플 분석_2
얻어야 할 정보 리스트 - 사용자 이름 - 악성 메일 - 감염 날짜 시간 - 감염 IP, MAC , 호스트 이름 - 악성 관련 IP/ 도매인 메일들을 확인하고 악성 메일을 찾는 과정을 진행했다. 메일들의 첨부파일들을 모두 확인해 주었고 의심 가는 파일을 분석하기로 했다. 파일에 js형식자가 붙어있다. 보통 확장자를 숨기고 사용하는 사용자들이 많기에 그 점을 이용한 듯하다. html은 내용을 확인하기 위해 내가 잠시 붙여둔 확장자이다. 파일을 열어 내용을 확인해 보면 js난독화가 되어있다. 줄맞춤을 정리하고 스크립트 태그로 모두 묶었다. document.write로 웹페이지에 내용을 뛰우기로 했다. var ll 리스트에 도메인 5개가 들어있었다. 스구일을 통해 과정을 분석했다. 사용자가 공격자에게 페이로드..
[CodeEngn] Advance RCE 01
저번에 풀었던 문제와 동일하다. 프로그램 실행 시 팝업창이 나오고 종료된다. UPX로 패킹이 되어있다. 언패킹을 해주었다. 안티디버깅에 걸린다. 해당 참조 부분에서 리턴값을 0으로 바꾸어준다. 의심함수 중 timeGetTime을 분석했다. 모두 call을 하지만 한 부분에서만 edi에 옮긴다. 이는 나중에 시간 관련 로직에서 사용하기 위해 레지스터로 옮긴 모습이다. ebx+4의 참조 부분을 찾는다. 0x337b를 10진수로 바꾼 후 md5의 해시값을 구해주면 끝이다.
악성코드 샘플 분석_1
xplico를 통해 분석진행 검출된 url개수가 너무 많아 스구일을 사용했다. 명령어를 검색해서 replay를 진행했다. 의심가는 부분을 캡처했다. payload를 확인해서 IP를 정리해주었다. 해당 내용을 토대로 마이너에서 검색했다. site의 url를 찾았다. 해당 url을 검색하여 html형식으로 다운로드 해준다. html코드가 나온다 내용이 많아서 redirector IP에서 더 정보를 가져오기로 했다. 해당 Hostname을 검색해준다. 일치하는 url을 검출했다. 이로써 해당 site는 ifram태그를 이용해 악성 url로 리다이렉트를 해준다. 와이어 샤크에서도 iframe 태그 사용 내역을 확인할 수 있다. 악성 url을 자바스크립트로 난독화되어있다. 복호화는 다음에 진행할 예정이다. 마지막..