'지난 자료 (~18.06) -------------------'에 해당되는 글 76건
NOTICE
[hwp] 최순실 게이트 관련 내용을 담고 있는 문서 악성코드 정보
1. 소 개 2016년 11월 03일 ‘최순실 게이트’와 관련된 문서 악성코드가 발견되었습니다. 해당 악성코드는 모 북한관련 단체의 대표자 명의를 가장해서 E-mail로 유포되었습니다. 자유민주연구원 측에서는 이를 북한 사이버테러 해커 조직이 사용했던 ‘Kimsuky’ 계열로 추정하고 있습니다. - 관련 기사 정보: http://news.donga.com/3/all/20161116/81352125/1# 오늘은 악성코드 감염에 사용된 ‘우려되는 대한민국.hwp’에 대해서 살펴보겠습니다. [‘우려되는 대한민국.hwp’ 문서 실행 화면] ‘우려되는 대한민국.hwp’ 문서 파일 분석 환경입니다. 세부적인 취약 버전에 대한 정보는 추가적으로 확인이 필요합니다. [한컴오피스 버전 정보] 2. 우려되는 대한민국.hw..
[2016.10.03] 패키지로 유포되는 Nemucod 악성코드_01 PHP 랜섬웨어_ver 2016.09.19
2016년 09월 중순 이후로 .wsf 악성코드가 많이 많이 발견되고 있습니다. WSF는 Windows 스크립트 파일 확장자로 주로 추가적인 악성코드 다운로드 기능을 수행합니다. 그런데 최근에 유포되는 악성 .wsf 파일의 경우 조금 특이합니다. PHP 랜섬웨어를 포함해서 악성코드 3종을 다운로드 및 실행시킵니다. 오늘은 이러한 기능을 수행하는 ‘Delivery_Notification_00777701.doc.wsf’ 파일을 살펴보겠습니다. 1. Delivery_Notification_00777701.doc.wsf 다음은 ‘Delivery_Notification_00777701.doc.wsf’ 파일 코드입니다. 해당 파일을 실행시킬 경우 C&C 서버로부터 총 5개의 파일을 다운로드 받습니다. 다운로드 된 ..
[2016.09.18] Email & Web 계정 정보를 탈취하는 AutoIt 악성코드 정보_ver 2016.08.02
오늘은 Email 계정과 Web 계정 정보를 탈취하는 Autoit 악성코드를 살펴보겠습니다. ‘winsvchost.exe’는 CVE-2015-1641 취약점을 이용한 문서 파일에 의해 생성 및 실행됩니다. CVE-2015-1641 취약점 파일에 대한 정보는 아래 링크를 참고하시기 바랍니다. [DOC] CVE-2015-1641 취약점 파일 정보: http://securityfactory.tistory.com/360 1. winsvchost.exe ‘winsvchost.exe’는 AutoIt으로 작성된 Installer 입니다. 실행할 경우 아래 경로에 다음과 같은 3개의 파일을 Drop합니다. - 파일 생성 경로: “C:\Users\Administrator\AppData\Local\Temp\IXP000.T..
[개념 정리] OLE(Object Linking and Embedding)
OLE는 Microsoft의 기반 기술로써 일반적으로 복합 문서를 지칭합니다. 복합 문서에는 다양한 종류의 정보 객체가 포함될 수 있습니다. 여기서 정보 객체를 OLE Object라고 합니다. OLE Object는 문서, 동영상, 소리, 수식, 표 등과 같이 어떤 작업의 결과물입니다. OLE Object에는 Linked Object와 Embedded Object가 있습니다. 이를 객체 연결과 객체 포함이라고 합니다. 각기 독립적인 Object를 하나의 응용 프로그램에서 다양하게 사용할 수 있는 기능으로 효율적이고 입체적인 문서를 작성할 수 있습니다. 1. Linked Object Linked Object는 원본 파일 데이터에 대한 포인터입니다. 원본 파일 데이터가 변경되면 변경 내용이 반영됩니다. Lin..
[2016.07.27] 인터파크 개인정보 유출 사고에 사용된 Backdoor 악성코드 정보_ver 2016.07.27
1. 소 개 2016년 05월에 대형 인터넷 쇼핑몰인 인터파크에서 회원 1030만명의 개인 정보가 유출되었습니다. [인터파크 개인 정보 유출 관련 사과문] 내부 직원이 메일에 첨부된 악성코드를 실행시켜서 해당 PC가 감염되었고 이로 인해 DB 정보가 탈취된 것입니다. 오늘은 내부 직원 PC를 감염시킨 것으로 알려진 BackDoor 악성코드를 살펴보겠습니다. 개인정보 유출 경위 참고 정보: http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=004&oid=023&aid=0003196542 메일에 첨부되어 있었던 파일은 ‘우리 가족.abcd.scr’ 입니다. 파일을 실행시키면 다음과 같은 순서로 동작합니다. ① 우리 가족.abcd.scr: 특정 경로에 ‘m..
[정보] Web Browser Password 탈취 원리
작년부터 Web Browser 및 E-mail 계정 정보를 탈취하는 악성코드가 꾸준히 유포되고 있습니다. 오늘은 해당 악성코드가 계정 정보를 탈취하는 방법에 대해서 알아보겠습니다. 타깃 Web Browser 중에서 Chrome을 대상으로 살펴보았습니다. Internet Explorer, 파이어폭스, 구글 크롬 등 Web Browser에서는 사용자의 편의를 위해서 웹사이트 비밀번호 저장 기능을 제공하고 있습니다. 해당 기능을 사용하면 일부 사이트의 경우 접속 시 자동으로 로그인됩니다. 저장된 계정 정보는 주소 창에 ‘chrome://settings/passwords’를 입력하거나 ‘설정 → 고급 설정 표시 → 비밀번호 및 양식 → 비밀번호 관리’에서 확인할 수 있습니다. 크롬은 해당 정보를 “%userpr..
[2016.06.01] FTP 서버로 Email & Web 계정 정보를 탈취하는 악성코드 정보_ver 2016.05.31
1. 소 개 오늘은 2016년 05월 31일에 메일로 유포된 .pdf 악성파일에 대해서 살펴보겠습니다. 해당 파일은 Downloader로 실행할 경우 악성 exe 파일이 다운로드 됩니다. 악성 exe 파일은 감염 PC의 IP정보 및 Email 계정 정보, Web 계정 정보를 탈취해서 FTP 서버로 전송합니다. 2. Payment Advice(1).pdf 분석 ‘Payment Advice(1).pdf’ 파일 실행 화면입니다. 링크를 선택해야 문서 열람이 가능한 것처럼 사용자를 속이고 있습니다. [그림 2.1.] ‘Payment Advice(1).pdf’ 파일 실행 화면 링크를 선택하면 보안 경고창이 뜹니다. 여기서 허용을 누를 경우 외부에서 악성코드가 다운로드 됩니다. [그림 2.2.] 보안 경고창 확인 ..
[분석 방법] dotNet 악성코드 분석하기_dnSpy
오늘은 .Net 악성코드 분석 방법에 대해서 살펴보고자 합니다. 분석 방법이라기보다 디버거 Tool 소개입니다. 작년 말부터 .Net 악성코드의 수가 급격히 증가한 것에 반해 아직 이렇다 할 만한 분석 도구가 없습니다. 'ILSpy.exe'와 같은 자동 디컴파일 Tool을 많이 사용하는 것으로 압니다. 오늘 소개하고자 하는 'dnSpy.exe'는 디컴파일과 함께 디버깅 기능을 지원해 줍니다. - dnSpy.exe Download URL: https://github.com/0xd4d/dnSpy/releases 'dnSpy.exe'의 기본적인 UI입니다. 'ILSpy.exe'와 매우 유사합니다. Debug 탭을 확인해보면 새로운 파일 디버깅과 함께 동작 중인 프로세스에 Attacth도 가능한 것을 알 수 있..
[2016.05.03] Backdoor로 동작하는 VBS 악성코드 정보_ver 2016.04.11
1. 소 개 오늘은 2016년 04월 11일에 수집된 .vbs 악성코드에 대해서 살펴보겠습니다. 해당 샘플은 백도어 기능과 함께 usb 드라이버를 감염시켜서 전파되도록 작성되어 있습니다. 2013년 전후에 Autorun과 함께 많이 사용된 코드입니다. 2. 파일 분석 ‘spec.vbs’ 파일 코드입니다. 3,000 줄 정도의 주석 사이에 실행 코드가 숨겨져 있습니다. [그림 2.1.] ‘spec.vbs’ 파일 코드 주석을 제거하고 난독화를 해제하면 다음 코드를 확인할 수 있습니다. [그림 2.2.] ‘spec.vbs’ 파일 코드 단순화 해당 코드의 동작이 어떻게 되는지 기능 별로 살펴보겠습니다. 2.1. 복제파일 생성 및 자동실행 등록 ‘spec.vbs’를 실행시키면 instance 함수가 호출됩니다. ..
[정보] 랜섬웨어가 사용하는 알고리즘
랜섬웨어가 동작하면서 사용하는 알고리즘 정보입니다. 미비한 부분이나 새롭게 추가되는 내용들은 계속 업데이트 하도록 하겠습니다. Ransomware Algorithm CTB-Locker SHA256 Hash AlgorithmAES Encryption AlgorithmCurve25519 CryptoLocker AES Encryption AlgorithmRSA Encryption Algorithm CryptoWall 4.0 RC4 Encryption AlgorithmAES Encryption AlgorithmRSA Encryption Algorithm Locky Ransomware 128-bit AES Encryption AlgorithmDGA TeslaCrypt 3.0RSA Encryption Algorit..
[Source Code] Encrypt & Decrypt Code_AES Algorithm
대표적인 대칭키 알고리즘인 AES 알고리즘을 이용한 암호화_복호화 코드입니다. 참고용으로 올립니다. 원본 출처는 다음과 같습니다. - Code Source: http://cid-1bbcdfedee1c617e.skydrive.live.com/self.aspx/.Public/AESTest.7z #define _CRT_SECURE_NO_WARNINGS #include #include #include #define AES_KEY_LENGTH 32 #define SOURCE_MULTIPLE 16 #define BLOCK_SIZE 16 #pragma comment (lib, "Advapi32.lib") void HandleError(char *s); int ByteReplace(unsigned char* pszSo..
[Source Code] Execution of code using the CreateDialogIndirectParam API
CreateDialogIndirectParam( ) API를 사용하면 Dialog Box Template에서 Dialog Box를 생성할 수 있습니다. 그 결과 CallBack 형식의 DialogProc( )가 실행됩니다. 소스 코드는 다음과 같습니다. #include #include //Dialog message processing. int CALLBACK DialogProc(HWND hDlg,UINT uMsg,WPARAM wParam,LPARAM lParam) { /*Malicious Code*/ return 1; } int WINAPI WinMain(HINSTANCE,HINSTANCE,LPSTR,int) { HMODULE hModule = /*ModuleHandle*/; HRSRC hResource..