cybersec 님의 블로그

오늘 나의 애플 계정을 복구하라는 메시지를 받았다 누가 봐도 정상 애플 페이지가 아닌거 같은데....함 들가나 보자!오 언뜻보면 Apple 로그인 사이트 같이 생겼지만url을 보면 전혀 다른 사이트라는 것을 알 수 있습니다. 피싱 사이트는 acpie[.]icu 로 초기 접근 url(psce[.]pw/83hd5b) 에서 리디렉션 해당 피싱 사이트는 정보 수집을 위해 사용자 정보 입력을 유도 해당 사용자의 ip를 먼저 조회한 다음 해당 ip가 한국이면 해당 페이지로 보내고 아니면 account.apple[.]com/sing-in 으로 보내 버리지만!해당 페이지도 정상 사이트는 아니네요;; vpn을 통해 접근하니 account.apple[.]com 페이지로 보내지는 모습을 볼 수 있습니다. 한문으로 한국을 ..

Malware Bazaar 사이트에서 lumma stealer 관련 악성코드 샘플 파일을 다운로드해서 분석해 보기로 결정...! 해당 파일은 hta 파일로 윈도우 환경에서 HTML+VBS/JS 조합으로 실행 가능하며공격자들로 부터 자주 사용되는 포맷이란 사실!상단에 있는 코드는 실행 시 사용자 화면에서 안 보이도록 창 크기를 조절하단에는 바이너리 형태로 작성되어 있어 문자열로 변환 한 결과는 난독화 되어있는 스크립트로 확인! zHLtg 에 담겨있는 값을 2글자씩 짤라서 substr(0,2) -> 16 진법 HEX 로 변환! 해당 값은 v 변수에 값을 담아서 255 - v 하라 -> XOR (비트 반전) (255 는 0xFF -> 16*15 + 16 = 255) 그렇게 해서나온 값은 바로바로 OMG!..

해외 보안관련 기사를 포스팅해볼까한다이번 주제는 러시아 관련 위협 그룹 TAG-110이 타지키스탄을 표적으로 한 스피어피싱관련 사례이다. 모든 내용은 Recored Future 사이트에서 발췌한 기사를 토대로 요약한 내용이다. "All content and images on this page are excerpted from Recorded Future. Full article available at the link above"출처:https://www.recordedfuture.com/research/russia-aligned-tag-110-targets-tajikistan-with-macro-enabled TAG-110 Targets Tajikistan: New Macro Word Documents ..

[1] OLE란? (Object Linking and Embedding)ole란 쉽게 말해 다양한 애플리캐이션 파일들이 서로 공유해서 사용 가능하도록 해주는 기술로 생각하면 된다. ex) 엑셀에서 표를 만들어서 그냥 워드 파일에 넣어도 같은 표형식으로 삽입이 된다. 우린 이제부터 이러한 ole 데이터를 하나의 "개체"라고 부르기로 한다. [2] 그럼 이러한 ole 개체가 왜 위험한가? OLE 자체 기능으로는 유용한 기능이지만 해당 기능을 이용하여 공격자들은 악성코드를 숨겨 실해하는데 사용한다.문서 안에 실행 파일, 스트립트를 숨길 수 있음사용자가 클릭 또는 문서를 열기만 해도 악성 행위 동작[3] OLE 개체를 활용한 악성 행위 유형 공격 기법 설명VBA 매크로 공격문서에 악성 VBA 코드를 삽입해 실..

CANKO DMC IMPORT ENQUIRY.xlam 파일을 분석해 볼겁니다. (상암 DMC 도 아니고 캔코 DMC는 뭐야...) 엑셀 파일이니깐 일단 oledump 로 확인을 해봅시다! 얼레? 트리 구조로 되어있는 부분에 A2 부분 보이시죠? ole 구조로 A2 스트림에 악성 개체가 숨어있는거 같습니다. 엑셀 내 xl/embeddings 위치에 "Bphg.MQgp27h ole" 파일이 삽입되어 해당 ole 파일을 이용하여"EquATIOn nAtivE" 파일을 실행 한다 정도로 쉽게 생각하시면 될 것 같습니다. 이름만 봐도 느낌이 딱 오시죠? EQUATION! (방정식?) 역시! CVE-2017-11882, CVE-2018-0802 관련 취약점으로 MS 오피스 수식 편집기 취약점 관련 내용인것 같습니..

악성 파일 분석이라구요?[1]업무 중 한 파일을 받게 되는데..... zip파일안엔 .vhd 파일이 들어 있다.하지만!! .vhd 파일을 실행시키면 그 안에는 또 다른 .bat 파일이 두둥...! .bat 파일 안에는 알 수 없는 알파벳들만 보이죠... Bucybersec.tistory.com 이전 포스트에 amsi 우회에 대해서 알아본다고 했는데 오늘 한번 파헤쳐 봅시다! 간단하게 amsi 란?어쩌구 저쩌구우회 어쩌구메모리 어쩌구 하면 어려우니깐 그냥 작동 되는거 눈으로 보는게 제일 빠르쥬?이전 포스트에서 .bat 파일안에서 amsi.dll, AmsiInitialize 라는 코드를 확인했었니다 해당 내용은 위에🙄 저기 patchByte란게 보이시나욤? 저 바이트가 뭐냐? 악성 파일 분석이라구요..

악성 파일 분석이라구요?[1]업무 중 한 파일을 받게 되는데..... zip파일안엔 .vhd 파일이 들어 있다.하지만!! .vhd 파일을 실행시키면 그 안에는 또 다른 .bat 파일이 두둥...! .bat 파일 안에는 알 수 없는 알파벳들만 보이죠... Bucybersec.tistory.com압축해제된 파일을 debugging을 해볼까요?😎 Resources 부분에 누가 봐도 "나야 실행파일" 광고를 하고있군요...xxxxx.exe 실행파일을 실행시키는 거인지 아니면 위장한 놈인지 알아봐 봅시다! Entry Point 첫 줄에 "ntdll.dll"과 EtwEventWrite" 부분을 호출하네요EtwEventWrite은 윈도우에서 제공하는 이벤트 추적용으로, 로깅 서비스라고 생각하시면 될 듯합니다. ET..

어릴 땐 그림판을 자주 썼었다 난 포토샵 그딴 거 모른다 무조건 그림판이었다  근데 픽픽이라구요??? 그림판이 최강인 줄 알았던 나.... 픽픽을 알아버렸다. 사실 이렇게 보면 그림판이랑 똑같다  파일 부분을 들어가면 생각보다 다양한 옵션들이 눈에 들어온다  내가 가장 많이 쓰는 부분은 화면 캡처!  [1] 전체화면 캡처하기 말 그대로 현재 화면을 그대로 캡처해서 바로 편집할 수 있게 화면에 띄어준다. [2]윈도우 캡처윈도우 캡처는 켜져 있는 브라우저 및 프로세스를 캡처할 수 있는 기능이다신기하쥬?[3] 영역을 지정하여 캡처그냥 캡처하고 싶은 곳을 드래그하면 그 부분만 캡처가 된다. 해당 기능은 윈도우 캡처 (win+shift+s)와 동일한 기능이다 [4] 고정된 사각 영역 캡처고정된 사각 부분만 캡처해..

업무 중 한 파일을 받게 되는데..... zip파일안엔 .vhd 파일이 들어 있다.하지만!! .vhd 파일을 실행시키면 그 안에는 또 다른 .bat 파일이 두둥...! .bat 파일 안에는 알 수 없는 알파벳들만 보이죠... But, 잘 보면 %문자% 패턴이 반복되는 것을 볼 수 있음  정규 표현식을 이용하여 해당 문자 패턴을 제거 해보면 ! 자자잔~~! 숨어있던 코드들이 보이는군요 dwm.bat  이름으로 다시 저장해서 실행시키는 것 같죠?해당 코드를 쭉쭉 내려봐 볼까요? 누가 봐도 의심스럽게 생긴 문자열들이 보입니다. :: 랑 ::: 로 구분 된 것을 보니 나중에 따로 사부작 사부작 하는 코드 같쥬? 대충 보니깐 Base64로 인코딩 된 거 같은데... 저 많은 문자열을 하나하나 붙여서 언제 확인해 ..