cybersec 님의 블로그

악성 파일 분석이라구요?[1]업무 중 한 파일을 받게 되는데..... zip파일안엔 .vhd 파일이 들어 있다.하지만!! .vhd 파일을 실행시키면 그 안에는 또 다른 .bat 파일이 두둥...! .bat 파일 안에는 알 수 없는 알파벳들만 보이죠... Bucybersec.tistory.com 이전 포스트에 amsi 우회에 대해서 알아본다고 했는데 오늘 한번 파헤쳐 봅시다!  뭐 간단하게 amsi 란?어쩌구 저쩌구우회 어쩌구메모리 어쩌구 하면 솔직히  뭔 소리인지 잘 모름...(나만 그럼?) 그냥 작동 되는거 눈으로 보는게 제일 빠르쥬?이전 포스트에서 .bat 파일안에서 amsi.dll, AmsiInitialize 라는 코드를 확인했었음돠  모르면 위에 보고오셈🙄 저기 patchByte란게 보이시나욤?..

악성 파일 분석이라구요?[1]업무 중 한 파일을 받게 되는데..... zip파일안엔 .vhd 파일이 들어 있다.하지만!! .vhd 파일을 실행시키면 그 안에는 또 다른 .bat 파일이 두둥...! .bat 파일 안에는 알 수 없는 알파벳들만 보이죠... Bucybersec.tistory.com압축해제된 파일을 debugging을 해볼까요?😎 Resources 부분에 누가 봐도 "나야 실행파일" 광고를 하고있군요...xxxxx.exe 실행파일을 실행시키는 거인지 아니면 위장한 놈인지 알아봐 봅시다! Entry Point 첫 줄에 "ntdll.dll"과 EtwEventWrite" 부분을 호출하네요EtwEventWrite은 윈도우에서 제공하는 이벤트 추적용으로, 로깅 서비스라고 생각하시면 될 듯합니다. ET..

업무 중 한 파일을 받게 되는데..... zip파일안엔 .vhd 파일이 들어 있다.하지만!! .vhd 파일을 실행시키면 그 안에는 또 다른 .bat 파일이 두둥...! .bat 파일 안에는 알 수 없는 알파벳들만 보이죠... But, 잘 보면 %문자% 패턴이 반복되는 것을 볼 수 있음  정규 표현식을 이용하여 해당 문자 패턴을 제거 해보면 ! 자자잔~~! 숨어있던 코드들이 보이는군요 dwm.bat  이름으로 다시 저장해서 실행시키는 것 같죠?해당 코드를 쭉쭉 내려봐 볼까요? 누가 봐도 의심스럽게 생긴 문자열들이 보입니다. :: 랑 ::: 로 구분 된 것을 보니 나중에 따로 사부작 사부작 하는 코드 같쥬? 대충 보니깐 Base64로 인코딩 된 거 같은데... 저 많은 문자열을 하나하나 붙여서 언제 확인해 ..