cybersec 님의 블로그

오늘 나의 애플 계정을 복구하라는 메시지를 받았다 누가 봐도 정상 애플 페이지가 아닌거 같은데....함 들가나 보자!오 언뜻보면 Apple 로그인 사이트 같이 생겼지만url을 보면 전혀 다른 사이트라는 것을 알 수 있습니다. 피싱 사이트는 acpie[.]icu 로 초기 접근 url(psce[.]pw/83hd5b) 에서 리디렉션 해당 피싱 사이트는 정보 수집을 위해 사용자 정보 입력을 유도 해당 사용자의 ip를 먼저 조회한 다음 해당 ip가 한국이면 해당 페이지로 보내고 아니면 account.apple[.]com/sing-in 으로 보내 버리지만!해당 페이지도 정상 사이트는 아니네요;; vpn을 통해 접근하니 account.apple[.]com 페이지로 보내지는 모습을 볼 수 있습니다. 한문으로 한국을 ..

Malware Bazaar 사이트에서 lumma stealer 관련 악성코드 샘플 파일을 다운로드해서 분석해 보기로 결정...! 해당 파일은 hta 파일로 윈도우 환경에서 HTML+VBS/JS 조합으로 실행 가능하며공격자들로 부터 자주 사용되는 포맷이란 사실!상단에 있는 코드는 실행 시 사용자 화면에서 안 보이도록 창 크기를 조절하단에는 바이너리 형태로 작성되어 있어 문자열로 변환 한 결과는 난독화 되어있는 스크립트로 확인! zHLtg 에 담겨있는 값을 2글자씩 짤라서 substr(0,2) -> 16 진법 HEX 로 변환! 해당 값은 v 변수에 값을 담아서 255 - v 하라 -> XOR (비트 반전) (255 는 0xFF -> 16*15 + 16 = 255) 그렇게 해서나온 값은 바로바로 OMG!..

CANKO DMC IMPORT ENQUIRY.xlam 파일을 분석해 볼겁니다. (상암 DMC 도 아니고 캔코 DMC는 뭐야...) 엑셀 파일이니깐 일단 oledump 로 확인을 해봅시다! 얼레? 트리 구조로 되어있는 부분에 A2 부분 보이시죠? ole 구조로 A2 스트림에 악성 개체가 숨어있는거 같습니다. 엑셀 내 xl/embeddings 위치에 "Bphg.MQgp27h ole" 파일이 삽입되어 해당 ole 파일을 이용하여"EquATIOn nAtivE" 파일을 실행 한다 정도로 쉽게 생각하시면 될 것 같습니다. 이름만 봐도 느낌이 딱 오시죠? EQUATION! (방정식?) 역시! CVE-2017-11882, CVE-2018-0802 관련 취약점으로 MS 오피스 수식 편집기 취약점 관련 내용인것 같습니..

악성 파일 분석이라구요?[1]업무 중 한 파일을 받게 되는데..... zip파일안엔 .vhd 파일이 들어 있다.하지만!! .vhd 파일을 실행시키면 그 안에는 또 다른 .bat 파일이 두둥...! .bat 파일 안에는 알 수 없는 알파벳들만 보이죠... Bucybersec.tistory.com 이전 포스트에 amsi 우회에 대해서 알아본다고 했는데 오늘 한번 파헤쳐 봅시다! 간단하게 amsi 란?어쩌구 저쩌구우회 어쩌구메모리 어쩌구 하면 어려우니깐 그냥 작동 되는거 눈으로 보는게 제일 빠르쥬?이전 포스트에서 .bat 파일안에서 amsi.dll, AmsiInitialize 라는 코드를 확인했었니다 해당 내용은 위에🙄 저기 patchByte란게 보이시나욤? 저 바이트가 뭐냐? 악성 파일 분석이라구요..

악성 파일 분석이라구요?[1]업무 중 한 파일을 받게 되는데..... zip파일안엔 .vhd 파일이 들어 있다.하지만!! .vhd 파일을 실행시키면 그 안에는 또 다른 .bat 파일이 두둥...! .bat 파일 안에는 알 수 없는 알파벳들만 보이죠... Bucybersec.tistory.com압축해제된 파일을 debugging을 해볼까요?😎 Resources 부분에 누가 봐도 "나야 실행파일" 광고를 하고있군요...xxxxx.exe 실행파일을 실행시키는 거인지 아니면 위장한 놈인지 알아봐 봅시다! Entry Point 첫 줄에 "ntdll.dll"과 EtwEventWrite" 부분을 호출하네요EtwEventWrite은 윈도우에서 제공하는 이벤트 추적용으로, 로깅 서비스라고 생각하시면 될 듯합니다. ET..

업무 중 한 파일을 받게 되는데..... zip파일안엔 .vhd 파일이 들어 있다.하지만!! .vhd 파일을 실행시키면 그 안에는 또 다른 .bat 파일이 두둥...! .bat 파일 안에는 알 수 없는 알파벳들만 보이죠... But, 잘 보면 %문자% 패턴이 반복되는 것을 볼 수 있음  정규 표현식을 이용하여 해당 문자 패턴을 제거 해보면 ! 자자잔~~! 숨어있던 코드들이 보이는군요 dwm.bat  이름으로 다시 저장해서 실행시키는 것 같죠?해당 코드를 쭉쭉 내려봐 볼까요? 누가 봐도 의심스럽게 생긴 문자열들이 보입니다. :: 랑 ::: 로 구분 된 것을 보니 나중에 따로 사부작 사부작 하는 코드 같쥬? 대충 보니깐 Base64로 인코딩 된 거 같은데... 저 많은 문자열을 하나하나 붙여서 언제 확인해 ..