<악성코드 분석공부>/<RealSample> 4

라자루스 루트킷 악성코드 분석 보고서(1/2)

#라자루스 #루트킷 #악성코드 #커널 본 게시글은 안랩 시큐리티대응센터(ASEC) 에서 2022. 09. 22. 자로 발간한 라자루스 공격 그룹의 BYOVD를 활용한 루트킷 악성코드 분석 보고서 의 내용에 대해 개인적으로 정리한 게시글입니다. 악성코드 관련 게시글들을 보다가 본의아니게 위에 기재한 악성코드 분석 보고서를 보게되어 공부 용도로 게시글을 작성해본다. 무엇보다 내 이목을 끌었던 것은 악성코드가 취약한 드라이버를 이용하여 커널단까지 조작하는 부분이었는데, 악성코드 분석 초보로써 굉장히 특이하다고 생각되었기에 세심하게 읽어보았다. 원본 보고서를 보면 거의 40장에 육박하는 매우 긴 분량이기 때문에 상세 내용을 나누어 서술해보겠다. 이번 게시글은 핵심 루트킷 파일이 작동하기 직전까지의 과정을 서술하..

우리은행 피싱어플

#피싱 #어플 #악성코드 #리버싱 #안드로이드 #스파이웨어 우리은행 피싱어플이다. 자매품으로 IBK, KB 도 있으나 대표격으로 한 번 분석해보기로! 앱 UI 와 아이콘 부터 정말 그럴싸하게 해놓았다. 그러나 계좌개설, 금융상품 등등의 버튼은 아예 기능이 없고 대출신청 버튼에만 귀신같이 사용자 정보 form 이 뜬다. 아마 당연히도 추측컨대 이 정보들을 어딘가로 빼가는 것 같다. 일단 어플을 까보았다. 파일 구성은 이렇다. assets : 웹페이지, webview 를 담당하는 파일들이 담겨있다. (html 같은거) lib : 어플에서 쓰이는 함수가 담긴 여러 라이브러리 파일(.so) 들을 담고있음. res : 이미지, 텍스트, 등의 여러 리소스 정보가 .xml 형태로 담겨있음. 버튼에 담기는 글자도 여기..

중국발 문서형 이력서 악성코드 - 2. 유니버셜 쉘코드편 (Universial Shellcode)

#악성코드분석 #중국 #문서형 악성코드 MD5 HASH Dropper: 59e08d42ce495f290c4dfd7be9614f786cdfed3ebdd7d6e68accbb630c051083 Core Malware: fa1f9f5deac24c735baa77eb5b76b9057b3fea6c2bc7f2bf7f16420a8b48f00c 주요 사용기법 Document Template Injection, Universial Shellcode Drop URL http://xiaodi8.com/1.dotm?raw=true (현재폐쇄) 지난 글 에 이어서 쓴다. 중국발 문서형 이력서 악성코드 - 1. 드로퍼&매크로편 #악성코드분석 #중국 #문서형 악성코드 MD5 HASH Dropper : 59e08d42ce495f290c..

중국발 문서형 이력서 악성코드 - 1. 드로퍼&매크로편

#악성코드분석 #중국 #문서형 악성코드 MD5 HASH Dropper : 59e08d42ce495f290c4dfd7be9614f786cdfed3ebdd7d6e68accbb630c051083 Core Malware : fa1f9f5deac24c735baa77eb5b76b9057b3fea6c2bc7f2bf7f16420a8b48f00c 주요 사용기법 Document Template Injection, Universial Shellcode Drop URL http://xiaodi8.com/1.dotm?raw=true (현재폐쇄) 문서형 악성코드이다. 이전에 설명한 Template Injection 이 아주 잘 이용된 표본이라고 할 수 있다. 악성 매크로가 있는 dotm 템플릿 매크로 파일을 http://xiao..

반응형