본문 바로가기

악성코드4

[모바일악성코드] 어딘가 이상한 택배 문자를 받았다. 분석 지인이 어느날 택배문자를 받았다. 그런데 말투는 반말체에 도메인도 어딘가 이상하다. 일단 PC에서 위 링크에 접속했다. 정상사이트에 접속하도록 리다이렉션되었다. 여러 메뉴를 이용해보았는데 아무런 문제가 없었다. 모바일이라면 다른 사이트가 나타날 것 같아 USER-AGENT 값을 바꿔주었다. 도메인도 리다이렉션 되지않은 모습이며, PC사이트와는 퀄리티적으로 엄청난 차이를 보인다. 어떠한 메뉴를 입력하더라도 번호를 사용해 본인인증을 해달라고 한다. 내 번호를 입력하면 인증에 실패한다. 스미싱 문자를 전달받은 사람만 받을 수 있도록 설계되어 있었다. 똑똑한데?? 그렇지만 어떻게든 받았다. 퀄리티가 있다. 실행하는 순간 내 화면에서 사라져버린다. 백그라운드로 동작하도록 한 것 같다. 그러면 이 악성코드는 .. 2020. 9. 4.
악성코드가 사용하는 레지스트리 정보 (펌) 레지스트리란레지스트리는 시스템, 사용자, 프로그램, 서비스, 드라이버 등 PC 운용에 반드시 필요한 정보들을 저장해둔 일종의 설정값의 모임이라 볼 수 있다. 과거에는 .ini 파일을 사용하여 이런 설정 정보를 저장했는데 파일이 여러 곳에 나눠져 있어 한곳에 모을 필요가 있었고, 그에따라 생긴 기능이라고 한다. 흔히 regedit.exe 를 통해접근하는 윈도우 레지스트리는 실제론 하이브 파일에 저장되어있다. 하이브 파일은 여러 폴더에 분산 저장되어 있고, 휘발성 비휘발성 등 여러 특징들이 있다.이 포스트에서는 여러 레지스트리 중, 악성코드들이 접근할 만한 레지스트리에 대해 중점적으로 다룬다. 레지스트리 표현 방법regedit.exe 의 내보내기 기능을 활용하면 .reg 파일이 생성된다. 이 파일을 메모장으.. 2018. 7. 23.
대북관련 APT 악성코드 제가 서술한 보고서를 HTML 형태로 가져왔습니다. 원래 본 저작권은 malwares.com에 있습니다. malwares.com 코드분석팀 분석 자료 1. 개요 Malwares.com에서 한글 악성코드문서를 수집했다. 기존 매크로형태의 악성코드가 아닌, 한글프로그램의 취약점을 이용한 악성코드이므로 문서 파일을 실행해보는 것만으로도 동작한다. 악성코드가 실행될 경우, 추가적으로 악성코드를 내려받아서 실행시킨다. 현재는 추가적으로 다운로드되는 사이트가 닫혀있어 동작하지않지만 같은 취약점을 이용한 유사 악성코드가 유포되면 큰 파장이 예상된다. 한글 문서의 분석을 통해 악성코드의 동작을 살펴보자. 관련기사 : '최순실 국정농단' 악성코드 메일 유포... 경찰 수사 2. 악성코드 정보SHA-256 : 0D56C5.. 2016. 11. 22.
2016년 10월부터 유포된 파밍 악성코드 malwares.com 코드분석팀 분석 자료 1. 개요 랜섬웨어의 눈부신 활약에 가려져 있지만 금융권 파밍 악성코드는 꾸준히 자신의 역할(?)을 해 나가고 있다. 최근 유포되고 있는 파밍 악성코드는 인터넷 설정의 프록시 설정을 조작해 감염된 PC 사용자가 인터넷에 접속시 파밍 동작을 수행한다. 이때 파밍에 사용되는 정보 중 일부는 악성코드 샘플내에 암호화되어 저장되어 별도로 저장되어 있어 실제 악성코드를 실행하기 이전까지 그 정보를 확인하기 어렵게 되어 있다. 파밍 악성코드 분석을 통해 악성코드의 세부 동작과 악성코드 유포자의 의도가 무엇인지 알아보자. 2. 분석 정보 분석 대상 악성코드는 금융권을 대상으로 한 악성코드인 만큼 금융 거래에 필요한 정보 탈취를 목적으로 한다. [ 탈취 대상 개인 정보 ]공.. 2016. 11. 16.
반응형