부동산, 채권, 주식, 경제흐름 자료를 모아 보는 블로그입니다.

안녕하십니까 runardor입니다. 금일부터 포스팅할 내용은 메모리 교체형 악성코드입니다. ( 메모리 교체형 악성코드라는 단어는 없으나 가칭으로 정하였습니다. ) 사실 포스팅 할 주제가 너무많은데요... 요즘 악성코드가 기본 장착(?) 하는 메모리 교체형 악성코드에 먼저 알아보고자 합니다. ( 많은 도움이 되고자 ) 메모리 교체형 악성코드는 최근에 FUD 툴에 기본 기능으로 제공되면서 폭발적으로 증가하고 있습니다. ( 사실 유사 코드 역시 쉽게 구할 수 있습니다. ) 정확하게 말하면 악성코드가 아닌 악성코드가 AV 진단 우회를 하기 위해 쓰는 기법이라는 의미가 정확합니다. 유사 기술(Memory Relocation을 이용한 파일 실행이나, 커널 이미지를 재구성하여 후킹을 한다거나...)이 이미 많이 사용..

이번장은 Script Downloader 에서 다룰 마지막 부분인 XMLHTTP입니다. XMLHTTP 이름에서 유추가 가능하겠지만 XMLHTTP == XML + HTTP로 보셔도 크게 무리가 없습니다. XMLHTTP는 기본적으로 HTTP를 기반으로 통신을 수행합니다. 하지만 WINHTTP와 차이가 존재합니다. 가장 큰 차이는 DATA 전송 방식의 차이입니다. WINHTTP : 평문으로 된 Parameter를 사용하여 동작 XMLHTTP : XML 형태의 DATA를 사용하여 동작 XMLHTTP의 경우 Parameter 및 설정 내용을 XML DOM 객체에 실어서 서버로 DATA를 Request합니다. 또한 Return 되는 데이터 역시 XML DOM 객체로 받거나 또는 Binary로 Data를 받게 됩니다..

이번장에서는 앞장에서 언급한 1. 파일 생성기능2. 파일 전송기능3. 파일 실행기능 1, 2, 3중에 파일전송과 관련된 내용(ADO, WINHTTP, XMLHTTP)을 3,4장에 나누어 다룰 예정입니다. ADO 개념은 Script Downloader 분석 - 1 ( http://runardor.tistory.com/8 )을 참고하시면 됩니다. WINHTTP 이름에서 유추가 가능하듯이 WINHTTP는 HTTP 프로토콜을 기반으로 통신하는 객체 입니다. 사용법은 아래와 같습니다. 아래와 같이 WINHTTP 객체를 생성한후 Method를 호출하여 통신을 수행하면됩니다. ' Create an HTTP object Set objHTTP = CreateObject( "WinHttp.WinHttpRequest.5.1..

Script Downloader 분석 - 1 ( http://runardor.tistory.com/8) 에 이어서 본격적으로 Script Downloader에 대해 살펴보겠습니다. ADO 및 FSO를 사용할 수 있는 대표적인 언어는 아래와 같습니다.1. Visual Basic2. Visual C++3. Visual J++ 아래의 언어를 지원하는 프로그램 및 파일들은 ADO 및 FSO를 사용할 수 있다는 뜻입니다. 악성코드를 기준으로 Script Downloader를 살펴보면 해야할 행위는 다음과 같습니다.1. 특정 C&C로 접근한다.2. C&C 접근 가능시 파일전송을 요청한다.3. 요청된 파일을 PC에 생성한다.4. 생성된 파일을 실행한다. 위 행위를 위해 필요한 기능은 아래와 같습니다.1. 파일 생성기..

최근 Locky 랜섬웨어가 많이 유행하고 있습니다. 유포하는 방식은 다양하지만 이번 장에서는 악성 스크립트를 이용하여 랜섬웨어를 다운로드 하여 실행하는 부분에 대해 살펴 보도록 하겠습니다. Locky 랜섬웨어 제작자는 최근 이메일로 불특정 다수에게 메일을 보내게 됩니다. 해당 메일에는 ZIP파일이 첨부되어 있으며, ZIP파일을 압축해제할 경우 JS 파일과 BMP파일이나 문서파일을 볼 수 있습니다. 이떄 사용자가 JS파일을 실행하게 되면 랜섬웨어를 다운받아 실행하게 됩니다. 사실 JS파일뿐만 아니라 VBS가 동작하는 워드, 한글, 엑셀등에서도 이런 스크립트 다운로드는 광범위 하게 사용됩니다. 스크립트 다운로더를 이해하기 위해서 선행적으로 이해해야 할 부분이 존재합니다. 1. FSO ( File System..