부동산, 채권, 주식, 경제흐름 자료를 모아 보는 블로그입니다.

안녕하십니까 runardor입니다. 금일부터 포스팅할 내용은 메모리 교체형 악성코드입니다. ( 메모리 교체형 악성코드라는 단어는 없으나 가칭으로 정하였습니다. ) 사실 포스팅 할 주제가 너무많은데요... 요즘 악성코드가 기본 장착(?) 하는 메모리 교체형 악성코드에 먼저 알아보고자 합니다. ( 많은 도움이 되고자 ) 메모리 교체형 악성코드는 최근에 FUD 툴에 기본 기능으로 제공되면서 폭발적으로 증가하고 있습니다. ( 사실 유사 코드 역시 쉽게 구할 수 있습니다. ) 정확하게 말하면 악성코드가 아닌 악성코드가 AV 진단 우회를 하기 위해 쓰는 기법이라는 의미가 정확합니다. 유사 기술(Memory Relocation을 이용한 파일 실행이나, 커널 이미지를 재구성하여 후킹을 한다거나...)이 이미 많이 사용..

이번 블로그에 설명할 내용은 간단한 ShellCode Loader를 만들어 보는것입니다. ShellCode Loader 작성하게 된 이유 크게 2가지였습니다. 1. Plugx 악성코드 분석 2. ShellCode PayLoad 분석 PlugX를 간단하게 설명 드리자면 정상 EXE + 악성 DLL + 쉘코드로 구성된 악성코드이며, 사용자가 정상 EXE를 실행할 경우 상대경로 참조로 인하여 악성 DLL을 로드하고 악성 DLL은 다시 쉘코드를 로드하여 실행하게 됩니다. ShellCode PayLoad분석의 경우 길게 작성된 Shell Code를 만들 경우 제대로 동작하는지 확인을 위해서 작성을 수행하였습니다. 나중에 정리가 된다면 Visual Studio를 이용하여 Shell Code 작성 및 Shell Co..

안녕하십니까 Runardor입니다. 해당 블로그는 제가 몇년간 분석을 하면서 쌓았던 자료들을 다른분들께 공유함과 동시에 제 스스로 자료들을 정리하기 위해 개설하였습니다. 가능하면 많은 내용을 쉽게 풀어쓰려고 노력을 하고 가능하면 정확하게 쓰고자 노력을 하도록 하겠습니다. 자료를 보시다 다소 부정확한 부분이 존재할 경우 알려주시면 감사하겠습니다. ( 클린 댓글 및 메일 꼭 부탁 드립니다. ) 또한 자료를 사용시 꼭 출처 및 인용에 대해 반드시 알려주시고 무단으로 사용하지 않도록 부탁드립니다. 나름 열심히 코드 작성 및 TEST를 하였고 많은 시간을 투자하여 자료들을 작성하였습니다. 끝으로 문의사항이나 의견이 있으신분은 runardor@daum.net으로 메일 주시면 감사하겠습니다. 필명 ID 및 이메일은 ..

이번장은 Script Downloader 에서 다룰 마지막 부분인 XMLHTTP입니다. XMLHTTP 이름에서 유추가 가능하겠지만 XMLHTTP == XML + HTTP로 보셔도 크게 무리가 없습니다. XMLHTTP는 기본적으로 HTTP를 기반으로 통신을 수행합니다. 하지만 WINHTTP와 차이가 존재합니다. 가장 큰 차이는 DATA 전송 방식의 차이입니다. WINHTTP : 평문으로 된 Parameter를 사용하여 동작 XMLHTTP : XML 형태의 DATA를 사용하여 동작 XMLHTTP의 경우 Parameter 및 설정 내용을 XML DOM 객체에 실어서 서버로 DATA를 Request합니다. 또한 Return 되는 데이터 역시 XML DOM 객체로 받거나 또는 Binary로 Data를 받게 됩니다..

이번장에서는 앞장에서 언급한 1. 파일 생성기능2. 파일 전송기능3. 파일 실행기능 1, 2, 3중에 파일전송과 관련된 내용(ADO, WINHTTP, XMLHTTP)을 3,4장에 나누어 다룰 예정입니다. ADO 개념은 Script Downloader 분석 - 1 ( http://runardor.tistory.com/8 )을 참고하시면 됩니다. WINHTTP 이름에서 유추가 가능하듯이 WINHTTP는 HTTP 프로토콜을 기반으로 통신하는 객체 입니다. 사용법은 아래와 같습니다. 아래와 같이 WINHTTP 객체를 생성한후 Method를 호출하여 통신을 수행하면됩니다. ' Create an HTTP object Set objHTTP = CreateObject( "WinHttp.WinHttpRequest.5.1..

Script Downloader 분석 - 1 ( http://runardor.tistory.com/8) 에 이어서 본격적으로 Script Downloader에 대해 살펴보겠습니다. ADO 및 FSO를 사용할 수 있는 대표적인 언어는 아래와 같습니다.1. Visual Basic2. Visual C++3. Visual J++ 아래의 언어를 지원하는 프로그램 및 파일들은 ADO 및 FSO를 사용할 수 있다는 뜻입니다. 악성코드를 기준으로 Script Downloader를 살펴보면 해야할 행위는 다음과 같습니다.1. 특정 C&C로 접근한다.2. C&C 접근 가능시 파일전송을 요청한다.3. 요청된 파일을 PC에 생성한다.4. 생성된 파일을 실행한다. 위 행위를 위해 필요한 기능은 아래와 같습니다.1. 파일 생성기..

최근 Locky 랜섬웨어가 많이 유행하고 있습니다. 유포하는 방식은 다양하지만 이번 장에서는 악성 스크립트를 이용하여 랜섬웨어를 다운로드 하여 실행하는 부분에 대해 살펴 보도록 하겠습니다. Locky 랜섬웨어 제작자는 최근 이메일로 불특정 다수에게 메일을 보내게 됩니다. 해당 메일에는 ZIP파일이 첨부되어 있으며, ZIP파일을 압축해제할 경우 JS 파일과 BMP파일이나 문서파일을 볼 수 있습니다. 이떄 사용자가 JS파일을 실행하게 되면 랜섬웨어를 다운받아 실행하게 됩니다. 사실 JS파일뿐만 아니라 VBS가 동작하는 워드, 한글, 엑셀등에서도 이런 스크립트 다운로드는 광범위 하게 사용됩니다. 스크립트 다운로더를 이해하기 위해서 선행적으로 이해해야 할 부분이 존재합니다. 1. FSO ( File System..

UAC( User Account Control ) VISTA 이후 윈도우 사용자는 자주 아래와 같은 박스를 자주 볼 수 있습니다. What is UAC ?? MS에서 정의한 UAC는 아래와 같습니다. UAC( 사용자 계정 컨트롤 )는 Window Vista이후 나온 보안기능으로 보안 토큰을 이용하여 컴퓨터를 무단으로 변경하지 못하게 하도록 한다. 만약 관리자 수준의 작업을 하기위해 프로그램을 실행할 경우 프로그램의 실행여부를 사용자에게 확인 이후 실행하게 된다. UAC는 어떻게 동작하는것일까? 위와 같이 박스창이 뜰 경우 쉘이 비활성화 되며 해당 박스창만 활성화 되며, 해당 박스창만 사용이 가능합니다. Window에서 UAC가 동작하는 과정은 아래와 같습니다. 사용자가 윈도우 쉘로 특..

IOCTL_DISK_GET_DRIVE_GEOMETRY :70000IOCTL_DISK_GET_PARTITION_INFO :74004IOCTL_DISK_SET_PARTITION_INFO :7C008IOCTL_DISK_GET_DRIVE_LAYOUT :7400CIOCTL_DISK_SET_DRIVE_LAYOUT :7C010IOCTL_DISK_VERIFY :70014IOCTL_DISK_FORMAT_TRACKS :7C018IOCTL_DISK_REASSIGN_BLOCKS :7C01CIOCTL_DISK_PERFORMANCE :70020IOCTL_DISK_IS_WRITABLE :70024IOCTL_DISK_LOGGING :70028IOCTL_DISK_FORMAT_TRACKS_EX :7C02CIOCTL_DISK_HISTOG..