MalwareAnalysis12 멀웨어 구하기 보호되어 있는 글 입니다. 2023. 10. 12. sandbox/malurl/malware/osint/malanalyblog sandbox http://www.virustotal.com https://github.com/ctxis/CAPE http://www.joesandbox.com cuckoo https://polyswarm.network/ https://analyze.intezer.com/sign-in https://yomi.yoroi.company malurl IoC urlhaus IoC / infected sample the zoo(github) https://polyswarm.network/ https://labs.inquest.net/dfi/search https://tria.ge/reports/public https://yomi.yoroi.company https://intelligence.gatewatcher... 2022. 11. 19. 멀웨어 종류 드로퍼(Dropper) 다운로더(Downloader) 랜섬웨어(Ransomware0 웜(Worm) 백도어(Backdoor) 원격접속트로이목마(RAT, Remote Access Trojan) 트로이목마(Trojans) 크립토마이너(Cryptominer) 바이러스(Virus) 스파이웨어(Spyware) 인포스틸러(Infostealer) 봇(Bot) 애드웨어(Adware) 2022. 11. 19. malware site 해당 사이트에서 받은 멀웨어를 악용하지마세요 책임은 당신의 것! * Hybrid analysis * KernelMode.info * virusbay * contagio malware dump * AVCaesar * VirustShare * theZoo 관련 블로그 https://zeltser.com/malware-sample-sources 2022. 9. 15. PE 인터널 도구 http://www.andreybazhan.com/pe-internals.html 컴파일러에서 생성한 섹션 5개 보여줌 좋다 이걸로 실행파일 + 메모리에 올라가는 구조 + 섹션 등을 공부했으면 좋았을걸 2022. 9. 12. VBS 문법 기초 워드, 엑셀에서 VBS 열어 모듈을 만들어 간단한 코딩 처리 가능 * 프로시저: 함수같은 느낌이다 Sub 모듈명() 명령문 수행 End Sub 이건 진짜 함수- 리턴도 한다 Function 함수이름(매개변수) 명령문 수행 함수이름 = return할 값 End Function * 출력: debug.Print(내용) * 타입에 상관없이 묶음: & 사용 * 타입지정: Dim a As Boolean // a는 boolean 타입. * 조건 if (조건) then 처리문 End if * ELSEIF if (조건) then ElseIf (조건2) then Else End IF * While Do While (조건) 명령 Loop * For For i=0 To 10 명령문 Next i * Call 모듈명: 모듈(함수.. 2022. 8. 23. YourCyanide 분석 https://www.trendmicro.com/en_us/research/22/f/yourcyanide-a-cmd-based-ransomware.html 2022. 6. 4. 랜섬웨어 대응 방법 [참조] * 연세대학교 학술정보원 정보보안팀, 2019, 랜섬웨어 대응 가이드라인 나는 랜섬웨어가 너무 싫다. 오죽하면 악몽을 꿀 때, 컴퓨터가 랜섬웨어에 감염되는 꿈을 꾸겠는가ㅎㅎ 그래서 데이터 손실에 강박증이 있어 수시로 백업하는 편이다. (PC 여분 HDD/SSD 백업 + 클라우드 백업 + PC에 연결되지 않은 HDD/SSD 백업) 랜섬웨어에 잘 대응할 수 있다고 생각하지만, 막상 상황이 닥쳐왔을 때, 당황할 수 있으니 미리미리 예방 + 대응 절차를 숙지하자 1. 사전 예방 1) 최신 버전으로 sw 업데이트 사용 - 자동 업데이트 - 인터넷 익스플로러 사용하지 말기 - 모든 sw 애플리케이션 최신 버전으로 유지 - 불필요한 서비스, sw 제거 2) 백신 설치 + 최신 버전 업데이트 - 주기적 검사 .. 2022. 5. 29. Lena 2. reverseme 키파일링 + 어셈블 중요 * ascii에서 파일의 끝은 0으로 사용된다. 플러그인 -> Analyze This : 올리가 code segment 외부에서 조작 가능 코드 분석해주는 플러그인 (tuts4you 제공) reverseme CreateFile obj를 생성하거나 열고, obj에 접근하는 핸들을 반환한다. CreateFileA 함수를 실행시키기 위한 인자들 (스택에 역순으로 들어감) 핸들 주소는? keyfile.dat이 있어서 핸들을 잘 반환했다. (핸들을 잘 반환 못하면 EAX = FFFFFFFFh) keyfile.dat에 들어가있는 정보 다음 과정 ReadFile ReadFile Keyfile.dat을 특정 바이트 수만큼 읽으려고 시도하며, 이 바이트 수는 특정 주소의 버퍼에 저장 46바이트를 읽음 버퍼에 데이터.. 2022. 5. 4. Lena 1. ollydbg 사용 및 Reverse me tuts4you 프로그램reverseMe 이것은 무슨 파일인가?ARTeam-Ollydbg.ini → 이것은 ollydbg.ini로 덮기 Win32.hlp fil : 프로그램에서 작동하는 API 이해 도움 (API 정보를 알려줌)이렇게 추가 가능 (Select ~ )올리는 뭐야디버거 올리의 기본 정보UDD : Breakpoints와 다른 정보들을 저장Plugin : 올리의 플러그인들올리의 첫 화면 올리의 화면 구성요소CPU : CPU가 현재 어떤 명령을 수행하는지 가리킴 (PC). 주소, 어셈블리어, OP코드, 주석이 있다.메모리 : 가상메모리의 값. 메모리의 데이터 확인 가능레지스터 : 레지스터의 값. 항상 16진수이다.스택(LIFO) : 스택에 쌓인 값을 볼 수 있다. ESP, EBP 기준으로 보는 것.. 2022. 1. 25. 멀웨어 분석 전 환경 구성 멀웨어 동적 분석 시에 그냥 돌리면 Host가 망가지므로.. 멀웨어 분석을 하려면 안전한 환경을 구성하는 것이 좋겠다. 1. vm machine으로 환경을 분석한다. 여기서 네트워크 어댑터 설정이 중요한데, HOST ONLY는 쓰지 않는다. @ HOST - VM 간의 통신이 허용된 거라, HOST에 어떤 영향을 끼칠지를 아직 모른다. @ 그런데, WANNACRYPTO 돌렸을 때는 HOST-ONLY여도 큰 문제가 없긴 했었는데.. 아무튼, 가상 VM 스위치 및 어댑터를 구성해서 VM을 연결한다. 절대 어댑터를 HOST 껄로 사용하지 않는다. 분석환경을 VM(악성코드 분석용)[VM어댑터] - [VM어댑터]VM 스위치[VM어댑터] - [VM어댑터] VM(C2 웹서버용) 이렇게 구성하고, HOST는 따로 둔다... 2021. 2. 12. 가상의 c2 구축 방법 1. 웹서버를 실제로 구축 (linux_apache2) ㄴ 해당 서버 접근 시, 바로 Drive-by download 구성 가능 ㄴ msf 연결 2. python의 Simplehttpserver 모듈을 다운받아 구성 및 실행 3. netcat을 이용한 가상 서버 오픈(리스닝) ㄴ @응답처리가 되는가? 4.iNetSim dns서버 하나 구축해서 여기로 리다이렉트 시켜준 뒤에 검사를 해 주면 좋다. 2021. 2. 12. 이전 1 다음
