그냥저냥

얼마전 PPT 문서형 악성코드중 흥미로운 녀석이 발견됬다고 기사가 뜸(관련 기사 : http://www.dailysecu.com/?mod=news&act=articleView&idxno=21152) PPT 슬라이드에 존재하는 링크에 마우스를 올리면 악성코드에 감염된다는 뭐 그런거라는데대충 샘플을 구해서 분석해봄 "Loading...Please wait" 링크 위에 마우스를 올려봤더니 uac 처럼 경고창이 뜨면서 사용자 상호작용을 요구 악성 문서 파일 확장자가 ppsx 이므로, 문서파일 내 코드를 보면 링크 부분에 MouseOver 액션이 정의되어있다.즉, 링크 위에 마우스를 올리면 "rId2" 라는 객체를 참조하여 프로그램을 실행하도록 되어있고, "rId2" 객체에는 PowerShell 코드가 삽입된 것..

최근(2016.10) 한글 문서형 악성코드를 우연히 입수하게되어서 간단히 정리만 함(관련기사) http://www.focus.kr/view.php?key=2016111000114130651 - '최순실 사태' 틈타 북한 소행 추정 사이버테러…악성코드 조심 해당 악성코드는 예전에 분석했던 HWP ParaText 취약점을 이용한 악성코드가 아닌 Ghost Script를 이용하여 쉘코드를 실행시킨다. 아래는 간단한 파일정보 스샷 HwpScan2 툴로 파일 구조를 살펴보면 바이너리 데이터 영역에 EPS 확장자를 가진 데이터가 존재하며, 압축해제된 데이터에는 조금 생소한 EPS 스크립트가 들어있는 것을 볼 수 있다. EPS 확장자는 Adobe사에서 개발한 Encapsulation Post Script 라는 것이며..

DOC 문서파일 실행 시 "파일의 내용을 보려면 매크로 기능을 활성화 해야한다" 라는 식으로 안내 문구들을 볼 수 있다.(해당 샘플에서는 친절히 Office 버전별로 매크로 활성화 방법을 글로 적어놨다) 직접 실행해서 매크로 코드를 분석하는 것은 위험하므로 OLETools 스크립트 중 olevba.py 스크립트로 매크로 코드만 추출하자. ▼ 추출한 매크로 (VBScript) 코드 분석 (워낙 간단한 코드라 걍 주석 참고)-------------------------------------------------------------------------------------------------------------------------- --------------------------------------..

* 특징 - 안티바이러스 솔루션을 우회를 목적으로 만들어진 파일리스(Fileless) 악성코드 - 레지스트리값에 스크립트를 삽입하고 악성코드를 은폐시킨 후, 실제로 파워쉘을 이용해 악성행위를 하는 악성코드※ Fileless 악성코드 : 악성코드가 메모리에만 존재하며, 하드디스크에 쓰이지 않고 RAM에 직접 로드되어 실행되는 악성코드 * 전체 행위 요약 악성코드 실행 시 가장 먼저 감염 시스템의 정보를 수집한다. 수집하는 정보는 MAC주소, OS 버전, OS Architecture 3가지 이다. 수집된 감염 시스템 정보는 C2 서버로 전송한다. 전송시 HTTP GET Method 를 이용하며, 지정된 파라미터에 담겨 전송된다.C2 서버 URL #1 : hxxp://178.89.159.34/qC2 서버 UR..

우선 PDFiD.py로 분석대상 파일의 구조를 확인하자. 해당 파일 내에는 자바스크립트와 임베디드된 파일이 존재한다는 것을 알 수 있다. 이제 peepdf로 각 오브젝트에 대한 상세내용을 보도록 하자.가장 먼저 확인해야할 자바스크립트 관련 오브젝트는 3번과 7번 오브젝트에 존재하는 것을 확인할 수 있다. 우선 7번 오브젝트를 살펴보도록 하자. 7번 오브젝트는 8번 오브젝트를 참조하고 있고, 8번 오브젝트의 스트림을 확인해보면 아래 사진처럼 난독화된 자바스크립트 코드를 확인할 수 있다. (난독화라 하기도 애매한...그냥 코드 중간중간 주석문이 들어간 것 뿐이다.) 8번 오브젝트를 파일로 추출한 후 중간중간 삽입되어있는 주석문을 제거하면 아래처럼 깔끔한 자바스크립트 코드를 볼 수 있다.this.subject..

* 전체 행위 요약 PDFiD 스크립트로 먼저 PDF 문서 구조를 확인해보면 문서 내 JavaScript가 존재하는 것을 알 수 있다. 이제 peepdf 스크립트로 자바스크립트 내용을 확인해보자자바스크립트 코드가 존재하는 오브젝트는 3번과 10번 오브젝트 임을 알 수 있다. 순서는 굳이 상관없으니 우선 10번 오브젝트부터 확인하기위해 object 10 명령을 입력한다.10번 오브젝트는 9번 오브젝트와 8번 오브젝트를 참조하고 있는데, 9번 오브젝트는 임베디드된 파일 데이터를 가리키고있고, 8번 오브젝트는 자바스크립트 데이터를 가리키고 있다. 먼저 자바스크립트 코드를 확인하기위해 8번 오브젝트를 살펴보자 8번 오브젝트의 내용을 보면 3번 오브젝트를 참조하는 것을 알 수 있고, 다시 3번 오브젝트의 내용을 ..

이용하는 한글 취약점은 한수원 샘플이랑 동일하며, 한글2010 기준으로 8.5.8.1443 버전 이하인 경우 해당 공격에 취약하다. 한글 문서 분석에 사용한 툴은 hwpscan2 v0.27 이며, 원래는 콘솔버전인 v0.21을 선호하지만 외부에서 더이상 구할 수가 없는듯하다 ㅠㅠ아쉬운대로 GUI 버전을 이용하자 우선 hwpscan2 프로그램으로 취약점을 스캔한다.버전이 업데이트 되면서 Vulnerability 부분에 Exploit.HWP.Heuristic 이라고 나오는데, v0.23 에서는 Exploit.HWP.Generic.43 이라고 나온다. 취약점 진단명인 Exploit.HWP.Generic.43 에서 맨뒤 43이 의미하는 것은 취약한 TagID 를 의미한다.해당 TagID에 대한 정보는 한컴에서 ..

* 이슈 개요우크라이나 대규모 정전사태, 발생원인은 악성코드 블랙에너지3로 드러나 C&C 명령으로 악성행위, C&C서버 통신 데이터 복호화, 플러그인 설치 등 수행(상세내용 기사참조 : http://www.boannews.com/media/view.asp?idx=49670) * 전체 동작과정 요약 엑셀 문서 실행 시 아래 그림처럼 매크로 기능을 활성화 시키지 않으면 문서 내용을 볼 수 없다는 메시지가 출력되면서 사용자가 매크로 기능을 자발적으로 활성화 시키도록 유도하고 있다. 해당 문서에 존재하는 악의적인 매크로 코드를 추출하기 위해 oletools의 olevba.py 스크립트를 이용하자.-c 옵션은 문서파일에 존재하는 VBScript 코드만 보여주는 옵션이다. 단순히 스크립트 코드만 출력해주므로 리다이..

* 전체 동작과정 요약 (**오타 : -k ==> -i) ● -n 파라미터 동작 (배경화면 변조)-n 파라미터가 입력된 경우 분기문을 통해 Thread를 생성한다. 해당 Thread는 Sleep함수에 의해 5분 뒤에 실행된다. Thread의 Main 함수는 프로세스 메모리 영역에 존재하는 암호화된 데이터를 복호화 시켜서 파일로 저장한다.파일 저장경로는 %WINDOWS%\walls.bmp 이며, 복호화된 파일 헤더 확인시 그림파일인 것을 알 수 있다. ▶ 그림파일 복호화 이후 SystemParametersInfo 함수의 ACTION 파라미터에 SPI_SETDESKWALLPAPER 옵션으로 배경화면의 그림을 변경한다. ● -d 파라미터 동작 (로컬 호스트 파일 삭제)-d 파라미터 입력시 로컬 호스트 파일 삭..

● 동작 요약 ● 중복실행 방지를 위해 CreateFileMapping/OpenFileMapping API 이용 - 특정 식별자 "JO840112-CRAS8468-11150923-PCI8273V" 를 가진 파일의 존재 여부를 통해 중복 실행 체크 ● 백신 솔루션 존재 여부 확인 - 아래 경로에 특정 파일이 존재하는지 체크하여 백신 솔루션의 설치 여부 확인 - 경로 : C:\Windows\Temp\~v3.log ● 백신 프로세스 강제 종료 - 명령어 #1 : taskkill /F /IM pasvc.exe - 명령어 #2 : taskkill /F /IM clisvc.exe * /F 옵션 : 명시된 프로세스 강제 종료 * /IM 옵션 : 종료할 프로세스의 이미지 이름 명시 ● 운영체제 정보 조회 ● MBR 로..