일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- 악성코드
- FTP Server/Client
- Mouse Over
- PPT Malware
- anti vm
- 파이썬
- vbscript
- Python GetProcAddress
- PowerShell
- Python LoadLibrary
- Universal ShellCode
- c# 외부 프로그램 실행
- 파워쉘
- 최순실 악성코드
- Hover Action
- 파이썬 외부프로그램 실행
- 한글 악성코드
- c# 파일명 변경
- Python Win32 API
- c# 디렉토리 파일 조회
- c# 파일 읽기쓰기
- UDP Server/Client
- TCP Server/Client
- TCP Socket
- c# 프로그램 종료
- c# 파일 IO
- hex2bin
- pdf 악성코드
- c# xml 파싱
- VMware
- Today
- Total
목록악성코드 (3)
그냥저냥
* 이슈 개요우크라이나 대규모 정전사태, 발생원인은 악성코드 블랙에너지3로 드러나 C&C 명령으로 악성행위, C&C서버 통신 데이터 복호화, 플러그인 설치 등 수행(상세내용 기사참조 : http://www.boannews.com/media/view.asp?idx=49670) * 전체 동작과정 요약 엑셀 문서 실행 시 아래 그림처럼 매크로 기능을 활성화 시키지 않으면 문서 내용을 볼 수 없다는 메시지가 출력되면서 사용자가 매크로 기능을 자발적으로 활성화 시키도록 유도하고 있다. 해당 문서에 존재하는 악의적인 매크로 코드를 추출하기 위해 oletools의 olevba.py 스크립트를 이용하자.-c 옵션은 문서파일에 존재하는 VBScript 코드만 보여주는 옵션이다. 단순히 스크립트 코드만 출력해주므로 리다이..
* 전체 동작과정 요약 (**오타 : -k ==> -i) ● -n 파라미터 동작 (배경화면 변조)-n 파라미터가 입력된 경우 분기문을 통해 Thread를 생성한다. 해당 Thread는 Sleep함수에 의해 5분 뒤에 실행된다. Thread의 Main 함수는 프로세스 메모리 영역에 존재하는 암호화된 데이터를 복호화 시켜서 파일로 저장한다.파일 저장경로는 %WINDOWS%\walls.bmp 이며, 복호화된 파일 헤더 확인시 그림파일인 것을 알 수 있다. ▶ 그림파일 복호화 이후 SystemParametersInfo 함수의 ACTION 파라미터에 SPI_SETDESKWALLPAPER 옵션으로 배경화면의 그림을 변경한다. ● -d 파라미터 동작 (로컬 호스트 파일 삭제)-d 파라미터 입력시 로컬 호스트 파일 삭..
● 동작 요약 ● 중복실행 방지를 위해 CreateFileMapping/OpenFileMapping API 이용 - 특정 식별자 "JO840112-CRAS8468-11150923-PCI8273V" 를 가진 파일의 존재 여부를 통해 중복 실행 체크 ● 백신 솔루션 존재 여부 확인 - 아래 경로에 특정 파일이 존재하는지 체크하여 백신 솔루션의 설치 여부 확인 - 경로 : C:\Windows\Temp\~v3.log ● 백신 프로세스 강제 종료 - 명령어 #1 : taskkill /F /IM pasvc.exe - 명령어 #2 : taskkill /F /IM clisvc.exe * /F 옵션 : 명시된 프로세스 강제 종료 * /IM 옵션 : 종료할 프로세스의 이미지 이름 명시 ● 운영체제 정보 조회 ● MBR 로..