전체 글 69

LummaStealer 악성코드 동적분석

동석 분석 단계클린 샷으로 복원 : 가상머신을 클린 상태로 복원하는 작업모니터링/동적 분석 도구 실행 : 악성코드 샘플 실행 전, 모니터링 도구를 실행한다. 관리자 권한으로 실행해야 한다.악성코드 샘플 실행 : 관리자 권한으로 악성코드 샘플을 실행한다.모니터링 도구 종료 : 악성코드 바이너리를 일정 시간 동안 실행한 후 종료한다.결과 분석 : 모니터링 도구에서 데이터/리포트를 수집하고 분석해 악성코드의 행위와 기능을 확인한다.1. 랩 환경 리눅스 VMIP : 192.168.1.100윈도우 VMIP : 192.168.1.x(책을 따라 192.168.1.50으로 설정함)Gw : 192.168.1.100Dns : 192.168.1.100감염되지 않도록 격리된 환경 사용.2. 도구 실행, 악성코드 샘플 실행 프..

보안/악성코드 2025.05.21

[reversing]H4CKING GAME_Season1 : Keygen 추가 공부

워게임을 풀고 공부+실습을 진행했다.https://hae9-9.tistory.com/66 keygen(Key Generator의 줄임말) : 프로그램의 시리얼 키 생성기. 워게임 이름이 keygen인데 keygen을 만드는 것보다 크랙을 하는 게 더 수월할 것 같아서, 크랙에 대해 실습하기로 했다. 간단한 크랙 문제를 사이트에서 다운받았다. 다운받은 크랙을 x32dbg로 실행했다. 실행하고 f9 누르니까 이런 화면이 뜨고. 아무거나 입력하니까 변화없이 아래에 UnRegistired Version이라고 뜸. 그래서 잠시 중단하고 문자열 찾아봄. 근데 UnRegistired Version이랑 깨면 나오는 문구일 것 같은 Cracking Success!!! 둘 다 보인다. 여기 0x4012FF 위치로 건너..

[IGLOO]랜섬웨어란 무엇인가요?

랜섬웨어(Ransomware) : 몸값(Ransom) + 소프트웨어(Software)로, 즉 사용자의 컴퓨터 시스템에 침투하여 데이터를 암호화하거나 시스템 접근을 제한한 후 금전을 요구하는 악성 프로그램.그러나 일부 랜섬웨어 그룹은 몸값을 받고도 데이터를 복구해 주지 않거나, 데이터를 유출하는 경우도 있다. 랜섬웨어 종류암호화 랜섬웨어(Crypto Ransomware) : 시스템에 침투해 사용자의 파일을 암호화하는 가장 보편적인 랜섬웨어 유형.락커 랜섬웨어(Locker Ransomware) : 시스템 자체를 잠가 사용자의 컴퓨터 접근을 차단하는 유형. 부팅을 막거나 특정 프로그램 실행을 제한해 정상적인 작업을 수행할 수 없게 만듦.서비스형 랜섬웨어(Ransomware-as-a-Service, RaaS) ..

[reversing]H4CKING GAME_Season1 : Keygen

문제에서 주어진 파일 IDA에서 열어봄. 바로 디컴파일해줌.대충 코드 보면..buf2에 ?;FJDnv8dw8lRulyRmmt 이 문자열 복사함buf1에 flag 값 입력받음buf1에 반복문 이용한 계산 넣음buf1이랑 buf2 문자열 비교해서 옳은 플래그인지 판단그러니까 반복문을 돌렸을 때 buf1에 최종적으로 이 ?;FJDnv8dw8lRulyRmmt 값이 들어가 있으면 됨.. -> 역으로 계산하면 됨.. 코드 작성은 지피티 도움..buf2 = "?;FJDnv8dw8lRulyRmmt"flag = ""for c in buf2: decrypted = ((ord(c) + 3) ^ 0x1B) ^ 0x11 flag += chr(decrypted)print("입력해야 할 플래그:", flag)이거 돌려주..

소학회/워게임 2025.05.13

[6장]악의적인 바이너리 디버깅

이 글은 아래의 책을 읽고 공부 목적으로 작성됨.몬나파 K A, 「악성코드 분석 시작하기」디버깅 : 악성코드를 통제된 방식으로 실행하는 기술.디버깅 도구(디버거) : IDA, x64dbg, dnSpy 1) 프로세스 실행과 연결디버깅은 디버그할 프로그램을 선택하는 것에서 시작, 디버거 시작 시 원본 바이너리는 디버거를 실행하는 유저의 권한으로 실행됨. 프로세스를 실행하면 실행은 프로그램의 엔트리 포인트에서 멈춤.*엔트리 포인트(entry point) : 실행할 첫 번째 명령어의 주소.디버깅 방법디버거를 실행 중인 프로그램에 연결새로운 프로세스를 실행초기 동작 제어 및 모니터링XO 2) 프로세스 실행 제어디버거는 프로세스 실행 중, 프로세스의 행위를 제어/수정하는 기능을 가짐. 두 가지 중요한 기능은 실행..

보안/악성코드 2025.05.13

[Theori]CoSoSys Endpoint Protector에서 발견한 0-day 원격 코드 실행 취약점

APT* 모의침투 중, CoSoSys의 EPP 분석으로 4건의 RCE* 취약점 발견. 해당 취약점으로 EPP 서버와 클라이언트 장악으로 민감 정보 탈취 가능. CoSoSys EPP(Endpoint Protector): 조직에서 다루는 매체가 외부로 유출되는 것 방지 및 유출 경로 추적 위한 DLP* 솔루션의 일종.EPP 사용 시, 서버와 연결된 클라이언트 검열 가능. 정책 솔루션 관리자가 직접 생성해 클라이언트에 배포 가능. 관리자는 민갑 정보 중 어떤 자산의 이동을 추적할 건지 정의 가능. 발견한 취약점 CVE* 번호CVE-2024-36072(CVSSv4 10) : 서버 애플리케이션 로그 관련 구성 요소에 존재하는 원격 코드 실행 취약점CVE-2024-36073(CVSSv4 8.5) : 에이전트의 S..

LummaStealer 악성코드 정적분석

1. 파일 유형 식별 .exe 확장자를 가짐 -> 윈도우 실행 파일로 추정. 보다 정확한 유형을 파악하기 위해 파일 시그니처를 확인했다. 파일의 첫 바이트가 헥사 문자 4D 5A라는 시그니처를 가지므로, 윈도우 실행 파일이 맞았다. 리눅스 시스템의 file 유틸리티를 이용해서도 파일을 식별해 봤다.PE32 executable : 32비트 윈도우 실행파일-> 악성코드 바이너리는 32비트 실행 파일이란 사실을 알 수 있다. ChatGPT 이용으로 얻은 추가 정보더보기GUI : 윈도우 GUI 프로그램.Net assembly : .NET으로 작성된 프로그램(.NET malware일 가능성 높음)Intel 80386 : 32비트 x86 아키텍처3 sections : 섹션 구조가 정상(보통 .text, .data..

보안/악성코드 2025.05.07

[4장]어셈블리 언어와 디스어셈블리 기초

이 글은 아래의 책을 읽고 공부 목적으로 작성됨.몬나파 K A, 「악성코드 분석 시작하기」 컴퓨터 기초 컴퓨터 : 정보를 처리하는 머신.컴퓨터의 모든 정보 : 비트로 표현.비트(bit) : 0 또는 1을 갖는 독립 단위. 비트로 숫자, 문자, 기타 정보를 나타낼 수 있음. 바이트(byte) : 8비트 묶음. 단일 바이트는 16진수 2개로 나타낸다. 니블(nibble) : 4비트 묶음. 16진수 1개로 나타낸다.워드(word) : 2바이트 묶음.더블워드(dword) : 4바이트 묶음..data쿼드 워드(qword) : 8바이트 묶음.바이트 순서의 의미는 사용 방법에 따라 다르다. 메인 메모리(RAM) : 컴퓨터에서 코드와 데이터를 저장.메인 메모리는 바이트의 배열이며, 각 바이트는 주소(address)라..

보안/악성코드 2025.05.06

[IGLOO]이글루코퍼레이션 XDR 전략 ‘AI-Driven Open XDR’

생성형 AI가 일상생활에 녹아듦. -> IT 환경의 변화 -> 보안 환경 변화. 국내 보안환경의 주안점기술 : AI보안, XDR정책 : Zero Trust, N2SF(국가 망 보안체계, National Network Security Framework)시장 : 보안업체간 협업 XDR(eXtended Detection and Response) : 확장 탐지 및 대응. 데이터를 자동으로 수집하고 상호 연결하는 통합 보안 사고 감지 및 대응 플랫폼. XDR 구성센서 레이어 : 다양한 정보를 수집할 수 있는 레이어정책과 데이터 레이어대시보드 레이어 : 이를 표출할 수 있는 레이어 XDR 초기, EDR이나 NDR처럼 직접 엔드포인트나 네트워크에 대한 탐지를 할 수 있는 시스템에서 시작. -> NDR 개념 확장. ..

[3장]동적 분석

이 글은 아래의 책을 읽고 공부 목적으로 작성됨.몬나파 K A, 「악성코드 분석 시작하기」 동적분석 : 악성코드 실행 후 다양한 모니터링 활동을 수행.-> 목표 : 악성코드 행위, 시스템에 끼친 영향과 관련된 실시간 데이터 수집. 여러 유형의 모니터링프로세스 모니터링 : 프로세스 활동 모니터링, 악성코드 실행 중 생성한 결과의 속성을 검사.파일 시스템 모니터링 : 파일 시스템 실시간 모니터링.레지스트리 모니터링 : 접근/수정된 레지스트리 키, 악성코드 바이너리가 읽거나 작성한 레지스트리 데이터 모니터링.네트워크 모니터링 : 시스템으로 유입되거나 외부로 나간 라이브 트래픽 모니터링. 랩 환경 설정 후, 분석 도구 호스트 머신에서 다운. 도구를 가상머신에 전송하거나 설치, 클린 스냅샷 생성.*스냅샷 : VM..

보안/악성코드 2025.04.08