'Malware' 카테고리의 글 목록

본문 바로가기

Malware

zinkhole 탐지시간2017-11-14파일명1100.exeMD5a89b4d2cb194bdb2eade4f0834107990 진단명A/V NameDetection NameVersionAhnLab-V3--ViRobot--ALYac-- 1. 파일 동작 순서 [그림] 파일 동작 순서도악성파일 실행 시 파일복제를 하고 원본을 삭제하며 정상적인 explorer 프로세스에 코드인젝션되어 브라우저 정보가 있는 xxx.txt 파일을 생성한다. 2. 분석 정보2-1. 파일 정보구분내용파일명cardwave.exe파일크기454kb악성동작브라우저 정보(계정, 접속URL) 유출 2-3. 생성파일 정보파일 종류파일명실행파일C:\Users\사용자\AppData\Roaming\Microsoft\CewmPQEC\cardwave.exe 2-4. 레지스.. 더보기

cuckoo를 활용한 악성 의심파일 분석 1. 파일 동작 순서 schtasks.exe 명령에 의해 xml 파일을 생성하고 예약 작업에 등록되며, svchost.exe를 실행한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 service.exe 파일크기 517kb 진단명 Trojan/Win32.MSIL.R192125 (V3) 악성동작 C&C서버와 통신 (신용카드정보 유출) 구분 내용 파일명 svchost.exe 파일크기 156kb 진단명 Trojan/Win32.Agent.C792331 (V3) 악성동작 신용카드정보 수집 2-2. 프로세스 정보 service.exe와 svchost.exe 두 개의 프로세스를 생성한다. 2-3. 생성파일 정보 파일 종류 파일명 실행파일 C:\Users\cuckoo\AppData\Local\Temp\svch.. 더보기

cuckoo 설치 cuckoo ? 가상OS환경에서 악성 의심파일을 분석하여 수집한 정보를 보여주는 오픈소스 종류 중 하나입니다. windwos 7, os x, debian의 분석 가능 환경을 제공하고 문서파일, 스크립트파일, 압축파일, 파이썬 파일 등 분석 가능 하다. cuckoo 구조 cuckoo 모듈 구성도 auxilary 모듈 : cuckoo 분석환경 설정 가능 (sniffer, 가상머신환경제공, 분석환경 초기화, anti vm bypass 등) machinery 모듈 : vmware, virtualbox 등 가상머신 제공 및 실행과 종료 기능 processing 모듈 : 악성코드를 23개의 모듈을 통해 프로세스정보, 네트워크패킷, 문자열, api 등의 정적/동적 정보를 수집하다. signature 모듈 : cuck.. 더보기

악성코드 분석 교육 자료 악성코드 분석 교육 자료 설명 피카츄배구.exe 파일로 대학생 대상으로 악성코드 분석 교육을 준비하면서 자료를 만들었습니다. 정상적인 실행파일인 '피카츄배구.exe'에 myhack.dll 파일을 인젝션하여 샘플 파일을 만들었고 이 샘플을 통해 문서를 작성하였습니다. ※ myhack.dll 파일의 출처는 reversecore.com 입니다. (dll 파일 기능은 구글 페이지에 접속하여 index.html 파일을 pc에 저장 합니다) 피카츄배구.exe 동작 순서 분석 사전 준비 단계 1. 파일 정보 확인 파일 속성 확인을 통해 언어, 원본 파일 이름 등을 확인한다. 2. virustotal 결과 확인 virustotal 백신 점검 결과를 통해 악성코드 여부와 악성코드 종류를 파악한다. 3. 개발언어 및 패킹.. 더보기

악성코드 수집 URL 모음 악성코드 수집 URL https://www.threatminer.org/av.php?q=Malware_Generic.P0 https://www.hybrid-analysis.com/recent-submissions?filter=file https://malwr.com/ http://malc0de.com/database/index.php?search=KR https://cydrone.malwares.com/login/login.php https://www.malwares.com/ http://urlquery.net/ https://zeustracker.abuse.ch/monitor.php?browse=configs http://cybercrime-tracker.net/index.php http://www.m.. 더보기

Anti VM 구현 출처 moaimoai.tistory.com/127 twitter.com/aliakyol_can Anti VM 악성코드 분석가는 대부분 가상머신에서 악성코드 분석을 통해 C&C 서버의 IP, 악성 행위 형태, 추가 파일 다운 여부 등을 파악하고 신속하게 대응책을 마련해야하는데 대부분의 악성코드 들은 분석가의 분석을 어렵게 하기 위해 실행파일 압축(Packing), Anti VM 등의 기술을 가지고 있다. 그 중에 Anti VM 기술에 알아보자 Anti VM는 악성코드가 레지스트리, 프로세스, 디스크 디바이스 등에서 VMWARE, VBOX, VIRTUAL 문자열이 검색하여 해당 문자열이 검색되면 가상머신으로 인식하여 악성코드를 실행하지 않는다. 악성코드에서 리버싱을 통해 우회가 가능하지만 악성코드마다 리버싱.. 더보기

이전 1 다음

티스토리툴바