Study 5

[Malwre_#5-1] Macro Analysis (With. olevba, docx)

우선 저번엔 이 악성코드를 VirusTotal에 올려서 해시값 등 악성 파일의 완전 겉 핥기 정도의 내용을 알아봤다면, 이번엔 자세히 알아보자.olevba? 우선 들어서기 앞서 사용할 도구는 olevba이다. 이 도구는 워드나 엑셀같은 문서형 악성코드를 분석 할 때 매크로 분석 및 추출하는 도구이다. 사용법은 매우 간단하다.olevba (파일경로) > output.txt 위와 같이 명령어를 쳐주면 매크로 분석한 결과가 텍스트 파일로 저장된다.이제 위에서 소개한 명령어로 매크로 결과를 확인해보면 다음과같은 내용을 확인할 수 있다.우선 가장 먼저 AutoExec가 보이는데 이는 문서가 열릴 때 자동으로 실행되는 매크로이다. 두번째부턴 Suspicious로 Type의 이름부터 벌써 의심스럽다는 것을 확인할 수..

Study/REV 2024.12.23

[Malware_#4] About Reflective DLL Injection

DLL을 활용한 공격을 시도하면 공격 흔적을 최소화할 수 있기에 공격자들은 DLL을 즐겨 활용하곤 한다. 저번 초기분석에서 분석하고자 하는 악성파일의 type을 'injector'라고 소개했는데 이에 대한 자세한 분석에 들어가기 전에 개념을 다져보자.DLL을 이용한 공격방식 종류직접 실행- Rundll32.exe : Rundll32.exe를 이용해 직접 DLL 실행Injection- DLL Injection : 실행 중인 타 프로세스 공간에 강제로 DLL 삽입해 Injection함- Reflective DLL Injection : 프로세스의 메모리에 임의의 DLL에 대한 데이터를 삽입 후 직접 매핑하여 실행Hijacking- DLL Hijacking : 합법적인 실행파일의 정상 DLL인것 처럼 실행- D..

Study/REV 2024.11.22

[Malware_#3] 초기 분석 (With. VirusTotal)

저번 글에서 알아본 내용을 토대로 VirusTotal을 이용해 초기 분석을 함으로 악성 파일의 정보에 대해 알아보고, VirusTotal의 기능들에 대해서도 알아보자. 분석 도구 : VirusTotalNameLockheed_Martin_JobOpportunities.docxTypeMicrosoft WORD 문서 파일BehaviorInjectorSHA-256 0d01b24f7666f9bccf0f16ea97e41e0bc26f4c49cdfb7a4dabcc0a494b44ec9b DescriptionInjector With Embeded Malicious Macro 위 표는 가장 중요한 정보를 간략히 적어둔 것이기 때문에  Virus Total 사이트 내용을 더 자세히 설명해보자. Virus Total은 악성코드..

Study/REV 2024.11.19

[Malware_#2] About Malware

악성 코드 분석에 앞서 악성 코드란 무엇인지, 분석의 목표가 무엇인지와 분석 절차, 악성 코드 유형을 알아보자 Malware (악성 코드) 란?: 컴퓨터 시스템이나 사용자에게 해를 입히기 위해 의도적으로 작성된 랜섬웨어, 트로이 목마, 스파이웨어를 비롯한 모든 소프트 웨어 코드 또는 컴퓨터 프로그램 악성 코드 분석의 목표- 무슨 일이 발생했는지, 감염 시스템과 파일이 무엇인지 인지- 특정 행위와 네트워크에서 탐지하는 방법과 피해 범위 측정 등악성 코드 분석 절차: 악성 코드 분석은 크게 다음 3단계로 진행된다. 1. 초기 분석: 자동화 도구를 이용해 악성 코드의 외형 및 동작을 빠르게 분석함, 의심되는 악성 코드의 파일 용량, 패킹 여부, 보고된 악성 코드와의 유사성 비교 등을 수행도구 - virusto..

Study/REV 2024.11.05

[Malware_#1] VMware Windows 10 가상환경 구축

1. Windows 10 iso 파일 생성- 1. 다음 사이트 접속하여 Windows 10 설치 미디어 만들기의 지금 다운로드 클릭https://www.microsoft.com/ko-kr/software-download/windows10 - 2. 다운로드 한 MediaCreationTool_22H2.exe 파일 실행관련 통지 및 사용 조건 동의- 3. 다른 PC용 설치 미디어 만들기 선택- 4. ISO파일 선택 및 저장2. VMware에 가상환경 구축- 1. Create a New Virtual Machine 클릭- 2. iso파일 불러오기- 3. Store virtual disk as a single file 선택 - 4. 기본 설정 그대로 지금 설치 클릭- 5. 제품 키가 없음 후 Home 버전 다운..

Study/REV 2024.11.04