악성코드분석🍳
Raccoon Stealer v2(2.0) 악성코드 분석(2)
○ 컴퓨터 상세 정보 탈취sstmnfo_문자열의 존재 유무를 확인한 후 다음과 같은 정보를 탈취한다.컴퓨터 기본 정보 탈취No.대상 정보사용한 API 및 레지스트리 키1Locale 정보GetUserDefaultLCIE()2표준 시간대 정보GetTimeZoneInformation()3운영체제 정보HKLM\\Current Version 하위 키4아키텍쳐 정보GetSystemWow64Directory()5CPU 정보GetSystemInfo()6RAM 정보GlobalMemoryStatusEx()7DisPlay 크기 정보GetSystemMetircs()8모니터 이름 정보EnumDisplayDevicedsW()9설치된 프로그램 목록SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\U..
Raccoon Stealer v2(2.0) 악성코드 분석(1)
Raccoon Stealer 2.0(v2)[그림 1] Raccoon Stealer v2(출처 : The Hacker News)1. 개요Raccoon Stear v1 은 2019년 4월 경 언더그라운드 포럼에서 서비스형 멀웨어(MaaS, Malware-as-a-Service)로 판매되며 발견된 악성코드이다. 2019년 이후 꾸준하게 등장하였으나 2022년 7월 Racoon Stealer v2 변종이 발견되었다. 해당 변종은 C++ → C 로 작성되었다.2. 샘플 및 분석 환경 정보악성코드명Raccoon Stealer v2(2.0)해시값(MD5)a5925dd8ecea442fb8f46fd9447f6c87Time Stamp2022/07/01 09:57:11 UTC분석 환경Windows10 64bitsIDA 버전..
x64 dbg 설치 및 플러그인 적용(악성코드분석, 리버싱)
x64 dbg란?리버싱 공부 및 War game 풀이를 할 때 사용하는 디버거 프로그램 중 하나로, 최근 가장 많이 쓰는 디버거이다. 기존에는 Ollydbg를 사용하였으나 x64dbg에 비해 UI가 노후화되었고 덜 직관적이라고 판단하여 x64dbg를 주로 사용하고 있다. x64 dbg는 총 5개의 기본 덤프 창, 내장 어셈블러, Yara Pattern 매칭, 속도가 빠른 다스어셈플러, 쓰레드 확인 등 여러 기능을 제공하고 있다.x64 dbg 설치x64dbg 설치는 아래의 링크에서 설치할 수 있다. x64dbg - Browse /snapshots at SourceForge.netAn open-source x64/x32 debugger for windows.https://sourceforge.net/proj..
악성코드 분석을 위한 사이트
리버싱을 하는 사람이라면 충분히 악성코드에 대한 관심이 있을 것이다. 하지만, 막상 악성 코드를 분석하려고 할 때 "악성코드 샘플은 어디서 구하지?" 라는 걱정이 앞서며 시도도 하지 않는 경우가 많다. 앞으로 소개할 사이트는 분석이 목적인 사용자들을 위해 악성코드 정보를 공유하고 있어 새로운 악성코드나 분석하기 원하는 악성코드에 대한 정보를 확인할 수 있다.(악의적인 사용은 법적으로 처벌받을 수 있으며 사이트 상에서도 금지하고 있다) bazaar.abuse.ch 윈도우, 안드로이드 등 여러 종류의 악성코드를 공유하는 무료 사이트로 하루에 4~10개의 악성코드가 갱신되어 올라온다. bazaar 사이트는 각 샘플에 대한 해시값, 타입(exe, dll 등), 태그(exe, 악성코드 그룹, 안드로이드, apk ..
![[Android] APK 파일 구조](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FdlR8NE%2FbtrO91vWvGS%2FvIezZBdtKSZQVZedsTvQk1%2Fimg.png)
[Android] APK 파일 구조
기존 APK 파일의 구조 포스팅 기존 해당 포스팅에서 APK 파일의 구조를 간략하게 설명하였으나 자세한 설명 및 공부가 필요하다고 생각하여 추가로 APK 파일에 대해 포스팅하였다. 2022.09.27 - [악성코드분석🍳/Android] - [Android] APK 파일 구조 및 분석 개요 [Android] APK 파일 구조 및 분석 개요 APK 란? 안드로이드 앱의 확장자로 Android Package Kit 의 줄임말이다. 인증을 위한 서명이 포함되어 있으며 ZIP 파일 형식으로 압축되어 있다. Windows OS에서 exe 파일과 동일하다. APK 구조 APK 구조는 크 bymalware.tistory.com APK 파일이란? APK 파일은 Android Package의 약자로 .apk 확장자를 가지..
VMware(Windows 10 - 64bits) 악성 코드 분석 환경 구축(3)
VMware Windows 설치 이전 포스팅에서 Windows 설치까지의 방법 및 Microsoft 계정 우회하는 방법을 설명하였다. 2022.10.11 - [악성코드분석🍳/Windows] - VMware(Windows 10 - 64bits) 악성 코드 분석 환경 구축(2) VMware(Windows 10 - 64bits) 악성 코드 분석 환경 구축(2) VMware VM 생성 이전 포스팅에서 iso 파일 다운로드 후 실제 VM 을 생성하는 방법을 설명하였다. 2022.10.07 - [악성코드분석🍳/Windows] - VMware(Windows 10 - 64bits) 악성 코드 분석 환경 구축(1) VMware(Wind.. bymalware.tistory.com 정적 분석 실제 정적 분석 시 가장 많이 ..
VMware(Windows 10 - 64bits) 악성 코드 분석 환경 구축(2)
VMware VM 생성 이전 포스팅에서 iso 파일 다운로드 후 실제 VM 을 생성하는 방법을 설명하였다. 2022.10.07 - [악성코드분석🍳/Windows] - VMware(Windows 10 - 64bits) 악성 코드 분석 환경 구축(1) VMware(Windows 10 - 64bits) 악성 코드 분석 환경 구축(1) VMware 란? 단 1대의 컴퓨터로 여러 대의 가상 PC를 사용할 수 있게 해주는 프로그램이다. 악성코드 분석 시 주로 동적분석할 때 사용하며 정적 분석은 일반적으로 로컬 PC에서 진행한다. VMware 내 동 bymalware.tistory.com VM 생성 이후 Windows 설치 VM 생성까지 정상적으로 진행했다면 "Power on this virtual machine" ..
VMware(Windows 10 - 64bits) 악성 코드 분석 환경 구축(1)
VMware 란? 단 1대의 컴퓨터로 여러 대의 가상 PC를 사용할 수 있게 해주는 프로그램이다. 악성코드 분석 시 주로 동적분석할 때 사용하며 정적 분석은 일반적으로 로컬 PC에서 진행한다. VMware 내 동적 분석을 하면서 악성 코드 후 모습을 하기 위해서는 실행이 필수적인데 Snapshot 기능을 사용하여 사용자가 원하는 시점(감염 점, 디버거 특정 시점 등)으로 돌아갈 수 있다. VMware 설치 구글 창에 vmware workstation 16 pro 를 검색하여 vmware 공식 사이트에 접속한다. 이후 Windows 용 Workstation 16 Pro 다운로드를 시작한다. 이후 Installer 에서 모두 Next 를 눌러 설치를 진행해도 상관없으므로 모두 Next 를 누르고 Licens..