모두의 dream

보호되어 있는 글입니다.

APT 37 그룹의 악성코드 RokRAT에 대한 분석 내용.인터넷 상에 공유되어 다운로드 받을 수 있는 RokRAT 악성코드를 다운로드 받아서 분석을 진행했다. 현재 학습 중인 내용상 lnk 파일에 숨겨져 있는 스크립트에 대한 내용만 공부하고 싶어 바이너리 분석은 별도로 진행하지 않았으며 추후 분석이 가능해진다면 추가해볼 예정이다.I. 악성코드 정보파일명: (안보칼럼) 반국가세력에 안보기관이 무기력해서는 안된다.lnkHash (MD5): 2A12C48F3755D5EC762BF22215A34C19II. 악성코드 동작 과정lnk 파일에는 악성코드를 드롭, 실행하기 위한 스크립트와 악성파일, 사용자를 속이기 위한 정상 한글파일이 함께 들어있다.악성코드를 실행하면 각각 아래 경로에 파일이 드롭되고, 한글 파일과..

공부를 하며 정리한 내용으로 잘못된 내용이 있을 수 있습니다.dnSpy를 이용하여 분석했습니다. (닷넷 디컴파일) 보안 뉴스https://m.boannews.com/html/detail.html?mtype=6&tab_type=1&idx=106420 새로운 랜섬웨어 오닉스, 파일들을 파괴한다IT 외신 블리핑컴퓨터에 의하면 오닉스(Onyx)라는 이름의 새로운 랜섬웨어가 등장했다고 한다. 파괴적인 목적을 가지고 운영되는 것처럼 보인다. 피해자들이 돈을 지불하더라도 파일을 복구시키m.boannews.com1. 정적분석Windows7 32bit 에서 분석했다. detect it easy 에서 확인한 결과 .NET 기반으로 제작된 악성코드이다. (C#으로 개발됨.) 새로운 랜섬웨어 오닉스, 파일들을 파괴한다 (bo..

공부를 하며 정리한 내용으로 잘못된 내용이 있을 수 있습니다.x64dbg와 IDA를 이용하여 분석했습니다.블로그에는 가독성을 위해 IDA 코드를 위주로 사진을 첨부했습니다.Detail 포스팅: HermeticWiper Malware (Detail) (tistory.com) 보안 뉴스https://m.boannews.com/html/detail.html?idx=105334 러시아-우크라이나 전쟁이 사이버 공간에 미치는 영향우크라이나에서의 위기 상황이 고조되고 있으며, 러시아는 생각보다 승리를 쉽게 쟁취하지 못할 것처럼 보인다. 이 때문에 생각지도 못한 효과들이 나타나고 있다. 먼저는 난민들이 더 오랜 시m.boannews.com 1. 정적분석Windows7 32bit 에서 분석했다. (Windows10 에..

공부를 하며 정리한 내용으로 잘못된 내용이 있을 수 있습니다. x64dbg와 IDA를 이용하여 분석했습니다. 블로그에는 가독성을 위해 IDA 코드를 위주로 사진을 첨부했습니다. Detail 포스팅에는 정말 자세하게 함수 하나하나 분석한 내용이 정리되어 있습니다. 보고서: HermeticWiper Malware analysis report (tistory.com) 1. 정적분석 Windows7 32bit 에서 분석했다. (Windows10 에서도 정상적으로 작동 됨.) 32bit exe 실행파일임을 Detect It Easy 를 이용하여 확인했다. virus total 검색을 통해 이 악성코드의 이름을 찾을 수 있었다. 이름은 HermeticWiper, 우크라이나·러시아 전쟁에서 사이버공격에 사용된 악성코..