4-2. 2024-1 심화 스터디/윈도우 악성코드분석 (6) 썸네일형 리스트형 [악성코드 코드 분석] Temp 폴더에서 의심스러운 실행 파일을 실행함으로써 시작되어 추가적인 파일 생성과 시스템 서비스 및 프로세스 조작이 이루어지는 일련의 사건초기 실행 파일이 자식 프로세스를 생성하면서 시작일부는 네트워크 작업과 특정 서비스를 중지하는 관련 명령을 실행특정 서비스를 삭제하고 프로세스를 종료하는 명령MALICIOUSDrops the executable file immediately after the starta605b2ad567ceab740ec847beefec7140a65e91651d739940c0ca51c02430174.exe (PID: 3912)a605b2ad567ceab740ec847beefec7140a65e91651d739940c0ca51c02430174.exe (PID: 6388)a605b2ad56.. [악성코드 코드분석] 보호되어 있는 글입니다. [악성코드 매뉴얼 분석] LockBit 악성코드 매뉴얼 분석 PEB 구조체에서 NtGlobalFlag 값이 0x70으로 설정되어있다면 디버깅 중이라는 것을 의미합니다. 만약 디버깅 중이라면 무한루프를 돌도록 안티디버깅 기술을 사용하였습니다. 연산의 결과로 “gdiplus.” 문자열을 얻을 수 있습니다. Windows GDI+는 C/C++ 프로그래머를 위한 클래스 기반 API입니다. 이를 통해 애플리케이션은 비디오 디스플레이와 프린터 모두에서 그래픽 및 서식이 지정된 텍스트를 사용할 수 있습니다. GDI+ GDI+는 다음과 같은 주요 기능을 포함합니다: 2D 그래픽 처리: 선, 도형, 텍스트 등 다양한 그래픽 요소를 그릴 수 있습니다. 이미지 처리: 다양한 이미지 형식(JPEG, PNG, BMP 등)의 로딩, 저장, 그리기를 지원.. [악성코드 정적 및 동적 분석] 애드웨어 동적 분석 process explorer 현재 동작 중인 모든 프로세스를 실시간으로 보여주고, 새로 실행되거나 종료되는 프로세스도 보여준다. 시스템에서 File의 변화(추가, 삭제)를 실시간으로 모니터링하는 도구이다. Registry의 변화 역시 실시간으로 모니터해주며, 시간별로 로그가 계속해서 기록된다. LOCKBIT 2.0 동적 분석 처음 실행시킨 LockBitRansomware.exe 파일의 프로세스를 확인할 수 있고, 실행 후에 금방 종료됩니다. 이후 DLLHost 파일로 LockBitRansomware.exe 파일을 다시 실행시킵니다. DLLHost.exe 파일은 Microsoft Windows 운영 체제에서 COM 객체의 호스트 프로세스로 사용되는 파일입니다. Dllhost.exe는 .. [악성코드 정적 분석] 정적분석이란? 정적분석(static analysis)은 소프트웨어 개발에서 사용되는 소프트웨어 품질 관리 기법 중 하나입니다. 이 기법은 소스 코드를 실행하지 않고도 코드를 분석하여 프로그램의 동작을 예측하고 품질을 평가합니다. 정적분석은 프로그램의 구조, 흐름, 데이터 사용 등을 검토하여 잠재적인 버그나 보안 취약점을 식별하고 개선할 수 있는데 주로 사용됩니다. 정적분석을 하는 이유? 정적 분석 도구를 사용하면 코드에서 보안 취약점 등의 문제를 발견할 수 있다. 잠재적으로 버그가 발생할 수 있는 코드 안티 패턴 코드 스타일(컨벤션) 위반 여부 성능 문제 오타 사용되지 않는 코드 잠재적인 보안 취약점 정적분석 실습 (1) - 애드웨어 분석 정적분석 실습 (2) - LockBit 랜섬웨어 분석 2021년 .. [악성코드 분석 개요] 분석할 악성코드: 에드웨어, Conti 랜섬웨어, LockBit 악성코드, KPOT 악성코드 각 악성코드에 대한 간단 요약 에드웨어 소프트웨어 자체에 광고를 포함하거나 아니면 같이 묶어서 배포하는 것 프로그래머가 소프트웨어를 개발하면서 개발 비용을 애드웨어를 통해서 충당할 목적으로 주로 사용 어떤 경우는 사용자가 무료 또는 아니면 할인된 가격으로 프로그램을 사용하도록 하는 조건으로 광고를 삽입 광고를 통해 얻은 수입은 프로그래머가 소프트웨어 제품을 작성, 유지 또는 업그레이드를 할 수 있는 동기를 부여 Conti 랜섬웨어 비지니스 환경 대상으로 하는 파일 암호화 랜섬웨어 LockBit 악성코드 2022년에 전 세계에서 가장 많이 배포된 랜섬웨어 변종 금융 서비스, 식품 및 농업을 포함한 다양한 중요 인프.. 이전 1 다음