반응형 Rev/Info15 Python - Subprocess Error Traceback (most recent call last): File "", line 1, in File "c:\Python27\lib\subprocess.py", line 493, in call return Popen(*popenargs, **kwargs).wait() File "c:\Python27\lib\subprocess.py", line 679, in __init__ errread, errwrite) File "c:\Python27\lib\subprocess.py", line 896, in _execute_child startupinfo) WindowsError: [Error 2] The system cannot find the file specified 파이썬으로 간단한 스크립트를 만들때 s.. 2022. 3. 20. [Malware] Cobalt Strike Cobalt Strike는 사용 침투 테스팅 도구이며, 본 목적은 공격 시뮬레이션을 수행하는 소프트웨어이다. 보안전문가에 의해 합법적인 목적으로도 사용되지만, Crack버전을 활용해 실제 공격에도 사용되기에 단순히 악성코드로 보기에는 어렵다. Cobalt Strike는 크게 Beacon, Listener, Team Server(C&C 서버) 3가지로 구성되어 있다. 주로 분석하는 유형은 Beacon이다. Beacon은 공격 기능을 수행하는 Payload 이름이다. Beacon은 여러 악성코드와 마찬가지로 문서 파일 및 다양한 경로를 통해 설치된다. Beacon의 공격 기능으로는 PowerShell Script 실행, InfoStealer(Key Logger, Screen Shot, 파일 전송), SOCK.. 2022. 2. 25. Find Windows OS (ASLR) 먼저 ASLR은 PE파일을 메모리에 로딩할 때 Start Base Address를 랜덤하게 바꾸는 기법이다. (디버깅할 때에도 실행할 때마다 시작 주소가 바뀐다.) PE파일을 메모리에 로딩할 때는 .reloc 섹션을 참고해서 재배치한다. (DLL은 항상 재배치 고려해야해서 .reloc 섹션이 있다고 한다.) 악성코드를 분석하다보면, x86/x64의 문제가 아닌 OS에 따라서 PE파일이 실행이 되지않는 경우가 가끔 있다. 그럴땐 어떤 환경에서 해당 파일을 실행시켜야하는지 알아내야하는데, ASLR이 그 단서가 되기도한다. 예를 들어보면, 디버깅 도중에 특정 주소로 CALL/JMP 하는 명령어가 존재하고, 그 주소가 DLL 주소를 가리킴과 동시에 명령어 실행하자마자 프로세스가 죽어버린다면? 이 부분을 의심해보.. 2022. 2. 21. [Malware] Agent Tesla Agent Tesla는 주로 메일의 첨부파일을 통해 유포되는 Infostealer형 악성코드이다. 해당 문서파일에 있는 매크로의 Auto_open을 통해 주로 트리거되며, 인코딩된 매크로가 많다. 매크로된 함수의 내용은 대부분 악성 URL에 mshta 프로세스를 통해 접근하게 유도하는 형태이다. 이 과정에서 공격자는 최대한 매크로를 숨기거나 에러 경고창을 띄워 사용자의 관심을 돌린다. 악성 URL에 접근하면, URL에 내장된 악성 스크립트가 실행된다. 예를 들어 VBSCRIPT가 실행된다고 하면, 굉장히 많은 것들을 할 수 있다. 레지스트리 RunKey에 PowerShell명령어를 저장후 해당 명령어를 실행할 수 있고, 해당 PowerShell 명령어를 통해 추가 악성행위도 가능하게 된다. 개인적으로 유.. 2021. 12. 30. 이전 1 2 3 4 다음 반응형
