반응형 Rev38 [Malware] Rootkit 루트킷(Rootkit)은 시스템의 루트 권한을 얻는 도구(Kit)이다. 초기에는 이미 장악한 시스템에서 해커가 다시 Root권한을 손쉽게 얻기위해 심어놓은 백도어를 지칭했지만, 점차 보안 프로그램이나 OS로부터 악성코드를 보호하고 은닉하기 위해 제작된 프로그램을 지칭하게 됐다. 1) 1세대 루트킷 1세대 루트킷은 운영체제의 커널이나 시스템 프로그램을 바꿔치기 하는 방법을 이용해 시스템 접근을 용이하도록 만드는 프로그램들이다. 이와 같은 형태의 루트킷은 파일의 무결성 검증을 통해 방어가 가능하다. 2) 2세대 루트킷 2세대 루트킷은 무결성 검증을 우회하기위해 메모리 공간에 로드된 코드를 수정하는 방법을 사용한다. 해당 방법을 통해 코드 뿐만 아니라 서비스 처리코드, 하드웨어 인터럽트 처리 코드, MSR 레.. 2021. 12. 29. [Malware] Formbook Formbook 악성코드는 메일의 첨부파일 형태를 통해 주로 인포스틸러 행위를 하도록 유포되는 악성코드이다. 인스톨러나 내부의 악성코드를 포함한 PE파일의 형태로 유포되고, Dephi, VisualBasic, .NET과 같이 다양한 형태로 패킹되어 유포된다. 악성코드를 실행시키면, 주로 AV의 로직을 갖는다. 샘플명의 이름을 확인, 실행중인 백신 프로세스 확인, vmtools 프로세스 실행 여부 확인 등 다양한 로직을 거친다. 이후, 인코딩된 Formbook Binary를 디코딩하여 인젝션을 하는 과정을 많이 보여준다. 인젝션 타겟은 주로 재귀 실행된 자기 자신이고, 인젝션된 FormBook Binary는 다른 정상 실행파일을(주로 System32 | SysWOW64 경로의 실행파일) 실행시키고 인젝션한.. 2021. 12. 27. [Excel] Very hidden Sheet VBA Macro 엑셀문서로 위장한 악성코드는 대부분 VBA 매크로를 활용한다. 공격자는 해당 매크로를 들키지 않기위해 난독화를 해놓거나, Sheet를 숨겨놓거나 하는 방법을 주로 사용한다. Sheet를 숨기는 속성은 Hidden 속성과 Very Hidden 속성 두 가지 속성이 존재한다. Hidden 속성은 그냥 Sheet 탭에서 숨기기 취소를 통해 숨겨놓은 Sheet를 활성화 시킬 수 있지만, Very Hidden 속성은 그 방법이 유효하지 않는다. 이를 해결하기위해서는 Hxd로 숨기기 속성에 인자를 바꾸거나 (Sheet에 이름을 검색해서 접근한다.) 아래의 코드를 VBA 매크로로 한 번 돌리면 된다. Sub UnHide() Dim ws As Worksheet For Each ws In Sheets ws.Visible.. 2021. 12. 27. IDA Plugin 개발 - 1 아주 예전에 잠깐 해봤었던 IDA Plugin 개발에 대해 간략하게 적고자한다. IDA Plugin을 개발하기 위해서는 IDAPython을 활용해야 한다. 먼저 References 더보기 IDA 파이썬 공식 API 레퍼런스: https://www.hex-rays.com/products/ida/support/idapython_docs/ IDA 파이썬 공식 예제 모음: https://github.com/idapython/src/tree/master/examples IDA 파이썬 가이드 모음: https://reverseengineering.stackexchange.com/questions/11391/good-training-for-idapython IDA 파이썬 간단 가이드 (한글): https://susp.. 2021. 6. 24. 이전 1 2 3 4 5 6 ··· 10 다음 반응형
