Mylabs

CN 이라는 이름으로 시작하는 특정 악성코드 중 추가적인 악성코드를 다운로드 하며, 특정 계정을 생성하는 악성코드가 발생하고 있습니다. CN1.exe , CN1.vbs 등 패밀리화 된 형태로 활동하는 것으로 추정되며, VBS 스크립트가 " feng " 이라는 계정을 생성합니다. " feng " 계정은 Administrators 그룹으로 생성되며, 비밀번호는 계정이름과 동일합니다.

아주 구식이 된 내용들이지만, 하나하나 짚어 가면서 작성해 보았다. Anti-Debugging 루틴들중 PEB 구조체의 필드값을 참조하는 방법에 대한 내용이다. ( 물론 문서의 내용 중 일부분은 틀린 내용일 수 있음을 알려드립니다. ) 늘상 술마시면 얘기하는 거지만, 자기가 아는 것이 100% 라고 믿는것은 큰 착각이라고 생각한다. 또한 100% 만족이란 없는 것 같다. ^^

.process (Set Process Context) The .process command specifies which process is used for the process context. 힘들다...Windbg 와 친구먹기.. ㅠㅠ

최근 WPF 에 의해 보호받고 있는 시스템 파일들을 변조하거나, 교체하는 악성코드가 많이 나오고 있다. 때문에 wpf를 무력화 하는 코드도 포함하고 있는 경우들이 많다. Linkinfo.dll 을 비롯해, 얼마전엔 comres.dll 이 기승을 부리더니, 몇일전부터 Usp10.dll 이 문제를 일으키고 있다. 일반적으로 배포되는 어플리케이션에서 특정 시스템 dll을 사용할 경우, 해당 dll 이 어플리케이션의 절대경로에 존재한다면, %system% 시스템 디렉토리가 아닌 자신의 절대경로에 있는 dll을 호출하게 된다. Usp10.dll로 위장한 악성코드는 그 점을 이용하여 확산되고 있다. 해당 악성코드는 DisableThreadLibraryCalls() 를 이용하여, THREAD_ATTACH 와 DETA..

1. 수요와 공급의 관계에 있어서, 나 자신이 대체될수 없는 존재로 매김하게 자신을 끊임없이 발전시켜라. 2. 자신이 가야할 길을 정하라. 명확한 목표를 정하고, 그 곳을 바라보며 달려라. 3. 무엇이 자신을 행복하게 하는지 생각하라. - 어둠을 저주할 시간에 단 하나의 양초를 켜라 - 박진영 "미안해" 중..

악성코드가 점점 진화하고 있고, 그에 대한 대응 및 분석에 대한 내용이다. 실로 악성코드는 분석가와 안티바이러스 엔진의 탐지회피를 위해, 하루하루 그 기법이 발전되고 있다. 대표적인 사례인 Cutwail (Win32.Protector.A~C) 에 대한 언급도 기사에 실려있다. 스팸메일의 45.8%를 차지하였다고 하니, 꽤 많은 확산이 이루어진듯 하다. http://www.boannews.com/media/view.asp?page=1&idx=18406&search=&find=&kind=1

파일 바이러스. EP 부터 일부 바이트와 코드섹션의 일부분을 블럭 패치한다. EP 에서 패치된 바이트는 자신의 코드로 점프하고, 악성행위를 시작한다. 정상코드는 암호화되어서, 파일 뒤쪽에 붙어 있다. 이 놈의 복호화 로직은 조잡하다 조금 -_-; 여기저기 정상 코드 퍼뜨려 놓고, 특정 메모리에 공간을 할당하고, 거기다가 옮겨서 복호화를 수행하고, 코드를 원복시킨다. 나쁜아이~ -0- Tank 바이러스는 꽤 오래전에 만들어진 것으로 추정된다. E9 F36CFFFF JMP 01002B30 ; EP EB 14 JMP SHORT 01002B46 58 2D 54 61 6E 6B 00 ASCII "X-Tank",0 4D 61 64 65 20 69 6E 20 55 53 53 52 00 ASCII "Made in US..

요즘 재부팅에 장애를 일으키는 악성코드가 이슈이다. 그 악성코드와 관련된것으론 보이지 않으나, 재부팅에 문제가 생기는 또다른 악성코드 이다. 악성코드 제작자들의 의도인지 아닌지는 모르겠으나, 파일의 권한 문제, 잘못된 레지스트리 정보, 악성코드 파일의 위치 문제 등 시스템의 부팅이 원할하게 되지 않는 악성코드가 지속적으로 발생하는 것 같다. 다음의 악성코드는 이메일로 전파되며, 링크를 클릭하면, patch.exe파일을 다운로드 하게 유도한다. 실행 후 재부팅하면 블루스크린이 지속적으로 발생하여 시스템에 영향을 준다. 안전모드 부팅 후 해당 파일과 레지스트리를 삭제하면 다시 원래대로 부팅은 가능하다. 악성코드는 실행시 최초 미국의 특정 서버로 정보를 2번 전송하며, 해당 정보는 정확히 어떤 정보인지 아직 ..

한참 지난 사진을 이제서야 올린다. 과천 경마공원에서 우연찮게 이벤트를 보게 되었고, 그곳엔~~!! 현정화 감독님이 있었다! 사람들과 돌아가면서 현정화 감독님을 이기는 탁구 시합이 벌어졌고, 그중 한 남자분은 어렸을때, 뒤에서 볼보이 한 인연이 있다며 같이 게임을 하기도 했다. ㅎ 옆에 크게 나온 얼굴은 모르시는 분,, 죄송합니다.. 얼굴이 안나와서 딱히 모자이크 처리는 안했습니다. ㅠㅠ

작성한 6월 보안칼럼에서 ndis.sys를 변조시키는 악성코드에 관해서 언급했었다. 당시 Sality 파일바이러스 심층분석으로 골머리를 썩고있는 상황이어서, 미루고 미뤄두었던 악성코드이다. CodeEngn 2009에서 고흥환님께서 발표하신 내용중에 일부이기도 한 악성코드이다. 간단하게 분석한 내용을 적어본다. [ Win32.Protector.A ~ C ] 정상파일을 변조시키는 행동은 파일바이러스와 일맥상통하는 부분이지만, 추가적인 2차 감염을 발생시키지는 않는다. Virut 파일 바이러스들 중 일부가 ndis.sys 커널 드라이버를 변조시키는 사례가 많이 발생됐었다. 그리고 최근에 다시 이슈화 된 AntiVirus 2010 계열의 허위백신은 같은 골격으로 ntfs.sys를 변조시키며, 해외와 국내에 ag..

유명 브랜드 인터넷 주소로 위장한 URL 스푸핑이 증가하고 있다고 하네요. IDN 과 퍼니코드(Punycode)에 대한 간략한 설명도 포함되어 있습니다. - 보안뉴스 http://www.boannews.com/media/view.asp?page=1&idx=17757&search=&find=&kind=1

건담과의 만남! 얼마전 TV에서 '남자의 자격'을 봤다. 요즘 참 재밋는 예능 프로다 ㅋ. 케이블 재방송으로 보고있는데 남자들의 새로운 취미에 관한 방송분 이었다. 이경규씨부터 시작해서 모두들 웨이크 보드의 매력에 빠지고 있었다. ㅋㅋㅋ 나도 지난 여름 워크샾을 통해 배워본 웨이크 보드~! 너무나도 재밋고 남자라면 꼭 한번 해봄직한 스포츠 인것 같다. 난 앉아서 타는거도 한참 걸렸는데,,, 방송에선 어찌어찌 다들 바로 서서 타길레.. 조금 맘 상하긴 했다 ㅠㅠ 방송을 보며 한가지 느낀것은 내 생활에 취미활동이 딱히 없어보였다.. -0- 예전처럼 축구를 자주 할 수 있는것도 아니고, 퇴근해서 밥먹고 씻으면 자야할 시간이니 이거뭐.. ㅋㅋ 어렸을때부터 좋아했던 장난감이 생각난다.. 손으로 만들고 부시고, 만..

정말 오랜만에 포스팅인,,, 글 하나 올리기가 시간적인 여유나 꾸미기가 쉬운일이 아닌거 같다 'ㅁ' 앞으론 차곡차곡 잘 적어나가야 할듯 하다. PE포멧을 보기위해 많이들 사용하는 PEview에서 문제점을 발견했다. 머 아시는 분들도 많겠지만, 오랫동안 쉬었던 블로그를 위해(?)....ㅎㅎ 결론부터 말하자면, [그림 2]가 올바른 VA값을 나타내어 준다는 것이다. [그림 1] 처럼 파일이름을 선택한 상태에서 우측분할창의 HEX값들은 정확히 RVA값을 통한 계산이 아닌 단순 파일의 첫 시작부터의 순차적인 offset에 ImageBase 값만 더한것으로 보인다. 분석할 시에 VA를 직접 계산할 수도 있지만, 조금이라도 편한것이 좋아 툴을 사용하는 것이니, 앞으로 PEview를 사용하다가 VA값을 알고 싶다면 ..

2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (1) 2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (2) 2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (3) #3 - wversion.exe 이번 공격의 핵심이 되는 wversion.exe를 살펴보도록 하겠습니다. - Thread를 생성하는 Main함수의 코드부분. - Write할 내용에 대한 메모리 할당 - 할당된 버퍼에 공격할 문자열 셋팅 - 준비된 공격문자열을 OverWrite하기위한 준비과정 악성코드는 현재의 유효 물리적 디스크의 MBR영역을 검색 한다. ..

2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (1) 2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (2) 2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (3) #1 - wmcfg.exe 1. 리소스 파일 Drop 2. Dropfile mstimer.dll 서비스 등록 4개의 리소스를 드랍하게 됩니다. 상위 2개는 레지스트리쪽 값으로 추정되며, 중요한 것은 하위 2개의 리소스 파일들입니다. 2개의 파일은 각각 mstimer.dll wversion.exe 으로 구성되어 있습니다. wversion.exe는 flash...

2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (1) 2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (2) 2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (3) MBR를 OverWrite 하고, PE가 아닌 일반 어플리케이션 관련한 파일들을 .gz으로 바꾸는 시스템에 치명적인 행위를 하는 공격이 시작되었습니다. 해당 공격은 2009-07-10 00시를 기점으로 시작됩니다. 해당 악성코드들에 대해 알아 보시죠. 6일부터 시작되었던 DDOS에 대한 내용은 따로 기재할 것이며, 긴급한 사항인 만큼 현재 대응하고 있는 "..

안티디버깅을 위한 인터럽트 INT 2D 를 얼마전에 접하게 되었다. 그 때문에 여러가지 문서들을 검색하다가 올리디버거 플러그인 하나를 만나게 되었다. 안티디버깅 코드 우회와 갖가지 참 좋은 기능이 많은 플러그인듯 하다. 유명해 보이는 플러그인인데, 난 여지까지 안쓴것 같은.. ㅋ [ ollydbg 에서 좌측 하단의 dump 창의 모습 ] - 디버깅할때에, dump창을 5개로 늘려주며 5군데의 코드 변화를 편하게 볼 수 있는 장점이 있다. [ StrongODv0.2.3 의 option 화면 ]

2009년 6월달 하우리 보안칼럼이다. 쓰다보니 내용이 이리 많아졌다... 킁.. 역시 머리속 생각을 한글로 풀어쓰는 것이 얼마나 어려운지 다시금 느꼈다. http://www.hauri.co.kr/customer/security/colum_view.html?intSeq=90&page=1&keyfield=&key=

하는 업무에 따라 또는 개인의 취향에 따라 리버서들은 서로 다른 툴들을 사용할 것이다. 느닷없이 오후에 ida pro에서의 디버깅을 하고싶었다 -ㅁ- 결과는 쉴세없이 내뿜는 Access violation... olly에서는 잘 attach되는 코드가... Exception처리 문제 인지 확인해보려고 했지만, 오류창은 느닷없는 "idag.exe" 가 원인임을 알려주고 있었다. address 00000000 을 참조한다는데,,, ida 너 뭔데 거기를 .....ㅡ0ㅡ 알수없는 오류에 친구 2명을 괴롭혔지만 눈으로 보지 못하는 상황에 친구들도 답답해 하며, 문제원인을 찾긴 힘들었다. 결국 구글신에게 여쭤본 결과... http://singrever.wordpress.com/2008/10/23/ida-pro-52..

http://www.f-secure.com/weblog/ f-secure사의 웹블로그 주소다. 악성코드 분석에 대한 강의를 최근에 한것으로 블로그에 기재가 되어있었다. 친철하게 자료까지 올려져 있다. 웹블로그를 운영하면서, 자사에 대한 다양한 정보들을 제공하고 있다. 최근 올라온 악성코드 분석에 대한 링크는 아래 주소이다. http://www.f-secure.com/weblog/archives/00001663.html