[분석문서] 시스템파일(Comres.dll)을 감염 시키는 악성코드 1. 개요 최근의 악성코드들이 시스템 Dll파일을 변조 또는 교체하는 방식을 많이 사용하고 있다. 이러한 방식을 쓰는 이유는 시스템 Dll 파일을 조작하면 악성코드는 사용자의 눈을 피해 시스템에 오래 살아남을 수 있기 때문이다. 하지만 윈도우 운영체제는 WFP(Windwos File Protection)이라는 기법으로 시스템 Dll을 보호하고 있다. 이번 악성코드 분석에서는 WFP기법을 해제하는 방법과 악성파일의 행위에 대해 알아보자. 2. 악성코드 분석 2-1. 유포경로 - 변조 된 사이트에서 전파 되는 것으로 확인되며, 사용자 PC에 취약점이 존재하면 악성파일을 다운로드 한다. 사용 된 취약점은 CVE-2010-0806 IE취약점으로 2010년 3월 9일에 0-Day로 발견되어 2010년 3월 31일.. 2011. 4. 17. [강좌] 쉘코드(ShellCode)를 OllyDbg로 쉽게 디버깅 해보자 지인분께서 악성스크립트에 들어간 쉘코드 분석방법에 대해서 문의하셔서~^^ 간략하게 글을 적어봅니다. 이 글은 보통 악성 스크립트들을 Malzilla로 분석하는데 있어, 못하는 부분들이 있기 때문에 이런 방법을 많이 사용하고 있습니다. 물론 저는 그렇구요^^; 다른 분들은 어떻게 분석하는지 모르겠네요!! ㅎㅎ - Malzilla : http://malzilla.sourceforge.net/downloads.html - OllyDbg : http://www.ollydbg.de - UltraEdit 1. 우선 파일을 UltraEdit로 오픈합니다. 그럼 다음과 같이 쉘코드로 보이는 문자열들이 보입니다. 이 문자열들을 복사합니다. (주의) 중간에 "+" 이라는 문자들은 모두 공백으로 바꾸어줍니다^^.. 2010. 11. 6. [PDF 취약점]Adobe Acrobat Reader 0-day 취약점(CVE-2009-4324) 이 파일은 Adobe Acrobat Reader의 0-day로써 이메일로 전파 되고 있다. 악성파일의 크기는 현재 발견 된 것은 모두 400,918 바이트 크기를 가지고 있다. 상세분석을 하기에는 너무 시간이 걸릴 듯 하여 ㅠ_ㅠ, 간략하게 요약한다. 우선 E-Mail로 전파 된 악성 PDF 파일을 살펴 보면 다음과 같은 스크립트가 존재한다. 어떤 취약점 Exploit이라도 힌트는 항상 존재한다는 것을 명심해야 한다. (그림1, PDF 파일 안에 존재 하는 스크립트 화면) 다음은 그림1의 스크립트를 복호화 한 내용이다. 이때까지만 해도 이 쉘코드에 다운로드 주소가 있을것으로 추정하고 있었다(ㅠ_ㅠ) 하지만, 해당 쉘코드는 PDF안에 있는 PE파일을 특정위치로 드롭시키는 코드와, 오버플로우를 발생시키는 코.. 2009. 12. 17. [Ollydbg]올리디버거 버그(Float 처리 실패) 디버깅을 하다 보면 참 여러가지 난관에 봉착하게 된다. 이중 하나가 안티디버깅(Anti Debugging) 이다. 개발자가 디버깅을 통해 내부 코드를 공개하기 싫다거나, 디버깅 자체를 막기 위해서 사용하고 있다. 하지만 지금 얘기하는 Float 버그는 올리디버그 프로그램의 버그이다. 현재 많이 알려져 있는 버그로써, Floating-Point Bug 라고 불려지며 올리디버거가 FlD 명령어를 모두 처리하지 못하여 발생하는 버그이다. 분석을 하면서 악성파일이 버그가 적합된건 처음이기 때문에 포스팅을 해둔다(물론 내가 처음본거다 ㅡ.ㅡ; 오해하지 말길 ㅋㅋ) 또한 이것도 어떻게 생각하느냐에 따라서 안티디버깅이 될 수도 있다^^; 우선 코드를 살펴 보자~ 코드를 보게 되면 , 이런 부분을 볼 수 있다. db .. 2009. 12. 3. [정보보호21C]3부 웹 서버 해킹을 통한 악성코드 대량 배포 유행 3부로 웹서버 해킹을 통한 악성코드 댜량배포에 대한 자료이다. 하루가 다르게 변하고 새로운 기술들이 생겨나는 오늘 날, 악성코드 또한 그에 발 맞추어 함께 발전을 해왔다. 분석에 있어서 혼란을 가져오는 안티 디버깅 기능에 대한 발전과 함께 기존에 없었던 새로운 기능을 추가 하는 등 많은 변화가 있었지만 그 중 가장 큰 발전이라 함은 악성코드의 유입경로에 대한 다양화라고 볼 수 있을 것이다. 초창기 바이러스가 처음 발견된 시점, 수동적으로만 전파되어오던 바이러스와는 다르게 근래에 전파 방법이라 함은 과거로선 상상조차 할 수 없을 정도로 다양해졌다. 메신저, 이동식저장장치, e-mail 등 많은 여러 가지 방법으로 전파가 되었지만 근래에 가장 문제가 되는 방법은 웹 해킹에 따른 악성코드의 유입이라고 할 수 .. 2009. 9. 10. [강좌] UCS2를 Hex로 변환해보자!! 저번주에 블로그에 방문해 주신 OO님께서 PDF취약점 분석글을 보시고, USC2를 Hex값으로 변환하는 방법에 대해 문의하셨다. 우선 블로그 방문에 감사의 말씀을 드립니다 ㅎㅎ 별거없지만~ 그래도 변환방법을 하나씩 말씀드리겠습니다. - Malzilla : http://malzilla.sourceforge.net/downloads.html - OllyDbg : http://www.ollydbg.de - UltraEdit 1. 우선 파일을 UltraEdit로 오픈합니다. 파일을 오픈하면 다음과 같은 Script를 확인 할 수 있습니다. var 부터 ~ (p); 까지 복사합니다. (주의 : 마지막부분인 (p);에서 마지막 ) 까지 복사하면 Malzilla가 디코딩을 못해주니 주의하세요) 2. 복사.. 2009. 8. 3. [정보보호21C]1부 사람의 심리를 이용하여 설치하게 하는 악성코드 Waledac 정보보호 21C 연재되었던 내용이다. 내가 쓴건 아니고, 팀내 심대리님이 작성한 내용이다. Waledac, 사회공학 기법 이용해 배포, 실행유도Waledac은 2008년 말부터 주로 사회적 이슈를 이용한 사회공학 기법(사람의 심리를 이용하는)으로 배포하고 실행을 유도하거나 다른 프로그램 등으로 위장하여 배포를 하고 있으며 지금도 계속 배포하고 있다. 크리스마스, 미국 대통령선거, 테러 뉴스, 밸런타인데이 및 최근에는 타인의 SMS(문자메시지)를 훔쳐 볼 수 있다는 프로그램으로 위장했다. 외국 유명 언론사를 사칭하여 테러뉴스를 가장한 페이지에 Geo IP를 사용하여 자신이 위치한 지역의 이름을 붙여서 사용자 주변에서 테러가 발생한 것처럼 보이게 하는 노력(?)을 보이기도 했다. 다행히 배포되는 도메인은 지.. 2009. 7. 21. [정보보호21C]2부 메신저로 전파되는 악성코드의 실체 정보보호 21C에 전달 된 문서내용이다. 그런데 오늘아침 기사화로 나간 것을 확인하였다;; 왜 이게 기사화가 되었을꼬 ㅜ.ㅜ 챙피하게 ㅋㅋ 총 3부로 연재 되었으며, 현재 1,2회가 나온 상태며 8월 초에 3회가 나온다. 1부 : http://www.boannews.com/know_how/view.asp?idx=2630&numm=2260&kind=03 2부 : http://www.boannews.com/media/view.asp?idx=17177&kind=⊂_kind= 3부 : http://www.boannews.com/know_how/view.asp?idx=2713&numm=2342&kind=03 기사화 된 김에 원본으로 쉽게 볼 수 있도록 업로드 하였다. 인터넷의 발달로 인하여 많은 인스턴트 메신저(.. 2009. 7. 21. 이전 1 2 다음