tmxklab

0. 목차 Contents 0. 목차 1. 악성코드 식별 1.1 해쉬 생성 툴을 이용하여 해쉬 값 생성 2. 다중 백신 스캐닝 2.1 웹 기반 악성코드 스캐닝 서비스(VirusTotal) 2.2 PE 분석 도구(pestudio) 3. 문자열 추출 3.1 도구를 이용한 문자열 추출 3.2 FLOSS를 이용한 난독화된 문자열 디코딩 4. 파일 난독화 파악 4.1 패커와 크립터 패킹 탐지 툴) 5. PE 헤더 정보 조사 5.1 파일 의존성과 임포트 조사 5.2 익스포트 조사 5.3 PE 섹션 테이블과 섹션 조사 5.4 컴파일 타임스탬프 조사 5.5 PE 리소스 조사 6. 악성코드 비교와 분류 6.1 퍼지 해싱을 이용한 악성코드 분류 Fuzzy Hash ssdeep 6.2 임포트 해시를 이용한 악성코드 분류 임..

0. 목차 Contents 0. 목차 1. 개요 1.1 악성코드개요 1) njRAT 2) njRAT 특징 1.2 분석 정보 1) 분석대상 2) njRAT 압축 해제 후 확인 2. 상세분석 2.1 파일 정보 확인 2.2 샌드박스 분석 2.3 악성행위 분석 1) njRAT 실행 2) builder [클라이언트 생성기] 3) 감염 확인 및 기능 파악 2.4 njRAT 패킷 분석 1) 지정된 포트로 세션 맺기 첫 세션 연결 시 전송하는 목록 2.5 빌더 소스코드 분석 1) 실행환경 검사(안티 VM & 샌드박스 & 디버깅) 2) USB 감염 3) 설치 (은닉, 방화벽 예외, 지속 메커니즘 설정) 4) 세션 생성 5) BSOD: 보호기술 3. 정리 4. 참고 자료 1. 개요 1.1 악성코드개요 njRAT의 설명에 ..

0. 목차 Contents 0. 목차 1. 소개 1.1 CVE-2017-8291 1.2 한글 파일 구조 1.3 EPS파일 로드 과정 1) Process 2) 추가 설명 3) 요약 2. 분석환경 3. 분석 3.1 문서 확인 3.2 PS파일 추출 3.3 포스트 스크립트 분석 3.4 PE파일 분석 3.5 행위 분석 1) 필터 적용 1 2) 필터 적용 2 4. 참고자료 4.1 한글 문서 유형 악성코드 관련 4.2 ghostscript 4.3 OLE Object 1. 소개 HWP 한글 문서형 악성코드는 문서파일 열람시 악성코드에 감염되는 유형으로 주로 한글 프로그램을 사용하는 공공기관이나 가상화폐 관련 기업 등의 대상을 공격하는 타깃형 공격이 2010년 이후부터 꾸준히 발생하였다. 과거에는 한글 프로그램 자체의 ..