분류 전체보기14 Office 문서 - 분석 시작하기 대부분의 Office류 악성코드들은 현재까지 공격자들이 많이 사용되는 형태로 대부분 이메일 첨부파일로 유입된다. 가장 많이 사용되는 것은 Doc, Xls, RTF로 보여지며 대부분 매크로 혹은 Exlpoit을 이용한다. 간단히 악성 이메일의 루틴은 이메일을 받아 첨부파일을 열게 되면 doc/xls 파일을 확인할 수 있다. 이때 파일을 실행 시키면 매크로 실행 여부가 나타나게 된다. 메크로까지 허용한다면 파일 다운로드 및 실행을 시도한다. 아래는 각각의 특징을 정리한 것으로 참고하자. 이메일의 특징은 간단하게 정리할 수 있다. 1. 시대적, 글로벌한 이슈들을 이용한다. - 코로나 백신, 치료제 혹은 북한 관련 뉴스 등 2. 목표를 정하거나 혹은 무작위로 뿌려진다. - 국제 배송 관련 메일 혹은 세금, 저작.. 2021. 10. 30. Pe 동작 기법들 DLL & Code Injection - 타 프로세스에 DLL 혹은 Code를 주입하여 악성 행위 동작 Self Creation - 자식 프로세스를 생성하여 악성 행위 동작 PE Image Switching - 타 프로그램의 프로세스 안의 PE를 악성 코드로 바꿔 실행 (껍데기 바꾸기) Debug Bloacker(Self Debugger) - 자식 프로세스를 Debugging 모드로 잡고 자식 프로세스에서 악성 행위 동작 Service Process - Service로 등록하여 실행 및 동작 Process Doppelganging 기타 [보일 때 마다 추가 할 것] 2020. 10. 18. 파일 암호화 관련 API CryptAcquireContextA CSP(Crystographic Service Provider) 핸들 얻기 CryptCreateHash 해쉬 만들기 CryptHashData 해쉬 값 계산 CryptDeriveKey 키 만들기 CryptEncrypt 암호화 CryptGetHashParam 해쉬 계산해서 얻기 CryptDecrypt 복호화 CryptAcquireContext 유저용 키 컨테이너 만들기 2020. 10. 18. 메모리 관련 API CreateFileMapping 파일을 메모리로 로드하는 파일 매핑 핸들을 생성하고 메모리 주소를 통해 접근할 수 있게 한다. 실행기, 로더, 인젝터는 이 함수를 이용해 PE 파일을 읽고 수정한다. GetProcAddress 메모리로 로드한 DLL에서 함수 주소를 검색 FindResource 리소스 찾기 SizeofResource 리소스 크기 확인 LoadResource 가상 메모리 포인터 반환 LockResource LoadResource한 메모리 실제 포인터 반환 MapViewOfFile 메모리로 파일을 매핑해서 메모리 주소를 통해 파일 내용에 접근할 수 있게 함, 수정 가능 ReadProcessMemory 원격 프로세스 메모리를 읽을 때 사용 Toolhelp32ReadProcessMemory 원격 .. 2020. 10. 18. 이전 1 2 3 4 다음