분류 전체보기14 DLL Load & 분석 방법 DLL은 Rundll32.exe를 이용하여 load하며 인자값이 사용된다. rundll32.exe , 익스포트 함수가 없는 경우 rundll32.exe , 익스포트 함수가 있는 경우 rundll32.exe , 익스포트 인수를 갖는 경우 rundll32.exe , DLL Injection DLL Injection을 시도하여 분석 x64DBG rundll32.exe를 x64DBG로 디버깅 후 Command Line에 알맞는 , or 를 넣은 후 악성 DLL에 대해 Add DLL Break Point 를 하여 진행한다 2020. 10. 13. 일단 들이 박고 나중에 정리한다! Accept 들어오는 연결을 리스닝할 때 사용한다. 수신연결을 리스닝하고 있다는 뜻 AdjustTokenPrivileges 특정 권한을 활성화하거나 비활성화할 때 사용한다. 프로세스 인젝션을 행하는 악성코드는 종종 추가 권한을 얻기 위해 이 함수를 호출한다. AttachThreadInput 두 번째 스레드가 키보드나 마우스 같은 입력 이벤트를 수신할 수 있게 하나의 스레드가 다른 스레드의 입력을 처리할 때 사용한다. 키로거나 스파이웨어가 사용 bind 들어오는 연결을 리스닝할 목적으로 로컬 주소에 연관 지을 때 사용 Bitblt 한 장치에서 다른 장치로 그래픽 데이터를 복사할 때 사용 화면을 캡처하는데 사용하기도 함 CallNextHookEx SetWindowsHookEx가 설정한 이벤트를 후킹하는 코드.. 2020. 10. 13. Office Macro 분석 공통점 Office Macro를 이용한 공격들을 보면 대부분 코드들이 난독화가 되어 있거나, 쓸대 없는 쓰래기들로 가득 가득하다. 그래도 자체적으로 한줄씩 실행을 시켜서 끝까지 보고 어디서 실행되는지 확인하자. 변수의 내용을 확인하고자 한다면 Debug.Print 변수를 활용하거나 옵션들을 잘 찾아보면 변수들의 내용이 아주 친절하게 보인다. 2020. 10. 13. 무식하게 분석해보려면 이렇게 해보자 난독화는 메모리에서 복호화가 되어 변수에 저장 및 실행된다. 이것(?)을 노려서 저장 및 실행되는 변수를 파일로 저장시키고자 잔머릴 굴려서 찾아본 내용이다. 단점은 난독화가 여러번 되어 있다면 좀 난감한 코드를 보게 된다... 음... 그냥 x64dbg에 올려서 분석을 추천한다 VBS 1. 파일 및 폴더 생성 -> 내용보기 Dim objFS, objFile, path set objFS = CreateObject("Scripting.FileSystemObject") Set WshNetwork = WScript.CreateObject("WScript.Network") path = "C:\Users\"& WshNetwork.UserName &"\Desktop\vbscript" objFS.CreateFolder.. 2020. 10. 13. 이전 1 2 3 4 다음