Malware Analysis(악성코드 분석)

Gallery

Search

1. 개요

1.1 분석 수행 인원

이수영

1.2 파일 정보

1.3 Time table

2. 악성코드 상세 분석

2.1 inovoice-019338.pdf 분석

(1) pdf 내의 의심스러운 키워드 찾기

inovoice-019338.pdf 악성코드 분석

1. 개요

1.1 분석 수행 인원

이수영

1.2 파일 정보

1.3 Time table

그림 추가 예정

2. 악성코드 상세 분석

2.1 주간 국제 안보군사 정세.hwp 분석

(1) HWP 파일 내에 의심스러운 스트림 찾기

주간 국제 안보군사 정세.hwp 분석(작성중)

1. 개요

1.1 개요

해당 악성코드는 Banker형 Trogan으로 외부의 해킹을 통해 정상적인 동영상플레이어 설치파일에 악성 파일을 심어 유포하고 있다. 일반 사용자는 정상적인 설치파일과 변조된 설치파일을 구분하기 어려워 사용자가 의심없이 다운로드하여 실행하는 순간 백그라운드 방식으로 자동 설치가 이루어진다. 설치된 악성코드는 DNS 변조를 통해 피싱사이트로 유도하여 사용자의 금융 정보를 탈취하며 추가로 가짜 ActiveX를 실행하게 함으로써 공인인증서 파일 탈취도 시도하고 있다.

1.2 분석 환경

(1) 수동 분석

Vmware Workstation 14.1.8

Windows 7 Professional SP1 X64

Sysmon.exe

Procmon.exe

Procexp.exe

Install_LiveManagerPlayer.exe 분석

1. 개요

1.1 배경

해당 악성코드는 downloader형 Trogan으로 CVE-2007-5659 취약성를 이용해서 임의의 코드를 실행하도록 구성되어 있다. CVE-2007-5659 취약성은 Adobe Reader와 Acrobat 8.1.1 및 이전 버전에서 발생하는 취약성으로 다중 버퍼 오버플로우로 인해 원격 공격자는 지정되지 않은 JavaScript 메서드에 대한 긴 인수가 있는 PDF 파일을 통해 임의의 코드를 실행할 수 있다. 따라서 취약한 버전의 Adobe Reader 및 Acrobat을 사용하는 일반 사용자가 해당 PDF 악성코드를 실행하면 PDF 파일 내에 있는 쉘코드가 실행이 된다. 쉘코드는 공격자 서버에 접속하여 추가 악성코드를 다운로드 및 실행한다. 현재 공격자 서버는 닫혀있어 추가 악성코드 행위는 알 수 없다.

1.2 분석 수행 인원

이수영 선임 연구원

1.3 파일 정보

1.4 Time table

Badpdf.pdf 파일 실행 시 내부에 있는 악성 자바스크립트 실행

badpdf.pdf 악성코드 분석

1. 개요

1.1 분석 수행 인원

이수영

1.2 파일 정보

1.3 Time table

2. 악성코드 상세 분석

2.1 LetterofIntent-Eckharthelicopter.xls 분석

(1) Excel 파일 내에 의심스러운 스트림 찾기

LetterofIntent-Eckharthelicopter.xls 분석

1. 개요

1.1 분석 수행 인원

이수영

1.2 파일 정보

1.3 Time table

2. 악성코드 상세 분석

2.1 export_of_purchase_order_7484876.xlsm 분석

(1) Excel 파일 내에 의심스러운 스트림 분석

export_of_purchase_order_7484876.xlsm 분석

1. 개요

1.1 분석 수행 인원

이수영

1.2 파일 정보

1.3 Time table

2. 악성코드 상세 분석

2.1 48e41e2d764dd44bd4125f936e1a0adc.doc 분석

(1) DOC 스트림 분석

48e41e2d764dd44bd4125f936e1a0adc.doc 악성코드 분석