의심파일 수집 방법(IceSword)

1) 아래의 파일을 임의의 폴더에 다운로드 받아 압축을 해제합니다. [IceSword 다운로드 (클릭)]2) 다운로드 받은 파일의 압축을 풉니다.3) IceSword.exe를 실행합니다. 3) 왼쪽의 [File]을 클릭합니다. 4) 의심파일이 위치한 경로로 이동하여 파일을 찾습니다. 예를 들어 의심파일 경로가 C:WindowsSystem32Malware.exe 라면 아래와 같이 찾으시면 됩니다. 5) 해당 파일을 마우스 오른쪽 클릭 후, [Copy to..]를 클릭하고 임의의 폴더에 저장합니다. 7) 저장한 의심파일은 [바이러스신고센터 (클릭)]로 보내주시면 빠르게 확인후 답변드리도록 하겠습니다.8) 그 외 해당 파일을 삭제를 원하실 경우 다시 마우스 오른쪽 클릭 후, [force delete]를 클릭합니다. 끝으로 해당 프로그램 실행 시 오류로 인해 실행이 되지 않는다면 http://asec.ahnlab.com/23 페이지를 참고하시어 다른 프로그램을 이용해 보시기 바랍니다.

악성코드 분석을 방해하는 패킹 (2)

이전 글에 패킹된 파일을 언패킹한 후 메모리 덤프까지 하였습니다. 그럼, 이번 글에서는 IAT를 복구하는 방법을 다뤄보겠습니다. IAT를 복구하는 데 사용될 툴은 ImportRec을 사용하도록 하겠습니다. 우선, “Attach to an Active Process” 옵션으로 올리디버거에 로드된 프로세스를 선택합니다. Attach를 한 후 이전 글에서 찾았던 OEP 값을(00012475) 입력합니다. 이제 “IAT AutoSearch” 버튼을 클릭합니다. 작업이 성공적으로 이루어지면 “Found something”이라는 메세지가 출력됩니다. 상기 메세지가 출력된 후 “Get Imports” 버튼을 클릭하면 1000h에서 1228h 사이의 유효한 import들을 확인할 수 있게 됩니다. 그리고 이전 글에서 Import 테이블을 살펴본 대로 로그 부분을 보시면 6개의 dll들로 부터 import들을 찾은 것을 확인할 수 있습니다. 마지막으로 “Fix Dump”를 클릭한 후 메모리 덤프된 파일을 열어주면 IAT 복원 작업은 마무리가 됩니다. 이전 글과 이번 글의 내용을 정리하자면 아래와 같습니다. 1. 어떤 패커를 사용했는지 체크 2. 언패킹한 후 메모리 덤프 3….

악성코드 분석을 방해하는 패킹 (1)

소프트웨어를 패킹할 때 주목적은 protection과 compressor입니다. protection을 목적으로 하는 패킹의 경우 Armadillo, Thermida 등이 있으며 compressor를 목적으로 하는 패킹의 경우 UPX 등이 있습니다. 그러면 여기서 잠깐… 왜 분석가는 패커를 알아야 할까요?? 그 이유는, 악성코드가 패킹이 되어있으면 원본코드가 압축이 되어있어서 리버싱하는 데 방해가 됩니다. 따라서 분석을 하기 위해서는 언패킹 작업이 선행되어야합니다. 이번 글에서는 악성코드에서 자주 사용되는 UPX로 패킹된 파일을 언패킹하여 발가벗겨 보는 방법에 대해서 알아보겠습니다. 우선, OEP를 찾아야 합니다. 패킹된 파일이 메모리에 로드되면 언패킹루프를 거친 후 OEP로 분기하게 됩니다. 아래 그림은 설명과 함께 사용될 UPX로 패킹된 예제파일입니다. 아래 첫 번째 그림을 보시면 올리디버거에 예제 파일을 로드하게 되면 compress 코드라는 경고문이 팝업됩니다. 확인을 누르시고 언패킹루프를 거친 후 OEP로 분기를 하게 되면 두 번째 그림과 같습니다. OEP는 위에서 보신 것과 같이 01012475h입니다. 이제 메모리 덤프를 뜨겠습니다. 여기서 수정할…

내 PDF 파일은 안전할까?

1. 서론 최근 PDF 관련 취약점이 많이 나오며 PDF 파일에 악의적인 스크립트가 삽입되는 사례가 많이 발견되고 있습니다. PDF 파일에 악의적인 스크립트가 삽입되었는지 여부를 확인하기 위해 이 문서를 작성합니다. 2. 사용되는 툴 PDFTK : http://www.accesspdf.com/pdftk/ PDFiD  : http://blog.didierstevens.com/programs/pdf-tools 이번 문서에서는 위의 툴들을 사용할 것입니다. 위의 툴들 중 pdf-parser와 PDFiD는 Python으로 작성된 툴이므로 Python이 설치되어 있어야 합니다. 먼저 Python을 설치하도록 하겠습니다. Python 다운로드 : http://python.org/download/ 3. 분석을 시작해보자! 자신의 플랫폼에 맞는 Python을 다운로드 하여 설치를 하셨다면 이제 분석을 하도록 하겠습니다. 먼저 악성 PDF 파일을 한번 살펴보도록 하겠습니다. 먼저 PDF 파일 내용을 PDFiD 툴을 이용하여 확인해 보도록 하겠습니다. 명령어는 아래와 같습니다. pdfid.py 파일명 PDFiD를 통해 PDF 문서를 확인해본 결과 해당 문서내에 Javascript가 3개 포함되어 있다는 결과를 확인할 수 있었습니다. 이제 PDFTK를 이용하여 해당…

DarunGrim을 이용한 패치된 부분 알아내기

우리는 윈도우 파일에 보안상의 취약점이 발견되면 윈도우 업데이트를 통해 패치를 받습니다. 패치를 받고나면 해당 파일은 패치가 되고 취약점을 이용한 악의적인 공격을 사전에 방지할 수 있게 됩니다. 패치가 된 파일은 수정이 되어있겠죠? 이번에 소개할 툴은 DarunGrim이라는 툴입니다. 툴 이름에서 느낄 수 있듯이 한국사람이 만들었습니다. 이 툴을 사용하게 되면 패치 전과 후의 파일의 수정된 부분을 쉽게 찾을 수가 있습니다. 예를들기 위해 사용될 ani 파일은(윈도우의 애니메이션 커서를 위해 사용되는 그래픽 파일 포맷) RIFF 파일 포맷을 근간으로 하고 있습니다. (ani 파일 외에 wmf, emf 파일 등이 있습니다.) 이러한 파일들은 처음 시작부분이 RIFF로 시작되게 됩니다. 아래 그림은 헥사에디터로 ani파일을 열었을 때의 화면입니다. 보시면 처음에 RIFF로 시작을 하고 밑에 빨간 박스로 표시된 부분 “24h”는 데이터 블럭의 size를 의미합니다. 이 취약점은 데이터 블럭의 size 값을 변경시킨 후 24h 크기 이상의…