일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- 소설
- 존엄하게산다는것
- 인텔리전스
- 악성크도
- Error
- 복층루희네집
- 뚝썸유원지
- Hexeditor
- 처음이자마지막일듯
- 아이폰11
- fuzzer
- msticpy
- python
- 이런사람만나지마세요
- YARA
- 악성코드
- 똑딱이졸업하는그날까지
- 신
- CerberoSuite
- 부의본능
- protoc
- 독서
- threatintelligence
- cannot find or open
- 베르나르
- Cerbero
- RX100
- 아이폰12
- iphone11
- Git
- Today
- Total
qingfro9님의 블로그 입니다.
2018.07.16. 18:09 Protector 연구중 확인한 API Redirect 문서
전에 분석했던 outlook 파일은 msg 파일 포맷을 가졌다. 파일 헤더를 좀 더 자세히 보니 , ole 파일 헤더였고, 그렇게 해서 msg 파일 인것을 알 수 있었다. SSView로 파싱해서 분석하니 PK(ZIP)파일이 보여서 좀 더 분석해 봤다.(해당 샘플은 DDE를 사용해 악성 URL을 접속하는 샘플이였다.) 그래도 안되다가 아래와 같이 EML converter를 발견할 수 있었다. 그래서 해당 도구를 사용해 EML로 바꾸니 분석이 훨씬 편했고 쉽게 DDEURL을 확인할 수 있었다. http://www.mailsware.com/msg-converter.html
2018.05.16. 00:30 file 유틸을 사용해서 확인했을 때는, outlook이라고 나와서, outlook viewer에 대해 검색하고 해당 툴들에 attach 시켰지만 정상적으로 안되어, Hex 데이터를 확인하니 유니코드 포맷이 보여 확인하니. 메세지만 볼 수 있었음. (확장자를 .msg로 변경) 추가로 outlook viewer는 아래 두가지 도구가 존재했음 outlookViewerWindows PST Viewer
2018.05.09. 18:57 와이퍼 타임라인SHAMOON1(2012) - DARK SEOURL(2013) - GUARDIANS OF PEACE (2014) - BLACKENERGY(2015) - SHAMOON 2(2016) - WANNARY(2017) - NYETYA(2017) - OLMPIC DESTROYER(2018) 음 일단 이렇게 큰 조직들은 디자인 하나 기가 막히는 듯 자세히 안봤지만, 사실 나에겐 이런 타임라인 정보가 개꿀
2018.05.08. 01:11 갠드크랩 랜섬웨어관련해서 아이콘 리소스로 프로파일링 한다는 이야기를 듣고, 3월에 POS관련 샘플이 수집이 많이 되서 아이콘으로 헌팅을 조금 해봤다. 근데 이 아이콘 기본 아이콘이여서 그런지 많이 탐지 됬다. 하지만 이중에, 카드 데이터를 읽는 샘플들도 존재했고... 곧 있어서 POS기 관련 이슈가 발생하기도 했다. 이런 프로파일링 계속 하긴 해야겠다. 근데 요즘 업무때문에 바빠서 하지 못하고 있다.. ㅠㅠ 안티바이러스 개발도 바쁘고... 특히 머신러닝 관련 지식은... 계속 읽어야 할듯 하다.. 버그 헌팅은 집나가서 자취하면 제대로 해야할듯?