본문 바로가기

분류 전체보기

악성코드 샘플 수집스크립트 mwcrawler.py 윈도우 버전으로 포팅하기(B) 상세 분석 등록된 웹사이트 URL을 기반으로 악성코드를 수집하는 mwcrawler.py를 windows 버전으로 포팅한 것입니다. 실행방법은 윈도우에서 더블클릭으로 실행하여 메뉴를 선택하면 수집이 시작됩니다. 메뉴중에 1번은 프록시 IP/PORT를 설정해서 수집을 할 수 있고 2번은 기존과 동일하게 선택과 동시에 바로 수집을 합니다. 수집된 파일의 저장되는 경로는 C:\malware\unsorted\디렉토리 형태로 저장됩니다. - 스샷과 코드 수정한부분 등록 할 예정 - 코드 수정 1. 프록시서버를 사용하는 환경을 위하여 프록시 IP/PORT를 세팅할 수 있도록 수정했습니다. 2. magic 모듈을 제거하고 읽어들인 파일의 바이너리 데이터를 기반으로 exe, dll, sys, pdf, doc 등의 확장자.. 더보기
[악성코드]금융권 공격 악성코드 Ransomware Dropper 분석 [그림.1] Cuckoo SandBox동적분석 결과 [그림.2] 0x00411CA 주소에서 CALL rnasomew.0043EA30 함수를 호출하는데 이 함수의 내부로 들어가서 분석을 해보면 Heap을 생성하고, ransomware.exe PE의 .rdata섹션의 데이터를 생성된 Heap주소공간에 복사를 합니다. [그림.3] PE의 .rdata seciotn의 데이터를 Heap에 복사하는 과정입니다. [그림.4] 그리고 나서 복사된 원본 데이터를 1E51FCC값을 더하여 디코딩을 시작하는데 이중 루프문을 사용하여 총 11463Ah크기만큼 반복하고 44h회 만큼 더합니다. 결국 1163Ah*44h=49E768h(4843368)만큼 루프를 돌면서 디코딩을 하게 됩니다. [그림.5] 그리고 디코딩된 힙영역을 .. 더보기
악성코드 샘플 수집스크립트 mwcrawler.py 윈도우 버전으로 포팅하기 #2 보호되어 있는 글입니다. 더보기
악성코드 샘플 수집스크립트 mwcrawler.py 윈도우 버전으로 포팅하기 #1 보호되어 있는 글입니다. 더보기
Python기반 웹크롤러 및 스캐너 개발 ※ 주의사항 아래 공격 코드는 연구 목적으로 작성된 것이며, 허가 받지 않은 공간에서는 테스트를 절대 금지합니다. 악의 적인 목적으로 이용할 시 발생할 수 있는 법적 책임은 자신한테 있습니다. 이는 해당 글을 열람할 때 동의하였다는 것을 의미합니다. 해당 문서의 저작권은 해당 프로젝트 참여 저자들에게 모두 있습니다. 외부에 공개시 법적 조치가 가해질 수 있습니다. 소스하이라이팅 http://cafe.naver.com/boanproject/book3608946/6573 개요 파이썬 기반으로 제작한 웹사이트 크롤링입니다. 개발한 목적은 웹사이트 점검시 수동점검과 자동점검을 진행하게되는데 스캐너같은경우는 스레드갯수만 조절이 가능하고 초당 리퀘스트 갯수를 조절 할 수가 없습니다. 또한 파로스나 burpsuite.. 더보기
파이썬 정규식 [ 반복 메타 문자 ] [메타 문자] [의미] * 0회 이상 반복 + 1회 이상 반복 ? 0회 or 1회 {m} m회 반복 {m, n} m회부터 n회까지 반복 [ 매칭 메타 문자 ] [메타 문자] [의미] . 줄바꿈 문자를 제외한 모든 문자와 매치됨 ^ 문자열의 시작과 매치됨 $ 문자열의 마지막과 매치됨 [ ] 문자 집합 중 한 문자를 의미 | 또는(or)를 의미 { } 정규식을 그룹으로 묶음 [ 이스케이프 기호 ] [종류] [설명] \\ 역슬래쉬 문자 자체 \d 모든 숫자와 매치됨 [0-9] \D 숫자가 아닌 문자와 매치됨 [^0-9] \s 화이트 스페이스 문자와 매치됨 [ \t\n\r\f\v] \S 화이트 스페이스가 아닌 것과 매치됨 [^ \t\n\r\f\v] \w 숫자 또는 문자와 매치됨 [a-zA.. 더보기
[악성코드]3월20일 방송사 및 금융권 악성코드 Dropper 분석 ※ 주의사항 아래 공격 코드는 연구 목적으로 작성된 것이며, 허가 받지 않은 공간에서는 테스트를 절대 금지합니다. 악의 적인 목적으로 이용할 시 발생할 수 있는 법적 책임은 자신한테 있습니다. 이는 해당 글을 열람할 때 동의하였다는 것을 의미합니다. 해당 문서의 저작권은 해당 프로젝트 참여 저자들에게 모두 있습니다. 외부에 공개시 법적 조치가 가해질 수 있습니다. 개요 악성코드 개요 3월20일 대란으로 유명한 darkseoul 샘플 입니다. MBR을 파괴하고 나서 물리드라이버(하드디스크)까지 파괴를 시키는 악성코드입니다. 생성파일 정보 요약 감영증상 요약 MBR과 HDD를 파괴하고 강제로 리부팅하여 시스템을 파괴합니다. VirusTotal 점검 내역 https://www.virustotal.com/ko/.. 더보기
MBR 확인 간단히 HxD툴을 사용하여 mbr을 확인하는 방법입니다. 끝입니다 -0- 간단하저 ㅎㅎ 더보기
크롤러 제작중 beautifull soup 치명적인 버그 발견 파이썬에서 제공해주는 뷰티풀 수프 웹페이지를 파서해주는 모듈이다 그러나 이 모듈에는 치명적인 버그가있다.. 로그인 페이지에서 form태그를 파싱하는데 분명히 form태그가 있는대도 불구하고 긁어오지 못하는 현상이 벌어졌다. 그 원인은 바로 꽐라꽐라~ 꽐라꽐라~ 이건데.. 이것만봐서는 통..이해가 되질 않겠저? 결론은 헤드태그 다음에 바디태그가 없으면 헤드태그 이후의 태그들을 찾지못한다. 이런 바보같은 모듈같으니.. 그냥 직접 만들어서 써야할듯하다 하,,, 인줄알았지만..... 몇번 삽질끝에 방법을 알아냈다 ;;;(이상하게 이럴리가 없는데 라고생각하고 삽질을 했다 될때까지 ㅠ) 버그가아니였다.. 역시 완벽한건가..ㄷㄷ 저런형식으로 form값을 가저오지 못할때는... import bs4 import urll.. 더보기
320 DarkSeoulDropper 분석중 access violation 오류 문제해결 올해 금융권을 마비시켰던 악성코드인 DarkSeoulDropper를 분석중이었다. 아무탈없이 순조롭고 재미있게 분석중이였다. 그러나 0040230B주소에서 Access violation 오류가 났다. 이오류로 더이상 진행을 할 수가 없었다.. 그래서 몇몇 지인분들께 도움을 청했으나 아무문제 없다고한다. 멘붕이다.. 난 왜그런거지? olly부터 immunity, ida까지 다돌려봤으나 결과는 마찬가지다. 도저히 안되겠다 인터넷에 분석완료 하셨다는 분들 블로그에 댓글로 도움을 요청했으나 언제 답변이 올지 알수없는상태다. 그래서 막연히 검색을 해서 오류에대해 검색결과 몇가지 힌트를 발견했다. 일단은 OS예외처리를 하기전에 간단히 예외 에 대해 알아보고 넘어갑시다. 1. EXCEPTION_ACCESS_VIOLA.. 더보기