SEO

오늘은 WASM 리버싱 방법에 대해서 포스팅해보려고 합니다.아직 WASM 관련 문제를 많이 풀어보지는 못했지만, 제가 알게 된 분석 방법들을 정리해보려고 합니다. 추가로 알게 되는 내용이 있다면 계속해서 업데이트 하겠습니다!!정적 분석 방법1. WAT(WebAssembly Text Format) 변환https://github.com/WebAssembly/wabt GitHub - WebAssembly/wabt: The WebAssembly Binary ToolkitThe WebAssembly Binary Toolkit. Contribute to WebAssembly/wabt development by creating an account on GitHub.github.com WABT(WebAssembly B..

https://h3llouniverse.blogspot.com/2016/09/event-mfc.html Event 추적을 통한 MFC 리버싱모든 MFC 파일들은 특정 행동들을 모두 Event로 보고 사용자의 행위에 따라 맞는 Event를 발생시키며 동작한다. 이 점을 통하여 MFC를 이해해고 있다면 리버싱을 통하여 자신이 원하는 부분을 빠르고h3llouniverse.blogspot.com 위 글에서 Control ID 값으로 MFC 호출 함수를 찾아가는 내용을 확인했습니다.처음보는 내용이라 신기해서 DreamHack babycmp 예제로 따라해본 내용을 풀이하겠습니다.(처음에 이해 못하고 뻘짓해서 팀에 계신 연구원님께 여쭙고 알게된 내용 바탕으로 적었습니다..ㅋㅋ) 먼저 참고 글에서는 32bit 실행 파..

PEB 구조체 내의 NtGlobalFlag 위치 32비트 : 0x68 offset 64비트 : 0xBC offset NtGlobalFlag 값 Default 값 : 0 디버거에 의해 프로세스가 생성된 경우 FLG_HEAP_ENABLE_TAIL_CHECK (0x10) FLG_HEAP_ENABLE_FREE_CHECK (0x20) FLG_HEAP_VALIDATE_PARAMETERS (0x40) LockBit 2.0에서의 NtGlobalFlag 사용법 NtGlobalFlag 값과 0x70 값을 and 연산하여 현재 프로세스가 디버깅 중인지 확인 => 디버깅 중이라면 무한루프 생성 DLL을 동적으로 로드하기 이전에 안티 디버깅 기술로 분석 방해

보호되어 있는 글입니다.

자가 삭제 (Self-Deletion) 자가 삭제는 악성 코드가 자체적으로 삭제되거나 비활성화되어 분석을 어렵게 만드는 기법입니다. 일반적으로 악성 코드는 침투된 시스템에서 실행되고 자가 삭제 기능을 수행합니다. 자가 삭제 기법은 다음과 같은 조건이 충족될 때 실행될 수 있습니다. 특정 시간이 지났을 때 특정 이벤트가 발생했을 때 특정 조건이 충족되었을 때 코드 조각화 (Code Fragmentation) 코드 조각화는 악성 코드의 일부 또는 전체를 분할하고 조각조각 나누어 각 조각을 다른 위치에 저장한 후 실행 시 조합하여 실행하는 기법입니다. 이로써 악성 코드가 정적 분석에서 탐지되기 어려워집니다. 코드 조각화는 다음과 같은 방식으로 작동합니다. 악성 코드의 명령문을 조각조각 분할하여 별도의 함수 또..

Polymorphic(다형성) 악성코드란?Polymorphic 악성코드는 그 자체로 "다형성"을 띠는 특성을 가집니다. 즉, 이 악성코드는 실행될 때마다 그 형태나 동작을 다르게 만들어 AV 탐지 시스템이 고유한 시그니처를 찾아내기 어렵게 만듭니다. 다형성 악성코드는 주로 코드를 변경하거나 변형하여 AV 시스템의 패턴 기반 탐지를 피하려고 합니다. 주요 기법은 코드 난독화, 동적 암호화 키 사용, 가변 코드 구조, 행동 적응 등이 있습니다.  Polymorphic 악성코드의 기술코드 난독화(Obfuscation)코드를 사람이 읽을 수 없도록 만들거나, 컴퓨터가 실행하기 어려운 방식으로 변경하는 기술입니다. 예를 들어, 변수를 무작위로 바꾸거나, 불필요한 명령을 삽입하여 악성코드의 흐름을 복잡하게 만듭니다..

해당 포스팅은 악성코드 분석 시작하기 책을 바탕으로 작성하였습니다. DLL 검색 순서 하이재킹 프로그램이 실행되면 import 테이블 또는 LoadLibrary() API 호출한 프로세스의 결과로 관련 DLL이 프로세스 메모리에 로드됩니다. 윈도우 운영 체제는 사전 정의된 위치 순서대로 DLL을 검색해 로드합니다. Dynamic-link library search order - Win32 apps DLL을 로드해야 하는 경우 운영 시스템은 먼저 DLL이 메모리에 이미 로드되 있는지를 확인하고 로드되어있지 않다면 KnownDLLs 레지스트리 키에 정의된 DLL인지를 확인합니다. 사진에 보이는 DLL은 시스템 DLL이고, 윈도우 파일 보호를 통해 운영 시스템의 업데이트를 제외하고 삭제 또는 업데이트되지 않도..

해당 포스팅은 악성코드 분석 시작하기 책을 바탕으로 작성하였습니다. Winlogon 레지스트리 항목 공격자는 Winlogon 프로세스에서 사용하는 레지스트리 항목을 수정해 지속성을 유지할 수 있습니다. Winlogon은 사용자 계정의 logon과 logoff를 처리하는 역할을 합니다. Winlogon 프로세스는 다음과 같이 동작합니다. 유저가 인증되면 Winlogon.exe 프로세스가 시작됩니다. Winlogon.exe는 userinit.exe를 실행합니다. 다음으로 logon 스크립트를 실행하고 네트워크 연결을 재설정합니다. 마지막으로 userinit.exe 기본 유저 셀인 explorer.exe를 실행합니다. Winlogon Userinit winlogon.exe는 사진과 같은 레지스트리 값으로 인해..